EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012DC0009
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS Safeguarding Privacy in a Connected World A European Data Protection Framework for the 21st Century
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK ÉS AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK A magánélet védelme az összekapcsolódó világban 21. századi európai adatvédelmi keret
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK ÉS AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK A magánélet védelme az összekapcsolódó világban 21. századi európai adatvédelmi keret
/* COM/2012/09 final */
52012DC0009
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK, A TANÁCSNAK ÉS AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK A magánélet védelme az összekapcsolódó világban 21. századi európai adatvédelmi keret /* COM/2012/09 final */
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI
PARLAMENTNEK, A TANÁCSNAK ÉS AZ EURÓPAI GAZDASÁGI ÉS SZOCIÁLIS BIZOTTSÁGNAK A magánélet védelme az összekapcsolódó
világban
21. századi európai adatvédelmi keret (EGT-vonatkozású szöveg)
1.
AZ ADATVÉDELEM AKTUÁLIS KIHÍVÁSAI
A gyors ütemű technológiai változás és
globalizáció alapvetően átalakította a folyamatosan növekvő
mennyiségű személyes adat gyűjtésének, hozzáférhetőségének,
felhasználásának és továbbításának módját. A 250 millió európai internet
felhasználó mindennapi életének részévé váltak a közösségi hálózatok keretében
történő új információ-megosztási módok, és nagy mennyiségű adat
távoli helyen történő tárolása. Ugyanakkor sok vállalkozás számára
értékessé váltak a személyes adatok. A potenciális ügyfelek adatainak gyűjtése,
összesítése és elemzése gyakorta gazdasági tevékenységük fontos részét képezi[1]. Ebben az új digitális környezetben az egyének
jogosultak arra, hogy tényleges ellenőrzést gyakoroljanak személyes
adataik felett. Európában az adatvédelem alapvető jognak számít,
amelyet belefoglaltak az Európai Unió Alapjogi Chartájának 8. cikkébe, valamint
az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének
(1) bekezdésébe, és ennek megfelelően kell védelmezni. A bizalomhiány miatt a fogyasztók vonakodnak az
interneten vásárolni és új szolgáltatásokat elfogadni. Ezért a magas
szintű adatvédelem abban a tekintetben is döntő
jelentőségű, hogy erősíti az online szolgáltatások iránti
bizalmat, és kihasználhatóvá teszi a digitális gazdaságban rejlő
lehetőségeket, ezáltal pedig ösztönzi a gazdasági növekedést és az
uniós iparágak versenyképességét. Az egész Unióra kiterjedő, korszerű és
következetes szabályokra van szükség ahhoz, hogy az adatok szabadon
áramolhassanak a tagállamok között. A vállalkozások világos és egységes
szabályokat igényelnek, amelyek jogbiztonságot nyújtanak és a lehető
legkisebbre mérsékelik az adminisztratív terheket. Mindez elengedhetetlen
ahhoz, hogy az egységes piac működőképes legyen, és ösztönözze a
gazdasági növekedést, munkahelyeket teremtsen, és előmozdítsa az
innovációt[2].
Az uniós adatvédelmi szabályoknak – a belső piaci dimenziót
erősítő – korszerűsítése magas szintű adatvédelmet biztosít
az egyének számára, továbbá előmozdítja a jogbiztonságot, az
egyértelműséget és a következetességet, ennélfogva központi szerepet
játszik az Európai Bizottság stockholmi cselekvési tervében[3], az európai digitális
menetrendben[4],
valamint – tágabb értelemben – az Európa 2020 uniós növekedési stratégiában[5]. A 1995. évi uniós irányelv,[6] amely a személyes adatok
európai védelmének legfontosabb jogalkotási eszköze, mérföldkőnek
bizonyult az adatvédelem történetében. A jogszabály célkitűzései – az
egységes piac működőképességének biztosítása, valamint az egyének
alapvető jogainak és szabadságjogainak hatékony védelme – továbbra is
érvényesek. Azonban az említett jogi aktust 17 évvel ezelőtt fogadták el,
amikor az internet még gyerekcipőben járt. Napjaink új, kihívásokkal teli
digitális környezetében a meglévő szabályok nem biztosítják sem a
kellő mértékű összehangolást, sem a személyes adatok védelméhez való
jog biztosításához szükséges hatékonyságot. Ezért az Európai Bizottság
javaslatot tesz az uniós adatvédelmi keret alapvető reformjára. Ezenfelül a Lisszaboni Szerződés az EUMSZ 16.
cikkének formájában létrehozta az adatvédelemre és a személyes adatok szabad
áramlására vonatkozó korszerűsített és átfogó megközelítés új jogalapját,
amely a büntetőügyekben zajló rendőrségi és igazságügyi
együttműködésre is kiterjed[7].
Az említett megközelítés tükröződik az Európai Bizottságnak a Stockholmi
Programról, illetve a stockholmi cselekvési tervről szóló közleményében[8], amelyek kiemelik annak
szükségességét, hogy az Uniónak „a személyes adatok védelmére vonatkozó
egységes szabályozásra van szüksége”, valamint „gondoskodnia kell az
adatvédelemre vonatkozó alapvető jog következetes alkalmazásáról”. Az uniós adatvédelmi keret reformjának átlátható
előkészítése céljából a Bizottság 2009 óta nyilvános konzultációkat
indított az adatvédelemről[9],
továbbá intenzív párbeszédet folytatott az érdekeltekkel[10]. 2010. november 4-én a Bizottság a személyes adatok Európai Unión belüli
védelmének átfogó megközelítéséről szóló közleményt tett közzé[11], amely meghatározta a reform
legfontosabb kérdéseit. 2011 szeptembere és decembere között a Bizottság
intenzív párbeszédet folytatott az Európa nemzeti adatvédelmi hatóságaival és
az európai adatvédelmi biztossal annak feltérképezése érdekében, hogy milyen
lehetőségek állnak rendelkezésre ahhoz, hogy az összes uniós tagállamban
következetesebben alkalmazzák az uniós adatvédelmi normákat[12]. Az említett megbeszélések világossá tették, hogy a
polgárok és a vállalkozások egyaránt azt kívánják, hogy az Európai Bizottság
átfogóan reformálja meg az uniós adatvédelmi szabályokat. A különböző
szakpolitikai lehetőségek hatásainak elemzését követően[13] az Európai Bizottság most
javaslatot tesz az uniós szakpolitikákat átfogó, erőteljes és
következetes jogi keretre, amely megerősíti az egyének jogait, az
adatvédelem egységes piaci dimenzióját, továbbá csökkenti a vállalatokat
terhelő bürokráciát[14].
A Bizottság javaslata szerint az alábbi jogszabályok alkotják az új jogi
keretet: –
Az adatvédelem általános uniós keretét meghatározó rendelet
(amely a 95/46/EK irányelv helyébe lép)[15]; –
valamint a bűncselekmények megelőzése,
kivizsgálása, felderítése, illetve büntetőeljárás alá vonása céljából
feldolgozott személyes adatok védelmére vonatkozó szabályokat meghatározó irányelv
(amely a 2008/977/IB kerethatározat[16]
helyébe lép). E közlemény ismerteti az uniós adatvédelmi keret
reformjának főbb elemeit.
2.
Az egyének feljogosítása személyes adataik
ellenőrzésére
Az adatvédelem terén legfontosabb uniós
jogalkotási aktus, a 95/46/EK irányelv alapján a tagállamok között nem
hangolták össze megfelelően azokat a módokat, ahogyan az egyének az
adatvédelemhez való jogukat gyakorolhatják. Az adatvédelemért felelős
tagállami hatóságok hatásköreit sem harmonizálták eléggé ahhoz, hogy
biztosítható legyen a szabályok következetes és hatékony alkalmazása. Ez azt
jelenti, hogy egyes tagállamokban – különösen online környezetben – ezek a
jogok ténylegesen nehezebben érvényesíthetők, mint másokban. Az említett nehézségek a nap mint nap
összegyűjtött adatok nagy mennyiségéből is adódnak, továbbá abból,
hogy a felhasználók gyakran nem teljesen vannak tisztában azzal, hogy
gyűjtik az adataikat. Jóllehet sok európai úgy véli, hogy a személyes
adatok közlése egyre inkább a modern élet részévé válik [17], az európai
internet-felhasználók 72%-a még mindig nyugtalan amiatt, hogy túl sok személyes
adat megadását kérik az interneten[18].
Ők úgy érzik, hogy kicsúszik a kezükből az adataik feletti
ellenőrzés. Nem biztosítanak számukra megfelelő tájékoztatást arról,
hogy mi történik a személyes adataikkal, kinek és milyen célokból továbbítják
azokat. Gyakran nem ismerik a módját, hogy miként élhetnek a jogaikkal az
interneten. A személyes adatok
tárolásának megszüntetéséhez való jog („the right to be forgotten”) Egy online közösségi hálózati szolgáltatást
igénybe vevő európai diák úgy dönt, hogy hozzáférést kér a hálózaton
tárolt valamennyi, a személyével kapcsolatos személyes adathoz. Amikor megkapja
a hozzáférést, rájön, hogy a hálózat sokkal több adatot gyűjt róla, mint
hitte, és még mindig tárolnak néhány olyan személyes adatot, amelyekről
azt gondolta, hogy már törölték. Az uniós adatvédelmi szabályok reformja – az
alábbiak bevezetése révén – biztosítja, hogy erre többé ne kerüljön sor: - az a kifejezett követelmény, amely
értelmében az online közösségi hálózati szolgáltatások (valamint az összes
egyéb adatkezelő) köteles a lehető legkisebbre csökkenteni az általa
gyűjtött és feldolgozott személyes adatok mennyiségét; - az a követelmény, hogy az alapbeállítások
szerint az adatok nem hozhatók nyilvánosságra; - az adatkezelők kifejezett
kötelezettsége, hogy töröljék az adott személyek személyes adatait, ha az
érintett személy kifejezetten kéri azok törlését, és nincs jogos indok a
megtartásukra.
Az említett konkrét esetben e rendelkezés arra kötelezné a közösségi hálózat
üzemeltetőjét, hogy azonnal és teljes mértékben törölje a diák adatait. Amint az európai digitális menetrend kiemelte, a
magánélet tiszteletben tartásával kapcsolatos aggodalmak azon leggyakoribb okok
között szerepelnek, amelyek miatt az emberek nem vásárolnak árukat és
szolgáltatásokat az interneten Tekintettel arra, hogy az információs és
kommunikációs technológiai (IKT) ágazat milyen mértékben járul hozzá az európai
termelékenység általános növekedéséhez – 20% közvetlenül az IKT-szektorból
származik, 30% pedig az IKT-beruházásokból[19]
–, az e szolgáltatásokba vetett bizalom alapvető fontosságú az európai
gazdaság növekedésének és az európai ipar versenyképességének ösztönzése
szempontjából. Az adatok
megsértésével kapcsolatos bejelentések Hackerek megtámadtak egy olyan
játékszolgáltatást, amely az EU-n belüli felhasználókra irányul. A betörés
olyan adatbázisokat érintett, amelyek világszerte több tízmillió felhasználó
személyes adatait (így neveket, címeket, és esetleg hitelkártya-adatokat)
tartalmazzák. A vállalat egy hét késéssel értesítette az érintett
felhasználókat. Az uniós adatvédelmi szabályok reformja
biztosítja, hogy erre többé nem kerülhessen sor. Az új szabályok kötelezik a
vállalatokat, hogy - erősítsék meg a biztonsági
intézkedéseiket az adatsértések megelőzése és elkerülése érdekében; haladéktalanul – amennyiben megvalósítható, az
adatsértés felfedezésétől számított 24 órán belül – értesítsék az
adatsértésekről a nemzeti adatvédelmi hatóságot és az érintett
személyeket. A Bizottság által javasolt új jogalkotási aktusok
célja a jogok megerősítse, hogy hatékony és működőképes
lehetőségeket biztosítson az emberek számára ahhoz, hogy teljes képet
kapjanak arról, hogy mi történik a személyes adataikkal, és képesek legyenek
hatékonyabban élni a jogaikkal. Az egyének adatvédelemhez való jogának
megerősítése céljából a Bizottság olyan új szabályokat javasol, amelyek Javítják az egyének képességét saját adataik
ellenőrzésére az alábbiak révén: - annak biztosítása, hogy amennyiben hozzájárulás
szükséges, ezt kifejezetten – vagyis az érintett személy nyilatkozata vagy
egyértelmű megerősítő cselekménye alapján –, és szabadon adják
meg; - az internet-felhasználók felruházása a
személyes adatok tárolásának megszüntetéséhez való tényleges jogosultsággal
az online környezetben: azzal a joggal, hogy töröljék az adataikat, amennyiben
visszavonják a hozzájárulásukat és nincs egyéb jogos indokok az adatok
megtartására; - az érintett saját adataihoz való
könnyű hozzáférés, valamint az adathordozhatósághoz való jog
garantálása: az a jogosultság, hogy megkapják az adatkezelőtől a
tárolt adatok másolatát, továbbá szabadon, akadálymentesen átvihessék azokat az
egyik szolgáltatótól a másikhoz; - a tájékoztatáshoz
való jog megerősítése, hogy az egyének teljes mértékben átlássák, hogy
miképp kezelik a személyes adataikat, kiváltképpen, amikor az adatkezelés gyermekeket
érint.
Megfelelőbb eszközöket biztosítanak az egyének számára jogaik
gyakorlására az alábbiak révén: - a nemzeti adatvédelmi hatóságok
függetlenségének és hatásköreinek megerősítése, hogy megfelelő
eszközökkel rendelkezzenek a panaszok kezeléséhez, hatáskörük kiterjedjen a
hatékony vizsgálatok lefolytatására, jogilag kötelező határozatok
meghozatalára, valamint hatékony és visszatartó erejű szankciók
alkalmazására; - az adatvédelemhez való jogok megsértése
esetén igénybe vehető közigazgatási és bírósági jogorvoslatok
megerősítése. Az erre feljogosított egyesületek bírósághoz fordulhatnak
majd az egyének nevében. Megerősítik az adatbiztonságot az alábbiak révén: - a személyes adatok védelmét
erősítő technológiák (olyan technológiák, amelyek a személyes
adatok tárolásának minimálisra korlátozása révén védik az
információbiztonságot), a személyes adatok védelmét biztosító
alapértelmezett beállítások és az adatvédelmi tanúsítási rendszerek
alkalmazásának ösztönzése; - az adatkezelőkre vonatkozó olyan általános
kötelezettség[20]
bevezetése, amely szerint az adatsértéseket haladéktalanul be
kell jelenteniük az adatvédelmi hatóságoknak (amennyiben megvalósítható, 24
órán belül) és az érintett személynek. Erősítik az adatfeldolgozást végzők
elszámoltathatóságát, különösen az alábbiak
révén: - az
adatkezelők kötelezése, hogy jelöljenek ki adatvédelmi
tisztviselőt a 250 főnél több alkalmazottat foglalkoztató
vállalatoknál és az olyan feldolgozási műveleteket végző cégeknél,
amelyek jellegüknél, kiterjedésüknél vagy céljuknál fogva különleges kockázatot
jelentenek az egyének jogaira és szabadságaira nézve („kockázatos feldolgozás”);
- a „beépített adatvédelem” elvének
bevezetése annak érdekében, hogy az eljárások és rendszerek tervezésének
szakaszában figyelmet fordítsanak az adatvédelmi biztosítékok beépítésére; - az adatvédelmi hatásvizsgálatok végzésére
vonatkozó kötelezettség bevezetése a kockázatos feldolgozásban részt vevő
szervezetek esetében.
3.
Az egységes digitális piac számára megfelelő
adatvédelmi szabályok
Jóllehet a jelenlegi irányelvnek az a célja, hogy
egyenlő szintű adatvédelmet biztosítson az EU-n belül, továbbra is
jelentős eltérések mutatkoznak a tagállami szabályok között. Ennek
következtében előfordul, hogy az adatkezelőknek 27 különböző
nemzeti jogszabálynak és előírásnak kell eleget tenniük. A szabályozás
olyan széttagolt jogi környezetet eredményezett, amely jogbizonytalanságot
hoz létre, és egyenlőtlen védelmet biztosít a személyek számára. Mindez szükségtelen
költségeket és adminisztratív terheket okozott a vállalkozásoknak, és
elbátortalanítja azokat az egységes piacon tevékenykedő vállalatokat,
amelyek esetleg a határon túlra is ki kívánják terjeszteni a tevékenységüket. Az adatvédelemért felelős nemzeti hatóságok
forrásai és hatáskörei tagállamonként jelentős mértékben eltérőek[21]. Néhány esetben nem tudják
megfelelően ellátni jogérvényesítési feladataikat. Az említett hatóságok
közötti európai szintű együttműködés – amely a meglévő tanácsadó
csoport (az úgynevezett 29. cikk szerinti munkacsoport)[22] keretében történik – nem
minden esetben eredményez következetes jogérvényesítést, és szintén javításra
szorul. Az adatvédelmi szabályok összehangolt
érvényesítése egész Európában Egy, az EU területén több létesítménnyel
rendelkező multinacionális vállalat olyan online térképészeti rendszert
épített ki Európa-szerte, amely az összes magán- és középületről képeket
gyűjt, és az is előfordulhat, hogy az utcán tartózkodó
emberekről is képeket készít. Az egyik tagállamban jogellenesnek
tekintették, hogy a rendszer olyan személyekről tartalmazzon el nem
homályosított képeket, akik nem voltak tudatában, hogy fénykép készül róluk,
más tagállamokban azonban ez nem sértette az adatvédelmi jogszabályokat. Ennek
következtében a nemzeti adatvédelmi hatóságok nem tettek összehangolt
válaszlépéseket e helyzet orvoslására. Az uniós adatvédelmi szabályok reformja
biztosítja, hogy a jövőben erre ne kerülhessen sor, mivel: - az adatvédelmi követelményeket és
biztosítékokat az egész Unióban közvetlenül alkalmazandó uniós rendeletben
határozzák meg; - kizárólag a vállalat székhelye szerinti
adatvédelmi hatóság felel annak eldöntéséért, hogy a vállalat jogszerűen
jár-e el; - a nemzeti hatóságok közötti gyors és
hatékony koordináció – tekintve, hogy a szolgáltatás nem csupán egy tagállam
lakosaira irányul – elősegíti annak biztosítását, hogy az új uniós
adatvédelmi szabályokat az összes tagállamban következetesen alkalmazzák és
érvényesítsék.
A következetes jogérvényesítés, és – végső
soron – a szabályok EU-szerte egységes alkalmazásának garantálása céljából meg
kell erősíteni a nemzeti hatóságokat és a közöttük zajló
együttműködést. Az erőteljes, világos és egységes uniós
szintű jogi keret elősegíti az egységes digitális piacban rejlő
lehetőségek kibontakoztatását, valamint a gazdasági növekedés, az
innováció és a munkahelyteremtés előmozdítását. A rendelet megszünteti a
27 tagállam jogrendszereinek széttagoltságát, és elhárítja a piacra lépés
előtt álló akadályokat, ami rendkívül fontos szempontot jelent a mikro,
kis és közepes vállalatok számára. Az új szabályok emellett előnyhöz juttatják
az európai vállalatokat a globális versenyben. A megreformált szabályozási
keret alapján e vállalatok biztosíthatják ügyfeleiket, hogy megfelelő
körültekintéssel és gondossággal fogják kezelni az értékes személyes
információkat. A következetes uniós szabályozási rendszerbe vetett bizalom
kulcsfontosságú eszközt jelent a szolgáltatóknak, és ösztönzést nyújt azoknak a
befektetőknek, akik optimális feltételeket keresnek szolgáltatásuk
helyszínének megválasztásakor. Az adatvédelem egységes piaci dimenziójának
erősítése érdekében a Bizottság az alábbiakat javasolja - uniós szintű adatvédelmi szabályok
megállapítása az összes tagállamban közvetlenül alkalmazandó rendelet[23] keretében, amely véget vet az
eltérő nemzeti adatvédelmi jogszabályok egyszerre és egyidejűleg
történő alkalmazásának. Mindez egyedül az adminisztrációs terhek
tekintetében körülbelül évi nettó 2,3 milliárd EUR megtakarítást
jelent majd a vállalatok számára; - a szabályozási környezet
egyszerűsítése a bürokrácia radikális csökkentése révén, és az olyan
formalitások megszüntetésével, mint például az általános bejelentési
kötelezettségek (ez egyedül az adminisztratív terhek tekintetében évi 130
millió EUR nettó megtakarítást eredményez majd). Tekintve, hogy fontos szerepet
játszanak az európai gazdaság versenyképességében, különös figyelmet kell
szentelni a mikro, a kis- és a középvállalkozások sajátos szükségleteinek; - a nemzeti adatvédelmi hatóságok
függetlenségének és hatásköreinek további megerősítése, hogy képesek
legyenek hatékony vizsgálatok lefolytatására, jogilag kötelező határozatok
meghozatalára, valamint hatékony és visszatartó erejű szankciók
alkalmazására, továbbá a tagállamok kötelezése arra, hogy bocsássanak
rendelkezésükre elegendő erőforrást e feladatok ellátása
céljából; - az európai adatvédelem egyablakos
ügyintézési rendszer kialakítása: az EU-n belüli adatkezelőknek csupán
egyetlen adatvédelmi hatósággal kell így együttműködniük, mégpedig
annak a tagállamnak az adatvédelmi hatóságával, ahol a vállalat székhelye
található; - az adatvédelmi hatóságok közötti gyors
és hatékony együttműködés feltételeinek megteremtése, beleértve azt
is, hogy az egyik hatóság köteles vizsgálatokat és ellenőrzéseket végezni
a másik hatóság megkeresése alapján, továbbá hogy a hatóságok kötelesek
elismerni egymás határozatait; - uniós szintű egységességi
mechanizmust létrehozása annak biztosítása céljából, hogy az adatvédelmi hatóságok
szélesebb körű európai hatást kifejtő határozatai teljes mértékben
figyelembe vegyék a többi érintett adatvédelmi hatóság álláspontját, és teljes
mértékben összhangban legyenek az uniós joggal; - a 29. cikk szerinti munkacsoport független
Európai Adatvédelmi Testületté való továbbfejlesztése, hogy hatékonyabban
járulhasson hozzá az adatvédelmi jog következetes alkalmazásához, és szilárd
alapot biztosítson az adatvédelmi hatóságok – köztük az európai adatvédelmi
biztos – együttműködése számára, továbbá a szinergia és a hatékonyság
erősítése annak előírásával, hogy az európai adatvédelmi biztos
biztosítja az európai adatvédelmi testület titkárságát. Az új uniós rendelet az egész Európai Unióban
erőteljes védelemben részesíti az adatvédelemhez való alapvető jogot,
és megerősíti az egységes piac működését. Ugyanakkor – tekintve,
hogy, amint azt az Európai Unió Bírósága[24]
megállapította, a személyes adatok védelméhez való jog nem abszolút jog, hanem
a társadalomban betöltött szerepének függvényében kell figyelembe venni[25], valamint az arányosság elvére
figyelemmel egyensúlyba kell hozni más alapvető jogokkal – a rendelet
olyan kifejezett rendelkezéseket is tartalmaz[26],
amelyek más alapvető jogok – így a véleménynyilvánítás és a tájékoztatás
szabadsága, és a védelemhez való jog, valamint a szakmai titoktartás (pl.: a
jogi szakmák esetében) – tiszteletben tartását biztosítják, miközben nem
érintik az egyházaknak a tagállami jogszabályok alapján élvezett jogállását.
4.
Az adatok felhasználása a büntetőügyekben folytatott
rendőrségi és igazságügyi együttműködés során
A Lisszaboni Szerződés hatályba lépése, és
különösen egy új jogalap bevezetése (az EUMSZ 16. cikke) lehetővé teszi
olyan átfogó adatvédelmi keret létrehozását, amely – a büntetőügyekben
folytatott rendőrségi és igazságügyi együttműködés sajátos jellegének
tiszteletben tartása mellett – garantálja az egyének adatainak magas
szintű védelmét. Először is lehetővé teszi, hogy a felülvizsgált
uniós adatvédelmi keret egyaránt kiterjedjen a személyes adatok határon átnyúló
és belföldi feldolgozására. Ez csökkentené a tagállamok jogszabályai közötti
eltéréseket, ami valószínűsíthetően javítaná a személyes adatok
általános védelmét. Emellett zavartalanabbá válhat a tagállami rendőri és
igazságügyi hatóságok közötti információcsere, ezáltal pedig javulhat az
európai súlyos bűnözéssel szembeni fellépést szolgáló együttműködés.
Jelenleg elsődlegesen a Lisszaboni Szerződés hatályba lépése
előtt elfogadott 2008/977/IB határozat szabályozza a rendőri és
igazságügyi hatóságok által büntetőügyekben végzett adatfeldolgozást.
Mivel kerethatározatról van szó, a Bizottság hatásköre nem terjed ki e
szabályok érvényesítésére, ami hozzájárult az egyenetlen végrehajtáshoz.
Ezenfelül a kerethatározat hatálya a határon átnyúló feldolgozási
tevékenységekre korlátozódik[27],
vagyis az e feldolgozásra irányadó és az adatvédelemhez való alapvető
jogot védelmező uniós szabályok jelenleg nem terjednek ki azon személyes
adatok feldolgozására, amelyeket nem osztottak meg. Mindez némely esetben azoknak
a rendőri és egyéb hatóságoknak is gyakorlati nehézségeket okoz, amelyek
számára esetleg nem egyértelmű, hogy az adatfeldolgozás tisztán belföldi
vagy határon átnyúló; vagy pedig nem látják előre, hogy sor kerül-e
esetleg később a „belföldi” adatok határon átnyúló cseréjére[28]. Az EU új, megreformált adatvédelmi kerete ezért a
következetes, magas szintű adatvédelem biztosítására irányul, hogy fokozza
a különböző tagállamok rendőri és igazságügyi hatóságai közötti
kölcsönös bizalmat, és így jobban elősegítse az adatok szabad áramlását,
valamint a rendőri és igazságügyi hatóságok közötti hatékony
együttműködést. Annak érdekében, hogy biztosítsa személyes adatok
magas szintű védelmét a büntetőügyekben folytatott rendőrségi és
igazságügyi együttműködés terén, továbbá hogy elősegítse a tagállamok
rendőri és igazságügyi hatóságai közötti személyesadat-cserét, a Bizottság
az adatvédelmi reformcsomag részeként olyan irányelvre tesz javaslatot, amely: - általános adatvédelmi elveket alkalmaz a büntetőügyekben folytatott rendőrségi és igazságügyi
együttműködésre, miközben tiszteletben tartja az említett területek
sajátos jellegét;[29]
- az általános szabályok esetleges
korlátozásaira vonatkozó összehangolt minimumkritériumokat és
-feltételeket állapít meg. Ez különösen az egyének azon jogára vonatkozik,
hogy tájékoztatni kell őket, amikor a rendőri vagy igazságügyi
hatóságok kezelik vagy megtekintik az adataikat. E korlátozásokra a
bűncselekmények hatékony megelőzése, kivizsgálása, felderítése vagy
és üldözése érdekében van szükség; - a bűnüldöző tevékenységek
sajátos jellegének megfelelő külön szabályokat állapít meg, beleértve
az érintettek azon különböző kategóriáinak megkülönböztetését, akiknek
a jogai is eltérhetnek egymástól (így pl. tanúk és gyanúsítottak).
5.
ADATVÉDELEM A GLOBALIZÁLT VILÁGBAN
Az egyének jogait akkor is biztosítani kell,
amikor személyes adatokat az EU-ból harmadik országokba továbbítanak, valamint
harmadik országok szolgáltatói a tagállamokban tartózkodó személyeket vesznek
célba, és az ő adataikat használják fel vagy elemzik. Ez azt jelenti, hogy
az uniós adatvédelmi normákat kell alkalmazni, függetlenül az adott vállalat
földrajzi elhelyezkedésétől vagy adatfeldolgozási eszközétől. A mai globalizált világban a személyes adatokat
egyre több virtuális és földrajzi határon keresztül továbbítják, és számos
országban található szervereken tárolják. Több vállalat nyújt számítási
felhőre vonatkozó szolgáltatásokat, amelyek lehetővé teszik az
ügyfeleknek, hogy távoli szervereken tároljanak adatokat és hozzáférjenek az
ott tárolt adatokhoz. Az említett tényezők szükségessé teszik a harmadik
országokba történő adattovábbításra vonatkozó jelenlegi mechanizmusok
javítását. Ez kiterjed a megfelelőségi határozatokra – vagyis a harmadik
országok adatvédelmi normáinak „megfelelőségét” tanúsító határozatokra –
valamint a megfelelő biztosítékokra, így pl. az általános szerződési
feltételekre vagy a kötelező erejű vállalati szabályokra[30], hogy magas szintű
adatvédelmet biztosítsanak a nemzetközi feldolgozási műveletek során, és
elősegítsék a határokon keresztüli adatáramlást. Kötelező erejű vállalati szabályok Egy vállalatcsoportnak rendszeresen személyes
adatokat kell továbbítania az EU-ban letelepedett vállalataitól a harmadik
országokban található vállalataihoz. A csoport kötelező erejű
vállalati szabályrendszert kíván bevezetni, hogy megfeleljen az uniós jognak,
miközben korlátozza az egyes továbbításokra vonatkozó adminisztratív
követelményeket. A gyakorlatban a kötelező erejű vállalati szabályok
biztosítják, hogy a különféle belső szerződések ellenére egységes
szabályrendszer vonatkozzon az egész csoportra. A 29. cikk szerinti munkacsoport szintjén
elfogadott jelenlegi gyakorlatok alapján három adatvédelmi hatóságnak (egy
„vezető” és két „felülvizsgáló” hatóságnak) kell alapos felülvizsgálatot
végeznie (de több egyéb hatóság is észrevételeket tehet) annak elismeréséhez,
hogy egy vállalat kötelező erejű vállalati szabályai megfelelő
biztosítékokat nyújtanak. Ezenfelül sok tagállam joga további nemzeti
engedélyezéseket is előír a kötelező erejű vállalati szabályok
hatálya alá tartozó adattovábbításokhoz, és ez rendkívül terhessé, költségessé,
hosszadalmassá és bonyolulttá teszi azok elfogadásának folyamatát. Az adatvédelmi reformot követően: - egyszerűbbé és korszerűbbé válnak
ezek a folyamatok; - csupán egyetlen adatvédelmi hatóság
validálja majd a kötelező erejű vállalati szabályokat, olyan
mechanizmus alkalmazásával, amely garantálja a többi érintett adatvédelmi
hatóság gyors bevonását; - Amint egy hatóság jóváhagyott valamely
kötelező erejű vállalati szabályt, az az egész EU-ban érvényes lesz,
anélkül, hogy szükség volna bármely további, nemzeti szintű
engedélyezésre. A globalizáció kihívásainak megválaszolása
érdekében rugalmas eszközökre és mechanizmusokra van szükség – különösen a
világszinten működő vállalkozások esetében –, miközben garantálni
kell az egyének adatainak hiánytalan védelmét. A Bizottság a következő
intézkedésekre tesz javaslatot: - világos szabályok, amelyek meghatározzák, hogy mikor alkalmazandó az uniós jog a
harmadik országokban letelepedett adatkezelőkre, kimondva, hogy
amennyiben az Unión belüli egyéneknek kínálnak árukat és szolgáltatásokat, vagy
ha bármikor nyomon követik a viselkedésüket, az európai szabályokat kell
alkalmazni; - a megfelelőségi határozatokat –
a rendőrségi együttműködés és a büntetőjogi igazságszolgáltatás
terén is – az Európai Bizottság fogja meghozni kifejezett és világos
kritériumok alapján; - a harmadik országokba irányuló
jogszerű adatáramlások megkönnyítése a megfelelőségi határozatok
hatályán kívül eső országokba irányuló nemzetközi adattovábbításra
vonatkozó szabályok erősítése és egyszerűsítése révén, különösen
oly módon, hogy egyszerűsítik és kiterjesztik a kötelező
erejű vállalati szabályokhoz hasonló eszközök használatát, hogy azokat
az adatfeldolgozókra és vállalatcsoportokon belül is alkalmazni
lehessen, tekintettel arra, hogy egyre több vállalat vesz részt az
adatfeldolgozással –kiváltképpen a számítási felhővel – kapcsolatos
tevékenységekben; - párbeszéd, és adott esetben tárgyalások
folytatása a harmadik országokkal – különösen az EU stratégiai partnereivel és
az európai szomszédságpolitika országaival –, valamint az érintett nemzetközi
szervezetekkel (így pl. az Európa Tanáccsal, a Gazdasági Együttműködési és
Fejlesztési Szervezettel, az ENSZ-szel), hogy világszerte előmozdítsák
a magas szintű és interoperábilis adatvédelmi normákat.
6.
KÖVETKEZTETÉS
Az EU adatvédelmi reformjának célja, hogy
létrehozza az Európai Unió korszerű, szilárd, következetes és átfogó adatvédelmi
keretét. Az új adatvédelmi keret megerősíti egyének
adatvédelemhez való alapvető jogát, miközben biztosítja, hogy tiszteletben
tartják az egyéb jogok is, így a véleménynyilvánítás és a tájékoztatás
szabadságát, a gyermekek jogait, a szabad vállalkozáshoz való jogot, a
tisztességes eljáráshoz és a szakmai titoktartáshoz való jogot (például a jogi
szakma esetében), valamint az egyházaknak a tagállami jogszabályok szerinti
jogállást. A reform elsősorban az egyéneknek
előnyös, mivel megerősíti adatvédelmi jogaikat és a digitális
környezetbe vetett bizalmukat. A reform ezenfelül lényegesen egyszerűsíti
a vállalkozások és a közszektor jogi környezetét. Mindez várhatóan az EU
egységes piacán és azon túl is ösztönzi majd a digitális gazdaság fejlődését,
összhangban az Európa 2020 stratégia és az európai digitális menetrend
célkitűzéseivel. Végezetül pedig a reform erősíti a
bűnüldöző hatóságok közötti bizalmat és megkönnyíti a közöttük zajló
adatcserét, és a súlyos bűnözés elleni közdelemben folytatott együttműködésüket,
ugyanakkor biztosítja az egyének magas szintű védelmét. Az Európai Bizottság szorosan együttműködik
az Európai Parlamenttel és a Tanáccsal, hogy 2012 végéig megállapodásra
jussanak az EU új adatvédelmi keretéről. A Bizottság az említett elfogadási
folyamat során és azt követően – különösen az új jogi aktusok
végrehajtásával összefüggésben – fenntartja a szoros és átlátható
párbeszédet az összes érdekelt féllel, bevonva a magán- és a közszektor
képviselőit. A résztvevők köre kiterjed a rendőrség, a bírói
kar, az elektronikus hírközlési szabályozók, a civil társadalmi szervezetek, az
adatvédelmi hatóságok és az egyetemi körök, valamint a szakosított uniós
ügynökségek – így az Eurojust, az Europol, az Alapjogi Ügynökség, és az Európai
Hálózat- és Információbiztonsági Ügynökség – képviselőire. Az információs technológiák folyamatos fejlődése és a társadalmi
viselkedési szokások változása miatt e párbeszédnek kiemelten fontos szerepe
van abban, hogy megfelelő információk álljanak rendelkezésünkre az alábbi
célok biztosításához: az egyének magas szintű adatvédelme, az uniós
iparágak növekedése és versenyképessége, a közszektor (beleértve a
rendőrséget és a bírói kart) működési hatékonysága, valamint az
alacsony szintű adminisztratív teher. [1] A rendkívül nagyméretű adatállományok elemzésének
piacai 40%-kal növekszik világszerte: http://www.mckinsey.com/mgi/publications/big_data/. [2] Lásd továbbá az Európai Tanács 2011. október 23-i következtetéseit,
amelyek hangsúlyozták, hogy az egységes piacnak „kulcsszerepet” kell játszania
„a növekedés, a foglalkoztatás és a versenyképesség előmozdításában”,
valamint hogy 2015-ig be kell fejezni a egységes digitális piac kialakítását. [3] COM(2010)171 végleges. [4] COM(2010)245 végleges. [5] COM(2010)2020 végleges. [6] A 95/46/EK irányelv a személyes adatok feldolgozása
vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról
(HL L 281., 1995.11.23., 31. o.). [7] A közös kül- és biztonságpolitika terén folytatott
tagállami adatfeldolgozásra vonatkozó különös szabályokat az EUSZ 39. cikkére
épülő tanácsi határozatnak kell megállapítania. [8] COM(2009)262, illetve COM(2010)171. [9] Két nyilvános konzultációt indítottak az adatvédelmi
reformról: az egyiket 2009. júliustól decemberig (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm),
a másikat pedig 2010. novembertől 2011. januárig (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] 2010-ben célzott konzultációkat szerveztünk a
tagállamokkal és a magánszféra érintett szereplőivel. 2010. novemberben
Viviane Reding uniós jogérvényesülési biztos az adatvédelmi reformról szóló
kerekasztal-beszélgetést szervezett. 2011 folyamán további, a témának szentelt
műhelytalálkozókat és szemináriumokat tartottak speciális kérdésekben
(pl.: az adatok megsértésével kapcsolatos bejelentések). [11] COM(2010) 609. [12] Lásd Viviane Reding, uniós jogérvényesülési biztos 2011.
szeptember 19-i, a 29. cikk szerinti munkacsoport tagjaihoz intézett levelét,
amelyet az alábbi internetcímen tettek közzé: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm.
[13] Lásd a hatásvizsgálatot (SEC(2012)72). [14] Mindez egy későbbi szakaszban felöleli a különleges
és az ágazati eszközök – például a 45/2001/EK rendelet, HL L 8., 2001.1.12., 1.
o. – összehangolására irányuló módosításokat. [15] A rendelet emellett néhány technikai kiigazítást végez az
elektronikus hírközlési adatvédelmi irányelven (a legutóbb a 2009/136/EK
irányelvvel módosított 2002/58/Ek irányelv – HL L 337., 2009.12.18., 11. o.),
hogy figyelembe vegye a 95/46/EK irányelvet rendeletté változását. A Bizottság
kellő időben felülvizsgálja az új rendeletnek és az új irányelvnek az
elektronikus hírközlési adatvédelmi irányelvet érintő anyagi jogi
következményeit, figyelembe véve az Európai Parlamenttel és a Tanáccsal a
jelenlegi javaslatokról folytatott tárgyalások eredményét. [16] A Tanács 2008/977/IB kerethatározata (2008. november 27.)
a büntetőügyekben folytatott rendőrségi és igazságügyi
együttműködés keretében feldolgozott személyes adatok védelméről, HL
L 350., 2008.12.30., 60. o. A kerethatározat tagállami végrehajtásáról
szóló jelentés (COM(2012)12) az adatvédelmi reformcsomag részeként került
elfogadásra. [17] Lásd a 359. sz. Eurobarométer különjelentést – Attitudes
on Data Protection and Electronic Identity in the European Union [Az
adatvédelemről és az elektronikus személyazonosságról alkotott nézetek az
Európai Unióban], 2011. június 23. o. [18] Ugyanott, 54. o. [19] Lásd az európai digitális menetrendet, id., 4. o. [20] Ez jelenleg kizárólag a hírközlési ágazatban kötelező
az elektronikus hírközlési adatvédelmi irányelv alapján. [21] E kérdés részletes elemzését lásd a jogalkotási
javaslatokat kísérő hatásvizsgálatban, SEC(2012)72. [22] A 29. cikk szerinti munkacsoportot 1996-ban hozták létre
(a 95/46/EK irányelv 29. cikkével). A munkacsoport tanácsadói jogállással
rendelkezik, és a nemzeti adatvédelmi hatóságok, az európai adatvédelmi biztos,
valamint a Bizottság képviselői alkotják. A munkacsoport tevékenységére
vonatkozó további információkért lásd az alábbi internetcímet: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] A büntetőügyekben folytatott rendőrségi
együttműködés és igazságügyi együttműködés terén alkalmazandó
szabályok meghatározása céljából irányelvre tettünk javaslatot (lásd az alábbi
4. részt). Az irányelv nagyobb rugalmasságot tesz lehetővé a tagállamoknak
ezen a sajátos területen. [24] Az Európai Unió Bíróságának a C-92/09. és C-93/09. sz.,
Volker und Markus Schecke és Eifert egyesített ügyekben hozott 2010. november
9-i ítélete, az EBHT-ban még nem tették közzé. [25] A Charta 52. cikke (1) bekezdésének megfelelően a
jogok és szabadságok gyakorlása csak a törvény által, és e jogok lényeges
tartalmának tiszteletben tartásával és az arányosság elvére figyelemmel
korlátozható, amennyiben az elengedhetetlen és ténylegesen az Európai Unió
által elismert általános érdekű célkitűzéseket vagy mások jogainak és
szabadságainak védelmét szolgálja. [26] Az Európai Unió Bíróságának a C-101/01. sz., Lindqvist
ügyben hozott 2003. november 6-i ítélete [EBHT 2003., I-12971.], 82-90. pont; a
C-73/07. sz., Satamedia ügyben hozott 2008. december 16-i ítélete [EBHT 2008.,
I-9831.], 50-62. o. [27] Pontosabban a kerethatározat azokra a személyes adatokra
vonatkozik, amelyeket a tagállamok továbbítanak vagy hozzáférhetővé
tesznek más tagállamok számára, vagy kicserélnek egymás között és az uniós
intézményekkel vagy szervekkel (lásd az 1. cikk (2) bekezdését). [28] Néhány tagállam is megerősítette ezt a
kerethatározatról szóló végrehajtási jelentéssel kapcsolatos bizottsági
kérdőívre adott válaszadás során (COM(2012)12. [29] Vö.: 21. sz. nyilatkozat a személyes adatok
védelméről a büntetőügyekben folytatott igazságügyi, valamint a
rendőrségi együttműködés területén, amelyet annak mellékleteként
csatoltak a Lisszaboni Szerződést elfogadó kormányközi konferencia
záróokmányához. [30] A „kötelező erejű vállalati szabályok” az
európai adatvédelmi normákra épülő – legalább egy adatvédelmi hatóság
által jóváhagyott – gyakorlati szabályok, amelyeket a szervezetek önként dolgoztak
ki és tartanak be abból a célból, hogy megfelelő biztosítékokat nyújtsanak
az azonos vállalatcsoporthoz és azonos szabályok hatálya alá tartozó vállalatok
közötti személyesadat-továbbítási kategóriák tekintetében. A 95/46/EK irányelv
hatálya nem terjed ki kifejezetten ezekre a szabályokra, hanem az adatvédelmi
hatóságok gyakorlatának során dolgozták ki azokat, a 29. cikk szerinti
munkacsoport támogatásával.