A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK, AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK ÉS A RÉGIÓK BIZOTTSÁGÁNAK

a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében továbbított személyes adatok védelméről szóló, 2008. november 27-i tanácsi kerethatározat 29. cikkének (2) bekezdése alapján

BEVEZETÉS

Előzmények

A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, 2008. november 27-i 2008/977/IB tanácsi kerethatározat[1] (a továbbiakban: kerethatározat) általános jogi keretet hoz létre büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre vonatkozó adatvédelem számára. A kerethatározat 2009. január 19-jén lépett hatályba[2].

A kerethatározatra azért volt szükség, mert abban az időben nem létezett olyan európai szintű általános eszköz, amely lefedte volna a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén folytatott adatfeldolgozást[3]. A személyes adatok védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv 3. cikke kimondja, hogy az irányelv nem alkalmazandó „a személyes adatoknak az olyan tevékenységek során végzett feldolgozására, amelyek kívül esnek a közösségi jog hatályán, mint az Európai Unióról szóló szerződés VI. címében megállapított tevékenységek, valamint semmilyen esetben nem vonatkozik a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, továbbá a büntetőjog területén folytatott állami tevékenységekkel kapcsolatos feldolgozási műveletekre”.

A kerethatározat célja, hogy a személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében végzett feldolgozása során magas szintű védelmet nyújtson az EU szintjén a természetes személyek alapvető jogainak és szabadságainak. Ugyanakkor a magas fokú közbiztonságot is garantálni kell[4]. A kerethatározat nem zárja ki azt, hogy a tagállamok a nemzeti szinten gyűjtött vagy feldolgozott személyes adatok védelme vonatkozásában szigorúbb biztosítékokat tartalmazó rendelkezéseket állapítsanak meg[5].

A kerethatározat hatálya[6] az alábbiakra korlátozódik: a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő feldolgozása, vagy hozzáférhetővé tétele:

- tagállamok között;

- a tagállamok által az Európai Unióról szóló szerződés VI. címe („Büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés”) alapján létrehozott információs rendszerek vagy hatóságok számára; vagy

az Európai Unióról szóló szerződés vagy az Európai Közösséget létrehozó szerződés alapján létrehozott hatóságok vagy információs rendszerek által a tagállamok illetékes hatóságai számára.

Az egyik tagállamból a másikba továbbított személyes adatok bizonyos követelmények teljesülése esetén harmadik államoknak vagy nemzetközi szerveknek is továbbíthatók[7].

A kerethatározat teljes mértékben alkalmazandó az Egyesült Királyságra és Írországra, mivel a schengeni vívmányok továbbfejlesztését jelenti. Az Európai Unióról szóló szerződéshez, és az Európai Közösség létrehozásáról szóló szerződéshez csatolt, a schengeni vívmányoknak az Európai Unió keretébe történő beillesztéséről szóló jegyzőkönyv 5. cikkének, valamint 2000/365/EK és 2002/192/EK tanácsi határozatoknak megfelelően az Egyesült Királyság és Írország részes fele a kerethatározatnak.

Ami Izlandot, Norvégiát, Svájcot és Liechtensteint illeti, a kerethatározat az Európai Unió Tanácsa, illetve az Európai Unió, valamint Izland, Norvégia, a Svájci Államszövetség és Liechtenstein között létrejött megállapodás és jegyzőkönyvek, valamint az 1999/437/EK, a 2008/149/IB és a 2008/262/IB tanácsi határozatok értelmében a schengeni vívmányok továbbfejlesztését képezi.

A 2008/977/IB kerethatározat tartalma

A kerethatározat hatálya nem terjed ki a személyes adatoknak a tagállamok illetékes igazságügyi vagy rendőri hatóságai általi belföldi feldolgozására (az 1. cikk (2) bekezdése).

A rendőrségi és igazságügyi együttműködés azon ágazat-specifikus jogi aktusai, amelyek személyes adatok védelmére vonatkozó rendelkezéseket tartalmaznak, és amelyeket a kerethatározat hatályba lépésének időpontja előtt fogadtak el, általában véve elsőbbséget élveznek a kerethatározattal szemben (28. cikk). A kerethatározat nem érinti a személyes adatok védelmével kapcsolatban „teljes körű és koherens szabályozást” meghatározónak tekinthető jogi aktusokat ([39] preambulumbekezdés). A korlátozottabb hatáskörű adatvédelmi szabályokat tartalmazó, egyéb ágazat-specifikus intézkedések kizárólag akkor élveznek elsőbbséget a kerethatározathoz képest, ha az említett szabályok szigorúbbak az utóbbi szabályainál. Minden egyéb tekintetben a kerethatározat alkalmazandó ([40] preambulumbekezdés).

A kerethatározat megállapítja az adatvédelmi célkitűzéseket a rendőrségi és igazságügyi együttműködés keretében. A jogszabály a személyes adatok törvényes feldolgozására vonatkozó szabályokat határoz meg annak érdekében, hogy az információk esetleges cseréjét törvényesen, és az adatminőség alapvető elveivel összhangban végezzék.

A személyes adatok védelme érdekében – a bűnügyi nyomozások céljainak veszélyeztetése nélkül – meghatározza továbbá az adatalany jogait. Ennek érdekében tájékoztatni kell az adatalanyokat, és hozzáférést kell biztosítani számukra a személyes adataikhoz.

A rájuk bízott feladatokat teljes mértékben függetlenül ellátó felügyeleti hatóságoknak tanácsot kell adniuk a tagállamok által a kerethatározat nemzeti jogba történő átültetése céljából elfogadott intézkedések alkalmazása során, és nyomon kell azt követniük.

A Bizottság köteles jelentést tenni a végrehajtásról

A kerethatározat 29. cikkének (1) bekezdése szerint a tagállamokat kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy e határozatnak 2010. november 27-e előtt megfeleljenek

A 29. cikk (2) bekezdése értelmében kötelesek eljuttatni a Tanács Főtitkárságának és a Bizottságnak azon rendelkezéseknek a szövegét, amelyekkel az e kerethatározatból fakadó kötelezettségeket nemzeti jogukba átültetik, valamint a kerethatározat 25. cikkében említett felügyeleti hatóságokra vonatkozó információkat.

A Bizottságnak jelentést kell készítenie a tagállamok által benyújtott tájékoztatás felhasználásával. A Tanácsnak 2011. november 27. előtt meg kell vizsgálnia, hogy a tagállamok milyen mértékben felelnek meg e kerethatározatnak.

Az e jelentés alapjául szolgáló információforrások

2011. november 9 -ig a 27 tagállamból 26, valamint Liechtenstein, Norvégia, Izland és Svájc küldött tájékoztatást a Bizottságnak a kerethatározat végrehajtásáról.

Az említett 26 tagállamból 14 jelezte, hogy hatályos jogszabályaik végrehajtják a kerethatározatot (Belgium, a Cseh Köztársaság, Dánia, Németország, Észtország, Írország, Magyarország, Lettország, Litvánia, Luxemburg, Ausztria, Szlovákia, Svédország és az Egyesült Királyság). Németország, Írország, Észtország és Svédország azt közölte, hogy még vizsgálják további végrehajtási intézkedések szükségességét.

Úgy tekinthető, hogy 9 tagállam részlegesen hajtotta végre a kerethatározatot, mivel arról számolnak be, hogy a végrehajtási jogszabályok még elfogadásra várnak.

4 olyan tagállam volt, amelyik vagy nem válaszolt a Bizottság információkérésére (Románia), vagy pedig azt jelezte, hogy nem hajtotta végre a kerethatározatot (Görögország, Olaszország[8], Ciprus).

A Bizottság kérdőívére válaszul a tagállamok által szolgáltatott információk tartalma – különösen részletességük foka – eltér egymástól. Az 1. táblázat általános áttekintést nyújt a válaszokról: képet ad arról, hogy miként értékelik a tagállamok a kerethatározat végrehajtásának helyzetét.

A KERETHATÁROZAT ÁTÜLTETÉSE

Az Európai Unióról szóló szerződés korábbi 34. cikke (2) bekezdésének b) pontján alapuló kerethatározat

Ez a kerethatározat az Európai Uniót létrehozó szerződésen (EUSZ) és különösen annak 30. cikkén, 31. cikkének e) pontján, valamint 34. cikke (2) bekezdésének b) pontján alapul.

A kerethatározatok leginkább az irányelvhez hasonlítható jogi eszközök, mivel az elérendő cél tekintetében kötelezőek a tagállamokra nézve, de meghagyják a nemzeti hatóságoknak a forma és a módszerek kiválasztását. A kerethatározatoknak azonban nincs közvetlen hatályuk[9].

A Szerződéshez csatolt, az Európai Unióról szóló szerződés V. és VI. címe alapján a Lisszaboni Szerződés hatálybalépése előtt elfogadott jogi aktusokra vonatkozó átmeneti rendelkezésekről szóló jegyzőkönyv (36. sz.) 10. cikke alapján Bizottságnak az Európai Unió működéséről szóló szerződés 258. cikke szerinti hatáskörei a „harmadik pillérbe” tartozó jogi aktusok tekintetében a Lisszaboni Szerződés hatálybalépését követő ötéves átmeneti időszak során (vagyis 2014. december 1-jéig) nem alkalmazhatók (a Bíróságéi pedig korlátozottak maradnak) .

Az alábbiakban részletesen ismertetjük a kerethatározat négy alapvető rendelkezésének végrehajtását a Bizottság 2010. december 9-i kérésére válaszul adott tagállami jelentések alapján.

A nemzeti végrehajtási intézkedések hatálya

A kerethatározat kizárólag a tagállamok között továbbított vagy hozzáférhetővé tett személyes adatok feldolgozására vonatkozik (az 1. cikk (2) bekezdése). A rendőrség és az igazságszolgáltatás által büntetőügyekben végzett nemzeti szintű személyesadat-feldolgozás nem tartozik a kerethatározat hatálya alá.

A melléklet 2. táblázata általános áttekintést nyújt a tagállami végrehajtási intézkedésekről. A legtöbb tagállam a kerethatározat végrehajtási intézkedéseinek egyikeként hivatkozott az általános adatvédelmi jogszabályra, és ezt kiegészítette a rendőrségre, az igazságszolgáltatásra, a vámhatóságra és az adóhatóságokra vonatkozó ágazati jogszabályokra való hivatkozással. Néhány tagállam úgy döntött, hogy nem fogad el jogalkotási eszközöket, hanem közigazgatási utasítások révén hajtja végre a határozatot (pl.: Németország és az Egyesült Királyság).

A legtöbb tagállam azt közölte, hogy az általános adatvédelmi jogszabályok alkalmazandók a rendőrség és az igazságszolgáltatás által nemzeti szinten és határon átnyúló összefüggésben végzett személyesadat-feldolgozásra is[10], azonban ezeket gyakran a büntetőeljárásról szóló törvények és a rendőrségi (adatvédelmi) törvények[11] mellett alkalmazzák. Tizenhárom tagállam (Belgium, a Cseh Köztársaság, Németország, Észtország, Olaszország, Luxemburg, Magyarország, Málta, Hollandia, Szlovénia, Szlovákia, Finnország és Svédország) a büntetőeljárásról szóló törvényre vagy hasonló jogszabályra hivatkozott. Hét tagállam (a Cseh Köztársaság, Németország, Magyarország, Hollandia, Szlovénia, Finnország és Svédország) számolt be arról, hogy létezik külön rendőrségi (adatvédelmi) törvény[12]. Három tagállam (Bulgária, Portugália, Litvánia) hozzáfűzte, hogy külön jogszabályokat is elfogadtak a kerethatározat egyes olyan rendelkezéseinek végrehajtására, amelyekre nem terjed ki az általános jogszabály, és kizárólag a személyes adatok határon átnyúló feldolgozására alkalmazandók[13].

Három tagállam úgy vélte, hogy problémát jelent a kerethatározat korlátozott hatálya. Olaszország és Hollandia arról számolt be, hogy a gyakorlatban nehéz elkülöníteni a 2008/977/IB kerethatározat alapján történő, határon átnyúló adatfeldolgozást, valamint a nemzeti szintű adatfeldolgozást, továbbá a tagállami bűnüldöző hatóságok nehezen igazodnak el a kapcsolódó bonyolult szabályozási környezetben, ahol különböző feldolgozási szabályok vonatkoznak ugyanazon személyes adatokra. Lengyelország általánosságban mutatott rá a kerethatározat hiányosságaira, és külön kiemelte, hogy támogatja a Bizottságnak azt a törekvését, hogy átfogó keretet hozzon létre, és az általános adatvédelmi szabályokat kiterjessze a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területére.[14]

Az adatalanyok tájékoztatása (16. cikk, (26)-(27) preambulumbekezdés)

A kerethatározat szerint a tagállamoknak biztosítaniuk kell, hogy illetékes hatóságaik tájékoztassák az adatalanyt személyes adatainak bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából történő gyűjtéséről, feldolgozásáról vagy más tagállam részére történő továbbításáról. A tájékoztatás formáját, tartalmát, módszerét és ez az alóli kivételeket (vagyis a tájékoztatás-nyújtás elhagyása vagy korlátozott tájékoztatás) a nemzeti jog alapján kell meghatározni. Mindez történhet általános formában, egy jogszabály elfogadásával vagy a feldolgozási műveletek jegyzékének közzétételével. Ha az adatokat másik tagállamnak továbbítják, mindegyik tagállam kérheti, hogy a másik tagállam ne tájékoztassa az adatalanyt.

A 3. táblázat szerint majdnem az összes tagállam jelezte, hogy nyújt valamilyen jellegű tájékoztatást az adatalanynak a személyes adatai feldolgozásáról. Franciaország azt közölte, hogy nem teszi meg ezt. Dánia szintén nem biztosítja ezt a jogot, de arról számolt be, hogy az adatkezelőnek nyilvántartást kel vezetnie és tájékoztatnia kell a közvéleményt.

A tagállamok nagy többsége korlátozza a tájékoztatáshoz való jogot. A nemzeti jogszabályok a bűncselekmények megelőzése, nyomozása, felderítése, és a büntetőeljárás lefolytatása céljából korlátozzák ezt a jogot, vagy pedig úgy rendelkeznek, hogy a különleges adatkezelők (a rendőrség és/vagy a bírói kar) mentesülnek e jog alkalmazása alól. Néhány esetben anélkül állapítottak meg korlátozásokat, hogy ezek meghatároznák, mely tevékenységekre vonatkoznak. Jelentős számú tagállam számol be ilyen korlátozásokról a rendőrség, a katonai rendőrség, a bíróságok, a vám- és adóhatóságok esetében.

Hollandia úgy nyilatkozott, hogy az adatalany tájékoztatására vonatkozó általános kötelezettség nincs teljesen összhangban a rendőrség és a bíróság munkájának jellegével, azonban egyes hatályban lévő előírások kellően biztosítják az adatalany előírt tájékoztatását a rendőri és igazságügyi hatóságok általi adatfeldolgozásról (vagyis a jogszabályok tájékoztatást nyújtanak az adatfeldolgozás eseteiről és feltételeiről; amennyiben a nyomozás érdekei lehetővé teszik, az államügyész tájékoztatja az adatalanyt a különleges nyomozati hatáskör gyakorlásáról). Hollandia közölte továbbá, hogy ezt a rendelkezést nem szükséges végrehajtani, mivel a 16. cikk (1) bekezdése pusztán hivatkozik a tagállamok nemzeti jogszabályaira.

A kerethatározat megállapítja az adatalany tájékoztatáshoz való jogát, azonban nem tartalmaz részleteket a módszereket és az esetleges kivételeket illetően. Noha a tagállamok szerint általánosságban biztosítják a tájékoztatáshoz való jogot, a végrehajtás jelentősen eltér egymástól.

Az adatalany adathozzáféréshez való joga (17. cikk)

A kerethatározat előírása szerint az adatalany jogosult arra, hogy korlátozás, túlzott késedelem vagy költség nélkül megkapja az alábbiakat:

a) legalább annak az adatkezelő vagy a nemzeti felügyeleti hatóság általi megerősítését, hogy továbbítottak vagy hozzáférhetővé tettek-e rá vonatkozó adatokat, továbbá tájékoztatást azon címzettekről vagy címzettek kategóriáiról, akiknek az adatokat átadták, valamint tájékoztatás a feldolgozás alatt álló adatokról, vagy

b) legalább annak a nemzeti felügyeleti hatóság általi megerősítését, hogy valamennyi alkalmazandó ellenőrzést elvégezték.

A tagállamok jogszabályokat fogadhatnak el e hozzáféréshez való jog korlátozására az alábbiak érdekében: a hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése; bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása megsértésének elkerülése; a közbiztonság védelme; a nemzetbiztonság védelme; valamint az adatalany vagy mások jogainak és szabadságainak védelme (a 17. cikk (2) bekezdése). Az ezen információszolgáltatás adatkezelő általi megtagadását írásban kell közölni (a 17. cikk (3) bekezdése).

A tagállamok által a hozzáféréshez való jogra vonatkozóan közölt, és a 4. táblázatban összefoglalt információk tükrözik az adatalany tájékoztatása tekintetében kialakult helyzetet. Megállapítható, hogy az összes tagállam[15] biztosít valamilyen fajta hozzáférési jogot az adatalanyoknak . E jogot általában belefoglalták az adott ország általános adatvédelmi jogszabályába. Sok tagállam az ágazatspecifikus jogszabályokban (például a rendőrségről szóló törvényekben) is szabályozza a hozzáféréshez való jog részleteit.

Ugyanígy az összes tagállam előír kivételeket a hozzáféréshez való jog alól . A hozzáféréshez való jog biztosításának megtagadására szolgáló leggyakrabban említett okok az alábbiak:

- bűncselekmények megelőzése, nyomozása, felderítése és üldözése;

- nemzetbiztonság, nemzetvédelem és közbiztonság;

- a tagállam és az EU gazdasági és pénzügyi érdekei (beleértve a monetáris, költségvetési és adózási kérdéseket)[16];

- az adatalany vagy más személyek jogainak és szabadságainak védelme.

Ami a személyes adatokhoz való hozzáférés biztosításának módját illeti, néhány tagállam kifejezetten foglalkozott ezzel a kérdéssel, mások pedig nem. Néhány tagállam jelezte, hogy biztosítja az adatalanyoknak azt a jogot, hogy közvetlenül az illetékes hatóságtól kérjenek hozzáférést az adataikhoz (pl.: Ausztria, Németország, Bulgária, Finnország, Írország, Lettország, Málta, Hollandia, Lengyelország, Szlovákia, Svédország, az Egyesült Királyság), mások pedig csak „közvetett” hozzáférést tesznek lehetővé (Belgium, Franciaország). Utóbbi esetben az adatalany helyett a nemzeti felügyeleti hatóság rendelkezik hozzáféréssel az adatalanyra vonatkozó valamennyi személyes adathoz. Finnországban és Litvániában az adatalany választási jogot kap. Portugáliában a közvetlen hozzáférés az általános szabály, de közvetett hozzáférést biztosítanak olyan esetekben, amikor a személyes adatok feldolgozása a nemzetbiztonságot vagy bűncselekmények megelőzését, illetve kivizsgálását érinti. Hasonló a helyzet Luxemburgban, ahol általában közvetlen hozzáférést biztosítanak, ha azonban kivételt kell alkalmazni, akkor a hozzáférés iránti kérést az adatvédelmi felügyeleti hatósághoz kell intézni.

A kerethatározat általános szabályokat tartalmaz arra vonatkozóan, hogy biztosítani kell az adatalany számára az adataihoz való hozzáférés jogát. A jogszabály nem határozza meg részletesen, hogy milyen típusú adatokat kell átadni az adatalanynak. Annak eldöntését is a tagállamokra bízza, hogy az adatalanyok közvetlenül gyakorolhatják-e a hozzáféréshez való jogukat, vagy közvetett csatornákat kell igénybe venniük.

Nemzeti felügyeleti hatóságok (25. cikk)

A 2008/977/IB kerethatározat elismeri, hogy a feladataikat teljes mértékben függetlenül ellátó felügyeleti hatóságok létrehozása a tagállamokban „a tagállamok közötti rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelmének alapvető eleme” (a (33) preambulumbekezdés). Leszögezi továbbá, hogy az irányelv alapján a tagállamokban már létrehozott felügyeleti hatóságoknak „lehetővé kell tenni”, hogy e feladatokat is elláthassák (a (34) preambulumbekezdés). A 2008/977/IB kerethatározat 25. cikke jelentős részben tükrözi a 95/46/EK határozat 28. cikkének ([1]-[4] bekezdés, [7] bekezdés) a felügyeleti hatósággal kapcsolatos rendelkezését, a hatóság hatásköre, a teljes függetlenséggel való eljárási és szakmai titoktartási kötelezettség vonatkozásában. Minden hatóságot számos hatáskörrel kell felruházni, többek között vizsgálati jogkörrel (többek között az adatokhoz való hozzáférés és a szükséges információk összegyűjtése), hatékony beavatkozási jogosultságokkal (mint például az adatfeldolgozási műveletek megkezdése előtti véleményezés joga és az ilyen vélemények megfelelő közzététele; az adatok zárolásának, törlésének vagy megsemmisítésének, az adatfeldolgozás átmeneti vagy végleges tilalmának elrendelése; az adatkezelő figyelmeztetése vagy megrovása, az ügy nemzeti parlament vagy más politikai intézmény elé utalása), valamint bírósági eljárásban való részvétel jogával.

Az 5. táblázat azt mutatja, hogy a legtöbb esetben az általános adatvédelmi szabályok végrehajtásának és alkalmazásának nyomon követéséért felelős nemzeti felügyeleti hatóságok felelnek a 2008/977/IB kerethatározat végrehajtásának és alkalmazásának felügyeletéért is.

Svédország jelezte, hogy még ki kell jelölnie azt az adatvizsgálati testületet, amely betölti majd a kerethatározat 25. cikke szerinti illetékes felügyeleti hatóság szerepét.

Néhány tagállam kifejezetten felveti a bíróságok általi adatfeldolgozás felügyeletének kérdését[17]. Dánia közölte, hogy a Közigazgatási Bíróság felel a bíróságok általi adatfeldolgozás felügyeletéért, Ausztria pedig megjegyezte, hogy az adatvédelmi hatóság nem rendelkezik hatáskörrel az adatvédelmi szabályok bíróságok általi megsértésével kapcsolatos panaszok elbírálásához. Luxemburgban az adatfeldolgozás felügyelete általában véve az adatvédelmi bizottság hatáskörébe tartozik. A nemzetközi egyezményeket végrehajtó nemzeti rendelkezés keretében végzett feldolgozási tevékenységet egy olyan hatóság felügyeli, amely a Procureur Général d’Etat -ból vagy annak képviselőjéből, valamint az adatvédelmi bizottságnak a bizottság által javasolt és a miniszter által kinevezett két tagjából áll.

A tagállamok által felvetett további kérdések

A 26 tagállamból 20 – amelyek közül 8 egyáltalán nem válaszolt erre a kérdésre (Belgium, Dánia, Észtország, Görögország, Magyarország, Luxemburg, Ciprus és Ausztria) – nem számolt be semmilyen konkrét problémáról a kerethatározattal kapcsolatban. Amint a 6. táblázat mutatja, 6 tagállam észrevételeket tett az őket nyugtalanító kérdésekre, így például az alábbiakra:

– Lengyelország úgy vélte, hogy a kerethatározat számos orvosolandó hiányosságot tartalmaz, és kifejezte, hogy támogatja az átfogó és koherens uniós szintű adatvédelmi rendszer létrehozására irányuló reformot;

– Olaszország és Hollandia arról tett említést, hogy a gyakorlatban nehéz elkülöníteni a 2008/977/IB kerethatározat alapján történő, határon átnyúló adatfeldolgozást, valamint a nemzeti szintű adatfeldolgozást, továbbá arról a nehézségről, hogy a tagállami bűnüldöző hatóságok nehezen igazodnak el ugyanazon személyes adatokra vonatkozó különböző feldolgozási szabályok között.

– Olaszország, a Cseh Köztársaság, és Hollandia kritikát fogalmazott meg a kerethatározatba foglalt nemzetközi továbbításra vonatkozó szabályok tekintetében. Olaszország elsősorban azt állította, hogy megfelelő és egységesebb szintű adatvédelmet kell előírni a harmadik országokba történő adattovábbítás esetében. Hollandia problémásnak tekintette, hogy a kerethatározatból hiányoznak azok a kritériumok, amelyek meghatároznák a harmadik országbeli megfelelő védelem szintjét, és ennek következtében különféle tagállami végrehajtásra kerül sor. Végezetül a Cseh Köztársaság úgy ítélte meg, hogy a kerethatározat nemzetközi adattovábbításra vonatkozó szabályai „nem realisztikusak”.

– Franciaország említést tett egy konkrét nemzeti szintű problémáról, amennyiben olyan harmadik országnak vagy országból továbbítanak személyes adatokat, amely eltérő követelményekkel rendelkezik az adattárolási időszakok vonatkozásában.

– Szlovákia szerint jobban el kell különíteni a rendőrség és a bíróság (bírósági eljárás) általi adatfeldolgozást;

– A Cseh Köztársaság és Hollandia is jelezte, hogy a bűnüldözés számára bizonytalanságot jelent, hogy nemzetközi (pl.: Európa Tanács), uniós és nemzeti szinten sokféle adatvédelmi szabálynak kell eleget tennie.

A TOVÁBBI MUNKA

E jelentés bemutatja a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében továbbított személyes adatok védelméről szóló kerethatározat működését és végrehajtásának helyzetét.

A nemzeti szintű és a határon átnyúló keretben folytatott adatfeldolgozást egyaránt lefedő egységes szabályrendszer megoldást nyújthat a tagállamoknak azokra a gyakorlati nehézségekre, amelyekkel a belföldi és a határon átnyúló adatfeldolgozásra vonatkozó szabályok elkülönítése terén találkoznak. További tisztázást érdemelnének az adatalanyok tájékoztatáshoz való jogával kapcsolatos uniós szintű hatáskör és esetleges kivételek. Az adatalanyok hozzáféréshez való jogával kapcsolatos kritériumok minimális összehangolása megerősíthetné az adatalanyok jogait, miközben olyan kivételeket is biztosíthatna, amelyek lehetővé teszik a rendőrségnek és az igazságszolgáltatásnak, hogy megfelelően ellássa a feladatait.

Az Európai Unió működéséről szóló szerződésnek a személyes adatok védelméhez való jogot rögzítő 16. cikke alapján jelenleg létrehozható egy olyan átfogó adatvédelmi keret, amely egyaránt biztosítja az egyének adatainak magas szintű védelmét a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés terén, valamint a tagállamok rendőri és igazságügyi hatóságai közötti – a szubszidiaritás elvét teljes mértékben tiszteletben tartó – adatcsere zavartalanabb lefolytatását.

[1] HL L 350., 2008.12.30., 60. o.

[2] 30. cikk.

[3] A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv, HL L 281., 1995.11.23., 31. o., (5) preambulumbekezdése.

[4] 1. cikk.

[5] Az 1. cikk (5) bekezdése.

[6] Az 1. cikk (2) bekezdése.

[7] 13. cikk.

[8] Olaszország arról tájékoztatta a Bizottságot, hogy a konkrét végrehajtási eszközöket még nem fogadták el hivatalosan. Olaszország a személyes adatok védelméről szóló törvényre, a büntetőeljárásról szóló törvényre, valamint az e területeken történő adatfeldolgozásra vonatkozó rendelkezéseket tartalmazó egyéb jogi aktusokra hivatkozik. A többi tagállam eltérő álláspontra helyezkedik, és azt közli, hogy a hatályos adatvédelmi szabályok a rendőrség és az igazságszolgáltatás általi, nemzeti szintű személyesadat-feldolgozásra, valamint a rendőrség és az igazságszolgáltatás által büntetőügyekben folytatott határon átnyúló adatfeldolgozásra is alkalmazandók. E tagállamok emellett arról tájékoztatták a Bizottságot, hogy jelenleg további végrehajtási intézkedéseket készítenek elő.

[9] Lásd a C-105/03. sz., Pupino ügyben 2005. május 16-án hozott ítélet 34., 43-45., 47. és 61. pontját, amelyekben a Bíróság kimondta, hogy a nemzeti jogszabályokat értelmező nemzeti bíróságok kötelesek következetes értelmezés kialakítására törekedni a kerethatározatok tekintetében is.

[10] Már a kerethatározat elfogadása előtt is ez volt a helyzet (lásd : A Bizottság munkadokumentuma, Hatásvizsgálat, SEC(2005) 1241, 2005.10.4., 5.1.2. pont).

[11] Lásd az 2. táblázatot.

[12] Lásd az 2. táblázatot.

[13] Lásd Hollandia észrevételeit.

[14] Lásd továbbá Lengyelország (Belügyminisztérium) hozzászólását a Bizottság által 2010 végén indított nyilvános konzultációhoz (amelyet a kérdőívre adott válaszukban említenek): http://ec.europa.eu/justice/news/consulting_public/0006/contributions/public_authorities/pl_min_pl.pdf.

[15] Ez a következtetés vonható le, bár néhány tagállam nem nyújtott be pontos kritériumokat (a részleteket lásd a 3. táblázatban).

[16] A 2008/977/IB kerethatározat 17. cikke nem tesz kifejezetten említést erről a kivételről, amely azonban tükrözi a 95/46/EK irányelv 13. cikkének (1) bekezdésében felsorolt egyik kivételt.

[17] Lásd a kerethatározat (35) preambulumbekezdésének utolsó mondatát, amely kimondja, hogy a felügyeleti hatóságok hatáskörei „nem sérthetik a büntetőeljárásokra vagy a bírói testületek függetlenségére vonatkozó különös előírásokat”.