17.11.2009   

HU

Az Európai Unió Hivatalos Lapja

C 276/1

1.

A Bizottság 2009. április 22-én elfogadta az Oszáma bin Ládennel, az Al-Qaida hálózattal és a Tálibánnal összeköttetésben álló egyes személyekkel és szervezetekkel szemben meghatározott szigorító intézkedések bevezetéséről szóló 881/2002/EK rendelet módosításáról szóló tanácsi rendeletjavaslatot (a továbbiakban: a javaslat). Ugyanazon a napon a Bizottság a 45/2001/EK rendelet 28. cikke (2) bekezdésének megfelelően konzultáció céljából megküldte a javaslatot az európai adatvédelmi biztosnak. Az európai adatvédelmi biztos emlékeztet arra, hogy 2009. március 9-én informális észrevételeket tett a javaslattervezettel kapcsolatban, és megállapítja, hogy ezen észrevételeket a javaslat szövegének megfogalmazásakor figyelembe vették.

2.

Az európai adatvédelmi biztos üdvözli, hogy konzultációra kérték fel, és hogy a javaslat preambulumában hivatkoznak erre a konzultációra, több más olyan jogalkotási szöveg esetéhez hasonlóan, amelyekkel kapcsolatban az európai adatvédelmi biztossal – a 45/2001/EK rendeletnek megfelelően – konzultációra került sor.

3.

A javaslat módosítja a 881/2002/EK rendeletet, az egyik olyan közösségi eszközt, melyet azért fogadtak el, hogy a terrorista szervezetekkel gyaníthatóan kapcsolatban álló természetes és jogi személyeket célzó megszorító intézkedésekkel – különösen a pénzeszközök befagyasztásával – küzdjenek a terrorizmus ellen. A javaslat célja konkrétabban az, hogy a Bíróság ítélkezési gyakorlatában bekövetkezett közelmúltbeli fejleményekkel – különösen a Kadi-üggyel (1) – foglalkozzon egy olyan eljárás kidolgozása révén, „amelyet az ENSZ által újonnan jegyzékbe vett személyek és szervezetek tekintetében követni lehet” (az indokolás 4. pontja).

4.

Míg ítéletei során a Bíróság arra kapott felkérést, hogy a védekezéshez – különösen a meghallgatáshoz való – alapvető jog tiszteletben tartására koncentráljon, e területen az ítélkezési gyakorlat átfogóbb következményekkel jár, melyeket a következőképpen lehet összefoglalni: az alapvető jogok védelmére vonatkozó uniós előírásokat attól függetlenül tiszteletben kell tartani, hogy a megszorító intézkedéseket uniós szinten fogadták el, vagy azok nemzetközi szervezetektől – mint pl. az ENSZ-től – erednek (2).

5.

Az uniós alapvető jogok közé tartozik a személyes adatok védelméhez való jog is, melyet a Bíróság elismert mint az EUSZ 6. cikkének (2) bekezdéséből eredő alapelvet, és melyet az EU Alapjogi Chartájának 8. cikke megerősített.

6.

E tekintetben az európai adatvédelmi biztos nemcsak a Bíróság közelmúltbeli ítélkezési gyakorlatát üdvözli, hanem a Bizottság azon szándékát is, hogy e kérdést azzal oldja meg, hogy kibővíti a jegyzékbe vételi eljárást és kifejezetten figyelembe veszi a személyes adatok védelméhez való jogot. Valóban, az európai adatvédelmi biztosnak – míg teljes mértékben elismeri a terrorizmus ellen a személyes adatok feldolgozásán és cseréjén keresztül folytatott küzdelem célkitűzését – az a határozott meggyőződése, hogy a személyes adatok védelme döntő tényező a Bizottság által hozott megszorító intézkedések jogszerűségének és hatékonyságának biztosításában. Ezen intézkedések alapja a személyes adatok feldolgozása, melyre mint olyanra – tekintet nélkül a pénzeszközök befagyasztására – vonatkozniuk kell az adatvédelmi szabályoknak és garanciáknak. Ennélfogva rendkívül fontos egyértelműséget és jogbiztonságot nyújtani a jegyzékbe vett egyének személyes adatai feldolgozására érvényes szabályokkal kapcsolatban, amint az az indokolás 8. pontjában szerepel.

7.

Ez még fontosabb a Lisszaboni Szerződés hatálybalépésének tekintetében, mely nemcsak kötelező erővel ruházza fel az EU Alapjogi Chartáját, hanem – az EUMSZ 16. cikkében és az EUSZ 39. cikkében – azt is kimondja, hogy az Európai Unió valamennyi tevékenységi területén szükség van adatvédelmi szabályokra és garanciákra. Továbbá a természetes vagy jogi személyek elleni megszorító intézkedéseket előíró határozatok jogszerűségének – és különösen az alapvető jogok tiszteletben tartásának – értékelésével kapcsolatban a Bíróság teljes hatáskörrel rendelkezik, még a közös kül- és biztonságpolitika terén is (az EUMSZ 275. cikke).

8.

Az európai adatvédelmi biztos üdvözli a (10) preambulumbekezdésben foglalt hivatkozást annak szükségességére, hogy a rendelet a személyes adatok védelméhez való alapvető joggal összhangban kerüljön alkalmazásra, valamint hogy megfelelő konkrét biztosítékokat alkalmazzanak a jegyzékben szereplő természetes személyek által elkövetett bűncselekményekhez és az ilyen személyekre vonatkozó büntetőítéletekhez és biztonsági intézkedésekhez kapcsolódó adatok Bizottság általi feldolgozása során.

9.

Az európai adatvédelmi biztos továbbá üdvözli, hogy a javaslat (12) preambulumbekezdése kifejezetten elismeri az adatvédelmi szabályoknak és különösen a 45/2001/EK rendeletnek az e területen való személyesadat-feldolgozásra való érvényességét. Valóban, a 45/2001/EK rendelet 3. cikke kimondja: „e rendeletet kell alkalmazni a személyes adatok bármely közösségi intézmény és szerv által történő feldolgozására, ha a feldolgozás részben vagy teljes egészében a közösségi jog hatálya alá tartozó tevékenységek gyakorlása során történik.” Ebből a szempontból, még ha a 881/2002/EK rendelet a 2002/402/KKBP közös állásponthoz és az ENSZ e területen folytatott tevékenységeihez is kötődik, az Európai Közösséget létrehozó szerződésen alapul.

10.

Általános megjegyzésként az európai adatvédelmi biztos hangsúlyozni szeretné, hogy a 45/2001/EK rendelet számos – így az adatminőségre, az adatfeldolgozás jogszerűségére, az értesítésre, a feldolgozás biztonságosságára vonatkozó – kötelezettséget ír elő az adatkezelők számára, valamint jogokat az adatalanyok számára – többek között a tájékoztatáshoz, a helyesbítéshez, a zároláshoz, a törléshez, a harmadik felek értesítéséhez, a jogorvoslathoz való jogot –, melyeket a 20. cikk értelmében meghatározott kivételek és korlátozások esetét kivéve alkalmazni kell. Az adatvédelemhez való alapvető jogra vonatkozó ezen korlátozásoknak mindenesetre meg kell felelniük egy szigorú arányossági vizsgálatnak, azaz azokat lényegüket és időben való alkalmazásukat tekintve is a közérdek fenntartása érdekében szükséges keretek közé kell szorítani – amint azt a Bíróság ítélkezési gyakorlata megerősíti –, a korlátozó intézkedések terén is. Ez annál is fontosabb, mivel e jogok és kötelezettségek – a személyes adatok feldolgozásával kapcsolatos független felügyelet szükségességével együtt – az adatvédelemhez való alapvető jog alapját alkotják, amint azt az EU Alapjogi Chartájának 8. cikke kifejezetten megerősíti.

11.

Továbbá amellett, hogy üdvözli, hogy a javaslat – kifejezetten vagy nem – foglalkozik ezen kötelezettségek és jogok közül néhánnyal, az európai adatvédelmi biztos hangsúlyozni kívánja, hogy a javaslatot nem lehet úgy értelmezni, hogy az kizárja vagy korlátozza azon kötelezettségeket és az adatalanyok azon jogait, melyeket nem említ.

12.

Ennek alapján az alábbi pontokban az európai adatvédelmi biztos elemezni fogja a javaslat rendelkezéseit a leginkább idevágó adatvédelmi elvek fényében, a javítást célzó ajánlásokat fogalmazva meg, illetve arra vonatkozó iránymutatást adva, hogy hogyan lehetne megoldani néhány egyéb problémát, melyek kezelésére jelenleg nem kerül sor, de melyek az adatvédelmi elvek alkalmazásából eredően valószínűleg felmerülnek majd. Bizonyos esetekben kívánatos lehet további részletekkel szolgálni az adatvédelmi kötelezettségeknek és jogoknak a korlátozó intézkedések terén való alkalmazásáról.

13.

Ezen észrevételek csupán tükrözhetik azt, hogy a személyes adatok védelme döntő tényező a Bizottság által hozott megszorító intézkedések jogszerűségének és hatékonyságának biztosításában, de nem oldják meg, illetve nem befolyásolják az olyan egyéb érdemi kérdéseket, melyek más jogszabályok alkalmazásának megfelelően valamely jegyzékbe való felvételhez kapcsolódhatnak.

14.

A 7a. cikk a természetes vagy jogi személyek jegyzékbe vételére vagy onnan való törlésére vonatkozó eljárásokkal foglalkozik, a 7c. cikk pedig külön eljárást ír elő azokra, akiket 2008. szeptember 3. előtt vettek fel a jegyzékbe.

15.

Az európai adatvédelmi biztos üdvözli, hogy e rendelkezések erősítik az alapvető jogok tiszteletben tartását azáltal, hogy az érintett személyek részére módot biztosítanak arra, hogy tájékoztatást kapjanak a jegyzékekbe való felvételük okairól, valamint lehetőséget nyújtanak arra, hogy az üggyel kapcsolatos véleményüket kifejezzék. Továbbá a (4) bekezdés előírja, hogy amennyiben az Egyesült Nemzetek úgy határoz, hogy valakit töröl a jegyzékből, ez uniós szinten is automatikus törlést von maga után, ami összhangban áll azon adatvédelmi alapelvvel, mely szerint a személyes adatokat aktualizált állapotban kell tartani, a 45/2001/EK rendelet 4. cikke (1) bekezdésének d) pontja értelmében.

16.

Azonban az európai adatvédelmi biztos rámutat, hogy e rendelkezések nem zárják ki a 45/2001/EK rendeletből eredő hasonló kötelezettségeket, mint pl. az adatalany tájékoztatását (11. cikk, és különösen a 12. cikk, mely az abban az esetben nyújtandó tájékoztatást tárgyalja, ha az adatokat nem az adatalanytól szerezték be), a hibás vagy hiányos személyes adatok haladéktalan helyesbítésének kötelezettségét (14. cikk), valamint az adatok helyesbítéséről vagy törléséről – mint a jegyzékből való törlés esetén – olyan harmadik személyek számára nyújtott tájékoztatás kötelezettségét (17. cikk), akikkel az adatokat közölték, kivéve ha ez lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést kíván.

17.

Természetesen – mint a 10. pontban már elhangzott – lehetőség van e rendelkezések alóli szükséges kivételekre, illetve e rendelkezések korlátozására a 45/2001/EK rendelet 20. cikkének megfelelően. Például az érintett személyek tájékoztatását el kell halasztani, amennyiben ez szükséges ahhoz, hogy a személy jegyzékbe való vételére és pénzeszközei befagyasztására vonatkozó határozat a meglepetés erejével hasson. E tekintetben az európai adatvédelmi biztos azt javasolja a jogalkotónak, hogy mérlegelje, hogy a javaslatban kifejezetten egyértelművé tegye-e az adatvédelmi elvek alóli szükséges kivételeket, mint például a 12. cikkben előírt tájékoztatásnak az ideiglenes határozat meghozataláig való elhalasztását.

18.

A javaslat 7d. cikkének (1) bekezdése előírja, hogy amenynyiben az Egyesült Nemzetek vagy valamely tagállam minősített információt nyújt be, a Bizottság ezen információt a biztonságról szóló belső bizottsági rendelkezésekkel (a 2001/844/EK, ESZAK, Euratom határozattal (3)), és – adott esetben – az Európai Unió és az információt benyújtó tagállam közötti, a minősített információk biztonságáról szóló megállapodással összhangban kezeli. A (2) bekezdés pontosítja, hogy az „EU Top Secret”, „EU Secret” vagy „EU Confidential” szinten minősített dokumentumok közzététele kizárólag a kibocsátó beleegyezésével történhet.

19.

E cikk két problémát vet fel, melyek közül az első a rendelkezés által az adatalanynak a 45/2001/EK rendelet 13. cikkében foglalt, személyes adatairól való tájékoztatáshoz való jogára gyakorolt hatással kapcsolatos, a második pedig az európai adatvédelmi biztos és a Bíróság azon lehetőségével, hogy feladatai hatékony ellátása érdekében a minősített információkban foglalt személyes adatokhoz hozzáférhessen.

20.

A hivatkozott biztonsági szabályok, valamint az EU és az információt benyújtó tagállam közötti megállapodás szabályozzák a minősített információhoz való hozzáférést. Az ilyen információhoz csak azok a személyek férhetnek hozzá, akik megfelelnek a szükséges ismeret feltételének, vagyis egy munkakör vagy feladat ellátása érdekében szükséges hozzáféréssel rendelkezniük (4). A javaslat 7d. cikkének (2) bekezdésében említett szinten minősített információ esetében e személyeknek továbbá biztonsági engedéllyel is rendelkezniük kell.

21.

A Bizottság belső biztonsági szabályait az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről szóló 1049/2001/EK rendelettel összefüggésben kell értelmezni, mely rendelet részletezi a három legnagyobb uniós intézmény adataihoz való hozzáférés jogát. E rendelet 9. cikke az érzékeny dokumentumok kezelésével foglalkozik és a fenti három minősítési szintre vonatkozik. A (3) bekezdésben szerepel, hogy érzékeny dokumentumok csak a kibocsátó hozzájárulásával adhatók ki, mely szabályt a javaslat 7d. cikkének (2) bekezdése is tartalmazza.

22.

A Bizottság belső biztonsági szabályai megfelelnek a dokumentumokhoz való nyilvános hozzáférés jogának. Azonban ez nem áll a különös hozzáférési jogokra, mint például az adatalanyok azon jogára, hogy személyes adataikról a 45/2001/EK rendelet 13. cikke alapján tájékoztatást kapjanak. A belső biztonsági szabályok kifejezetten nem említik sem az adatvédelmi szabályokat, sem az adatalanyok jogait. A Bizottság belső biztonsági szabályai nem foglalkoznak azzal az esettel, ha az adatalany minősített dokumentumban foglalt személyes adatokról kér tájékoztatást. Ugyanez mondható el a minősített információk biztonságával kapcsolatban az egyes államokkal kötött megállapodásokról.

23.

A 45/2001/EK rendelet 13. cikke biztosítja az adatalany számára a jogot, hogy az adatkezelőtől bármikor korlátozás nélkül és díjmentesen, a kérelem kézhezvételétől számított három hónapon belül többek között az adatfeldolgozás tárgyát képező adatokat érthető formában megkapja (ld.: c) pont).

24.

Az európai adatvédelmi biztos teljes mértékben megérti, hogy az egyes személyek vagy szervezetek elleni, a terrorista bűncselekmények megelőzését célzó megszorító intézkedések összefüggésében megalapozott indoka lehet annak, hogy egy adatalannyal ne közöljenek bizonyos minősített (személyes) információkat. E korlátozás alapját a 45/2001/EK rendelet 20. cikke tartalmazza, amint az a 10. pontban már említésre került. Azonban az európai adatvédelmi biztos kiemeli az e cikkben foglalt szükségesség követelményét és a 45/2001/EK rendelet 20. cikkének (3) és (4) bekezdésében előírt eljárást.

25.

A 20. cikk előírja, hogy az említett rendelkezések korlátozása a felsorolt célok biztosítása érdekében szükséges intézkedés legyen. Mivel a Bizottság belső biztonsági szabályai és az egyes államokkal kötött megállapodások nem foglalkoznak az adatalany hozzáférésének kérdésével, a javaslat 7d. cikkének (2) bekezdése pedig a minősített dokumentumok kiadását a kibocsátó beleegyezéséhez mint feltétel nélküli előíráshoz köti, nem biztosított, hogy a tájékoztatáshoz való jog korlátozására csak szükséges esetben kerüljön sor. A rendelkezés nem tartalmaz érdemi kritériumokat és a döntést teljes mértékben az információ kibocsátójára bízza, aki olyan fél is lehet, akire nem érvényesek az alapvető jogok védelmére vonatkozó uniós jogszabályok és előírások.

26.

A 20. cikk (3) és (4) bekezdése a korlátozások alkalmazásával kapcsolatos szabályokat tartalmazza. A (3) bekezdés értelmében az érintett intézménynek tájékoztatnia kell az adatalanyt a korlátozás alkalmazásának fő okairól, és arról, hogy joga van az európai adatvédelmi biztoshoz fordulni. A (4) bekezdés a betekintés jogának korlátozására vonatkozó külön további szabályt tartalmaz. Előírja, hogy az európai adatvédelmi biztos – az előző bekezdés alapján tett panasz kivizsgálásakor – az adatalanyt csak arról tájékoztatja, hogy az adatot szabályszerűen dolgozták-e fel, és ha nem, akkor történt-e helyesbítés (5). A 881/2002/EK rendelet módosítására irányuló jelenlegi javaslatnak biztosítania kell, hogy e szabályoknak meg lehessen felelni. E pont szorosan kapcsolódik a másik problémához, melyet a javaslat 7d. cikke felvet.

27.

A 7d. cikk (2) bekezdésében szereplő azon megkötés, mely szerint minősített dokumentumok közzététele kizárólag a kibocsátó beleegyezésével történhet, hatással lehet az európai adatvédelmi biztos független felügyeletére. A 45/2001/EK rendelet alkalmazhatósága magával vonja, hogy a személyes adatok feldolgozása a rendelet 32. cikkében foglalt jogorvoslatok, valamint az európai adatvédelmi biztos jogérvényesítési hatáskörének (a rendelet 47. cikke) tárgyát képezheti. Konkrétan ez utóbbi cikk hatáskörrel ruházza fel az európai adatvédelmi biztost arra, hogy valamely adatkezelőtől, illetve közösségi intézménytől vagy szervtől valamennyi személyes adatba és a vizsgálódásaihoz szükséges bármely információba betekintést nyerjen (ld.: 45/2001/EK rendelet 47. cikk (2) bekezdés a) pont). Lehetséges, hogy a jelenlegi javaslat összefüggésében az európai adatvédelmi biztos esetleg arra használja e hatáskörét, hogy a 45/2001/EK rendelet 20. cikkének (4) bekezdésében előírt feladatát ellássa. Azonban a 7d. cikk jelenlegi megfogalmazása e hatáskör tényleges gyakorlását teljes mértékben az információ kibocsátójának döntésétől tenné függővé.

28.

Ennélfogva a 7d. cikk szövege jelen formájában ellentétben állna a 45/2001/EK rendeletben foglalt szabályokkal. Az európai adatvédelmi biztos e tekintetben hangsúlyozni kívánja, hogy a 45/2001/EK rendelet nem tartalmaz előírást az európai adatvédelmi biztos 46. és 47. cikkben foglalt feladatai és hatáskörei korlátozására vonatkozóan.

29.

A független adatvédelmi hatóságoknál rendelkezésre álló jogorvoslati lehetőségeken felül az adatvédelmi jogszabályok előírják a bírósági jogorvoslat jogát (ld. 95/46/EK irányelv 22. cikkét és a 45/2001/EK rendelet 32. cikkét). Ennek alapján az európai adatvédelmi biztos rámutat arra, hogy a 7d. cikk (2) bekezdésének jelenlegi szövege az igazságügyi felülvizsgálat hatékonyságát is érintheti azzal, hogy befolyásolja a Bíróság azon lehetőségét, hogy felülvizsgálja, méltányos egyensúlyban áll-e a nemzetközi terrorizmus elleni küzdelem igénye az alapvető jogok védelmével. Amint az Elsőfokú Bíróság 2008. december 4-i ítéletében megállapítást nyert (6), ahhoz, hogy a Bíróságnak lehetősége legyen erre, szükség lehet a minősített információba való betekintésre.

30.

A fentiek fényében az európai adatvédelmi biztos arra sürgeti a jogalkotót, hogy olyan módon változtassa meg a 7d. cikket, hogy biztosítsa, 1) hogy teljesüljön a 45/2001/EK rendelet 20. cikkében előírt szükségesség feltétele, amennyiben a Bizottság egy érintett személytől megtagadja a jogot, hogy minősített dokumentumokban foglalt személyes adataiba betekinthessen, 2) hogy garantálják a 20. cikk (3) és (4) bekezdésében foglalt szabályoknak való megfelelést, valamint 3) hogy teljes mértékben tartsák tiszteletben az európai adatvédelmi biztos 47. cikkben foglalt hatásköreit.

31.

Ennek eléréséhez az egyik első lépés a 7d. cikk (2) bekezdése hatályának korlátozása lenne a „közzététel” szónak a „nyilvánosságra hozás” kifejezéssel való helyettesítése révén. E változtatás jogi szempontból is összhangot teremtene, mivel – mint fentebb kifejtésre került – a rendelkezés az 1049/2001/EK rendelet 9. cikkének (3) bekezdéséből származik, mely csak a dokumentumokhoz való nyilvános hozzáférést tárgyalja. A javasolt módosítás nagyrészt megoldást jelentene a fenti problémákra: az adatalanyok betekintési jogának korlátozása többé nem teljes mértékben a benyújtó fél döntésétől függne, és többé nem korlátoznák az európai adatvédelmi biztos és a Bíróság azon jogát, hogy ilyen adatokhoz feladatai ellátásának érdekében hozzáférjen.

32.

Azonban amíg a Bizottság informatikai biztonságra vonatkozó belső szabályai és rendelkezései kifejezetten nem foglalkoznak az adatalany hozzáférésének kérdésével, és nem biztosítják, hogy a szükségesség 45/2001/EK rendelet 20. cikkében foglalt feltétele teljesüljön, e kérdés továbbra is problémát jelent. Míg az európai adatvédelmi biztos (és a Bíróság) a szükséges ismeret elvének alapján és az adatot ténylegesen kezelő személyek biztonsági engedélye birtokában rendelkezhet hozzáféréssel, kétséges, hogy ez a lehetőség az adatalany számára is adott-e. Ennélfogva az európai adatvédelmi biztos sürgeti a Bizottságot, hogy biztosítsa, hogy a minősített dokumentumokban foglalt személyes adatokhoz való hozzáférés jogát csak szükséges esetben korlátozzák.

33.

A 7e. cikk kellő részletességgel határozza meg a Bizottság személyesadat-feldolgozással kapcsolatos feladatait ((1) bekezdés) és a feldolgozásra kerülő személyes adatokat ((2)–(4) bekezdés). Az (5) bekezdés a Bizottság egyik egységét nevezi meg adatkezelőként, a 45/2001/EK rendelet 2. cikkének d) pontja értelmében.

34.

Az európai adatvédelmi biztos üdvözli a 7e. cikk (1) bekezdését a tekintetben, hogy az a személyes adatok feldolgozására vonatkozó jogalap meghatározására törekszik, a 45/2001/EK rendelet 5. cikke értelmében. Valóban, a személyes adatokkal kapcsolatos minden feldolgozási tevékenységet az e cikkben felsorolt jogalapok egyikére kellene alapozni. Ezzel összefüggésben az európai adatvédelmi biztos elismeri, hogy az a) pont („közérdekből elvégzendő feladat végrehajtásához […] szükséges”), és a b) pont („az adatfeldolgozás az adatkezelőt terhelő jogi kötelezettségek teljesítéséhez szükséges”) különösen releváns lehet a korlátozó intézkedésekkel kapcsolatban.

35.

Azonban az európai adatvédelmi biztos emlékeztet arra, hogy a 45/2001/EK rendelet 4. cikke értelmében a személyes adatok „gyűjtésük […] célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek” kell, hogy legyenek, és ennélfogva a Bizottságnak biztosítania kell, hogy a gyűjtött személyes adatok szükségesek legyenek a rendelettervezetben előirányzott korlátozó intézkedések alkalmazása céljából.

36.

E tekintetben az európai adatvédelmi biztos a 7e. cikk (1) bekezdésének alábbi módosítását javasolja: „A Bizottság az e rendeletben ráruházott feladatainak ellátásához szükséges személyes adatokat dolgozza fel”.

37.

Továbbá azt, hogy a korlátozó intézkedésekkel kapcsolatban felhasznált adatkategóriák – így az olyan elemek, mint az általános azonosítók (azaz adó- és társadalombiztosítási szám) és a „munkakör vagy szakma” – mennyire relevánsak, általános és eseti alapon is gondosan ellenőrizni kell, különösen amennyiben ezen információk esetleg különleges adatkategóriákat tartalmaznak és külön biztosítékokat igényelnek.

38.

Ennek alapján az európai adatvédelmi biztos üdvözli a (3) bekezdésben foglalt elvet, mely szerint konkrét esetben a természetes személy szüleinek családi és utónevét fel lehet venni a mellékletbe, amennyiben ez kizárólag a szóban forgó, listán szereplő természetes személy személyazonosságának ellenőrzését szolgálja. E rendelkezés jól tükrözi a célkorlátozás adatvédelmi elvét, melyet megfelelően módon, pontosan meg kell határozni és alkalmazni az egész cikkel összefüggésben. Ennélfogva az európai adatvédelmi biztos kifejezetten azt javasolja, hogy ezt az elvet valamennyi adatkategóriára alkalmazzák, a 7e. cikk (2) bekezdésének alábbi módosítása révén: „Az I. melléklet csak a jegyzékbe vett természetes személyek személyazonosságának ellenőrzéséhez szükséges adatokat, mindenesetre legfeljebb az alábbi adatokat tartalmazhatja”.

39.

Az európai adatvédelmi biztos továbbá üdvözli a (4) bekezdést, mely kimondja, hogy egyes konkrét kategóriákba tartozó személyes adatokat – mint pl. a bűncselekményekkel, büntetőítéletekkel vagy biztonsági intézkedésekkel kapcsolatos adatokat – csak meghatározott esetben lehet feldolgozni, megfelelő konkrét biztosítékok mellett, és ezen adatok nem tehetők közzé és nem cserélhetők.

40.

Az (5) bekezdéssel kapcsolatban az európai adatvédelmi biztos elismeri, hogy az adatkezelőnek a 881/2002/EK rendelet II. melléklete értelmében való kijelölése erősíteni fogja az adatkezelő láthatóságát és kapcsolattartó szerepét, ezzel elősegítve az adatalanyok 45/2001/EK rendeletben foglalt jogainak gyakorlását. Ugyanakkor az európai adatvédelmi biztos emlékeztet arra, hogy ezenkívül az adatkezelő számára olyan helyzetet kell biztosítani, melyben nemcsak az adatalanyok jogainak gyakorlását, hanem a 45/2001/EK rendeletből eredő összes egyéb kötelezettségnek való megfelelést is hatékonyan garantálhatja. E tekintetben a Bizottság mérlegelheti a javaslat e pontjának egyértelművé tételét, pl. azzal, hogy az (5) bekezdést kiegészíti egy arra való kifejezett hivatkozással, hogy az adatkezelőnek biztosítania kell a 45/2001/EK rendeletből eredő kötelezettségeknek való megfelelést.

41.

Ugyan a javaslat kifejezetten nem tárgyalja a kérdést, de a jegyzékbe vételi eljárásban bújtatva szerepel, hogy a közösségi intézmények által feldolgozott személyes adatokat milyen mértékig és milyen feltételekkel lehet megosztani az ENSZ-szel és/vagy harmadik országokkal.

42.

Ezzel kapcsolatban az európai adatvédelmi biztos fel szeretné hívni a figyelmet a 45/2001/EK rendelet 9. cikkére, mely meghatározza azon feltételeket, melyek a személyes adatoknak közösségi szervektől eltérő, a 95/46/EK irányelv hatálya alá nem tartozó címzettek részére történő továbbítására vonatkoznak. A megoldások széles köre áll rendelkezésre, az adatalany hozzájárulásától ((6) bekezdés a) pont) és a jogi követelések érvényesítésétől ((6) bekezdés d) pont) – mely hasznos lehet abban az esetben, ha az adatot a jegyzékben szereplő személy annak érdekében bocsátotta rendelkezésre, hogy a jegyzékbe vétel felülvizsgálatát kezdeményezze – az ENSZ-en belüli olyan mechanizmusok meglétéig, melyek az EU-ból továbbított személyes adatok megfelelő védelmét szolgálják.

43.

Az európai adatvédelmi biztos emlékeztet arra, hogy a tervbe vett különféle feldolgozási tevékenységeknek összhangban kell lenniük e rendszerrel annak biztosítása érdekében, hogy a harmadik országokkal és nemzetközi szervezetekkel cserélt személyes adatok megfelelő védelemben részesüljenek, és arra, hogy ennek megfelelően konkrétumokra lehet szükség a javaslatban, valamint esetleg megállapodásokat kell kötni az ENSZ-szel.

44.

A javaslat 6. cikke – a gondatlanság esetét kivéve – kizárja a korlátozó intézkedéseket végrehajtó természetes vagy jogi személy felelősségét. Ezzel kapcsolatban az európai adatvédelmi biztos pontosítani kívánja, hogy e cikket nem szabad úgy tekinteni, mint ami kizárja az érvényes adatvédelmi jogszabályok megsértésével történő személyesadat-feldolgozás esetén a 45/2001/EK rendelet 32. cikkének (4) bekezdése és a 95/46/EK irányelv 23. cikke értelmében fennálló szerződésen kívüli felelősséget. E tekintetben a korlátozó intézkedések a személyes adatok feldolgozásán és közzétételén alapulnak, mely jogsértés esetén – a hozott korlátozó intézkedésektől függetlenül – önmagában is nem anyagi kárt okoz, amint azt a Bíróság már elismerte (7).

45.

Meg kell jegyezni, hogy a 45/2001/EK rendelet 27. cikke értelmében szükség lehet az európai adatvédelmi biztos előzetes ellenőrzésére, amennyiben a javaslat speciális adatkategóriákra (bűncselekmények gyanújára, büntetőítéletekre vagy biztonsági intézkedésekre) vonatkozóan feldolgozási műveleteket határoz meg, valamint egyéneknek tulajdonosi joguk teljes mértékű gyakorlásából való kizárása érdekében.

46.

Az európai adatvédelmi biztos a 45/2001/EK rendelet 28. cikkének értelmében elvárja, hogy konzultáljanak vele a személyes adatok feldolgozására vonatkozó azon jogalkotási javaslatokkal és közigazgatási intézkedésekkel kapcsolatban, melyeket a terroristákat célzó korlátozó intézkedések terén lehet beterjeszteni.

47.

Az európai adatvédelmi biztos üdvözli a bizottsági javaslat azon szándékát, hogy reagáljon a Bíróság közelmúltbeli ítélkezési gyakorlatára azzal, hogy kibővíti a jegyzékbe vételi eljárást és kifejezetten figyelembe veszi a személyes adatok védelméhez való jogot, mely döntő tényező a Bizottság által hozott korlátozó intézkedések jogszerűségének és hatékonyságának biztosításában.

48.

Az európai adatvédelmi biztos üdvözli, hogy a preambulum többször hivatkozik arra, hogy a rendeletet a személyes adatok védelméhez való alapvető joggal összhangban kell alkalmazni, és hogy a javaslat (12) preambulumbekezdése kifejezetten elismeri, hogy az e téren folytatott személyesadat-feldolgozásra az adatvédelmi jogszabályokat – és különösen a 45/2001/EK rendeletet – kell alkalmazni.

49.

Az európai adatvédelmi biztos általános megjegyzésként kiemeli, hogy a 45/2001/EK rendelet meghatározza az adatkezelőkre vonatkozó kötelezettségeket és az adatalanyok jogait, melyek akkor is érvényesek, ha azokat a javaslat kifejezetten nem említi. Azonban néhány esetben kívánatos lehet részletesebben tárgyalni a korlátozó intézkedések területéhez kapcsolódó adatvédelmi jogok és kötelezettségek alkalmazását, valamint az esetleges kivételeket és korlátozásokat.

50.

Az európai adatvédelmi biztos üdvözli, hogy a 7a. és 7c. cikk erősíti az alapvető jogok tiszteletben tartását azzal, hogy az érintettek számára lehetőséget nyújt, hogy a jegyzékbe való felvétel indokairól tájékoztatást kapjon. Ugyanakkor az európai adatvédelmi biztos rámutat, hogy e rendelkezések nem zárják ki a 45/2001/EK rendeletből eredő hasonló kötelezettségeket. Ezzel kapcsolatban az európai adatvédelmi biztos azt javasolja, hogy a jogalkotó mérlegelje, hogy kifejezetten egyértelművé tegye-e a javaslatban az adatvédelmi elvek esetleg szükséges kivételeit, mint pl. a tájékoztatásnak az ideiglenes határozat meghozásáig való – a 12. cikk értelmében történő – elhalasztását.

51.

Az európai adatvédelmi biztos úgy véli, hogy a 7d. cikk azzal, hogy a minősített dokumentumok közzétételét a kibocsátó beleegyezéséhez köti, hatással lehet az adatalanynak a 45/2001/EK rendelet 13. cikkében foglalt azon jogára, hogy személyes adatairól tájékoztatást kapjon, valamint az európai adatvédelmi biztos és a Bíróság azon lehetőségére, hogy feladatai hatékony elvégzése érdekében a minősített információban foglalt személyes adatokhoz hozzáférhessen. Ezzel kapcsolatban az európai adatvédelmi biztos sürgeti a jogalkotót, hogy e rendelkezést módosítsa, különösen azzal, hogy a „közzététel” szót a „nyilvánosságra hoz” kifejezéssel helyettesíti.

52.

Az európai adatvédelmi biztos üdvözli, hogy a 7e. cikk célja az, hogy jogalapot biztosítson a személyes adatok feldolgozásához, a 45/2001/EK rendelet 5. cikke értelmében. Azonban néhány módosítást javasolt annak biztosítása érdekében, hogy a feldolgozott adatokat konkrét célokra használják, hogy ezen adatok relevánsak legyenek, és hogy az adatkezelő szerepe összhangban álljon a 45/2001/EK rendelettel.

53.

Az európai adatvédelmi biztos emlékeztet arra, hogy a harmadik országok és nemzetközi szervezetek részére történő esetleges adattovábbításnak összhangban kell lennie a 45/2001/EK rendelet 9. cikkével ezen adatok megfelelő védelmének biztosítása érdekében. E tekintetben konkrétumokra lehet szükség a javaslatban, valamint esetleg megállapodásokat kell kötni az ENSZ-szel.

54.

Az európai adatvédelmi biztos továbbá megjegyzi, hogy a javaslat nem befolyásolja a személyes adatok törvénytelen feldolgozása és nyilvánosságra hozása esetén fennálló felelősséget; hogy a 45/2001/EK rendelet 27. cikke értelmében előzetes ellenőrzésre lehet szükség, valamint hogy elvárja, hogy konzultáljanak vele az e területhez tartozó további jogalkotási javaslatokkal és közigazgatási intézkedésekkel kapcsolatban.