18.2.2012   

HU

Az Európai Unió Hivatalos Lapja

C 48/2

1.

2011. augusztus 29-én a Bizottság elfogadta a belső piaci információs rendszer (IMI) keretében történő igazgatási együttműködésről szóló európai parlamenti és tanácsi rendeletre irányuló javaslatot (3) (a továbbiakban: „a javaslat” vagy „a javasolt rendelet”). A javaslatot egyeztetés céljából ugyanazon a napon elküldték az európai adatvédelmi biztosnak.

2.

A javaslat elfogadása előtt az európai adatvédelmi biztos lehetőséget kapott arra, hogy nem hivatalos észrevételeket tegyen a javaslattal, azt megelőzően pedig „Az egységes piac jobb irányítása nagyobb fokú adminisztratív együttműködés révén: Stratégia a belső piaci információs rendszer (IMI) kiterjesztésére és fejlesztésére” című, a javaslatot megelőző bizottsági közleménnyel (4) (a továbbiakban: „az IMI-stratégiáról szóló közlemény”) kapcsolatban. Ezen észrevételek nagy részét a javaslat figyelembe vette, aminek következtében megerősödtek a javaslatban szereplő adatvédelmi biztosítékok.

3.

Az európai adatvédelmi biztos üdvözli, hogy a Bizottság hivatalosan egyeztetett vele, továbbá azt, hogy a javaslat preambuluma hivatkozik erre a véleményre.

4.

Az IMI olyan információtechnológiai eszköz, amely lehetővé teszi a tagállamok illetékes hatóságai számára, hogy a belső piaci jogszabályok alkalmazása keretében információt cseréljenek egymással. Az IMI az uniós tagállamok nemzeti, regionális és helyi hatóságai számára biztosítja, hogy gyorsan és egyszerűen tudjanak kommunikálni más európai országokban lévő társhatóságaikkal. A kommunikáció során a tárgyhoz tartozó személyes adatok – többek között a különleges adatok – feldolgozására is sor kerül.

5.

Az IMI-t eredetileg egyéni információcserékre szolgáló kommunikációs eszközként hozták létre a szakmai képesítésekről szóló irányelv (5) és a szolgáltatásokról szóló irányelv (6) értelmében. Az IMI segítséget nyújt a felhasználóknak abban, hogy egy másik országban megtalálják azt a hatóságot, amellyel felvehetik a kapcsolatot, és amellyel előre lefordított szabványkérdések és -válaszok segítségével kommunikálhatnak (7).

6.

Az IMI azonban rendeltetése szerint olyan rugalmas, horizontális rendszer, amely a belső piaci jogszabályok számos területét támogathatja. A tervek szerint a rendszer alkalmazása fokozatosan bővülni fog, hogy a jövőben további jogalkotási területeket támogasson.

7.

A tervek szerint az IMI funkciói is bővülni fognak. Az egyéni információcserék mellett egyéb funkciók bevezetését is tervezik, illetve néhány funkciót – mint például „az értesítési eljárásokat, a riasztási mechanizmusokat, a kölcsönös segítségnyújtási megállapodásokat és a problémamegoldást” (8) – már be is vezettek, továbbá „adattár jön létre az IMI-szereplők általi jövőbeli hivatkozás céljából” (9). E funkciók nagy része – de nem az összes – magában foglalhatja személyes adatok feldolgozását is.

8.

A javaslat célja, hogy egyértelmű jogalapot és átfogó adatvédelmi keretet biztosítson az IMI-hez.

9.

2007 tavaszán a Bizottság kikérte a 29. cikk alapján létrehozott adatvédelmi munkacsoport véleményét az IMI adatvédelmi vonatkozásainak felülvizsgálatához. A 29. cikk alapján létrehozott adatvédelmi munkacsoport 2007. október 20-án adta ki véleményét (10), amelyben azt ajánlotta a Bizottságnak, hogy az IMI-n belüli adatcseréhez egyértelműbb jogalapot és különleges adatvédelmi biztosítékokat hozzon létre. Az európai adatvédelmi biztos tevékenyen részt vett az IMI-vel foglalkozó alcsoport munkájában, és támogatta a 29. cikk alapján létrehozott adatvédelmi munkacsoport véleményének következtetéseit.

10.

Az európai adatvédelmi biztos ezt követően további útmutatást adott a Bizottságnak arról, hogyan biztosítsa lépésről lépésre egy átfogóbb adatvédelmi keretet az IMI számára (11). Ezen együttműködés keretében, valamint az IMI végrehajtásáról szóló, 2008. február 22-i véleményének (12) kiadása óta az európai adatvédelmi biztos – az IMI-re vonatkozó, átfogóbb adatvédelmi keret létrehozása és a jogbiztonság érdekében – következetesen hangsúlyozza a rendes jogalkotási eljárás keretébe tartozó új jogi aktus szükségességét. Az említett jogi aktusra irányuló javaslat előterjesztése most történt meg (13).

11.

Az európai adatvédelmi biztos általános véleménye az IMI-ről pozitív. Az európai adatvédelmi biztos támogatja a Bizottság azon céljait, hogy elektronikus adatcsere-rendszert hozzon létre és szabályozza annak adatvédelmi szempontjait. Ez a korszerűsített rendszer nemcsak javítani fogja az együttműködés hatékonyságát, hanem segíthet az alkalmazandó adatvédelmi jogszabályok következetes betartásának biztosításában is azáltal, hogy egyértelmű keretet biztosít arra vonatkozóan, hogy milyen információk, kivel és milyen feltételek mellett cserélhetők.

12.

Az európai adatvédelmi biztos azt is üdvözli, hogy a Bizottság az IMI vonatkozásában európai parlamenti és tanácsi rendelet formájú, horizontális jogi aktust javasol. Örvendetesnek tartja, hogy a javaslat átfogóan hangsúlyozza az IMI szempontjából leginkább releváns adatvédelmi kérdéseket. Észrevételeit e pozitív háttér figyelembevételével kell értelmezni.

13.

Mindemellett az európai adatvédelmi biztos figyelmeztet arra, hogy a több területre vonatkozó, egyetlen centralizált elektronikus rendszer kockázatokat is teremt. Ezek közül a legfontosabb az, hogy több adat cseréjére kerülhet sor, és szélesebb körben, mint az a hatékony együttműködéshez szigorúan szükséges lenne, továbbá előfordulhat, hogy adatok – többek között esetlegesen idejétmúlt és pontatlan adatok – a szükségesnél tovább maradnak az elektronikus rendszerben. A 27 tagállamban hozzáférhető információs rendszer biztonsága szintén érzékeny kérdés, mivel a rendszer egésze csak annyira lesz biztonságos, amennyire a leggyengébb láncszem azt megengedi.

14.

Az IMI vonatkozásában a javasolt rendeletben létrehozandó jogi keretet illetően az európai adatvédelmi biztos két alapvető kihívásra hívja fel a figyelmet:

15.

Ezek az alapvető kihívások fontos hivatkozási alapként szolgálnak, és nagymértékben meghatározzák az európai adatvédelmi biztos e véleményben alkalmazott megközelítését.

16.

Először is, az IMI egy olyan rendszer, amelyet 27 tagállamban használnak. Az európai jogszabályok harmonizációjának jelenlegi állása szerint jelentős eltérések vannak a nemzeti közigazgatási eljárások, valamint a nemzeti adatvédelmi jogszabályok között. Az IMI-t oly módon kell kiépíteni, hogy a személyes adatok azon keresztül történő cseréje során mind a 27 tagállam felhasználói betarthassák nemzeti jogszabályaikat, ideértve a nemzeti adatvédelmi jogszabályokat is. Az adatok érintettjeit ugyanakkor biztosítani kell arról, hogy adataik következetesen védelmet fognak élvezni függetlenül attól, hogy az adatokat az IMI-n keresztül más tagállamba továbbítják-e. A sokféleség tiszteletben tartása mellett biztosított következesség az IMI műszaki és jogi infrastruktúrájának kiépítése szempontjából egyaránt alapvető kihívás. Az indokolatlan bonyolultság és széttagoltság kerülendő. Az IMI-n belüli adatfeldolgozási műveleteknek átláthatónak kell lenniük, a rendszer kialakítására, napi karbantartására és használatára, valamint a felügyeletére vonatkozó döntéshozatali felelősségi köröket egyértelműen meg kell határozni.

17.

Másodszor, néhány más nagyszabású IT-rendszertől – például a Schengeni Információs Rendszertől, a Vízuminformációs Rendszertől, a váminformációs rendszertől vagy az Eurodac-tól – eltérően, amelyek mind konkrét, egyértelműen meghatározott területeken folytatandó együttműködésre összpontosítanak, az IMI horizontális információcserére szolgáló eszköz, és számos különböző szakpolitikai területen folytatandó információcsere megkönnyítéséhez használható. A javaslat azt is előirányozza, hogy az IMI alkalmazási köre fokozatosan ki fog terjedni további szakpolitikai területekre, és a funkciói is megváltozhatnak oly módon, hogy eddig konkrétan nem meghatározott igazgatási együttműködés-típusokat magukban foglaljanak. Az IMI-nek ezek a megkülönböztető jegyei megnehezítik a rendszer funkcióinak és a rendszerben bonyolítható adatcseréknek az egyértelmű meghatározását. Ezért a megfelelő adatvédelmi biztosítékok egyértelmű meghatározása is nagyobb kihívást jelent.

18.

Az európai adatvédelmi biztos elismeri, hogy szükség van rugalmasságra, és tudomásul veszi, hogy a Bizottság „jövőállóvá” kívánja tenni a rendeletet. Ez azonban nem eredményezheti a rendszer funkcióit és a megvalósítandó adatvédelmi biztosítékokat érintő egyértelműség és jogbiztonság hiányát. Ezen okból kifolyólag a javaslatnak – amennyiben lehetséges – konkrétabbnak kell lennie, és túl kell mutatnia a 95/46/EK irányelvben és a 45/2001/EK rendeletben kifejtett főbb adatvédelmi elveken (14).

19.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat egyértelműen meghatározza az IMI jelenlegi alkalmazási körét, valamint azt, hogy az I. melléklet felsorolja azokat a vonatkozó uniós jogi aktusokat, amelyek alapján sor kerülhet információcserére. Ideértendő a szakmai képesítésekről szóló irányelv, a szolgáltatásokról szóló irányelv és a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről szóló irányelv (15) konkrét rendelkezései szerinti együttműködés.

20.

Mivel az IMI alkalmazási köre várhatóan bővül, a bővítés lehetséges célterületeit a II. melléklet sorolja fel. A II. melléklet tételei – hatásvizsgálatot (16) követően a Bizottság által elfogadandó – felhatalmazáson alapuló jogi aktus útján helyezhetők át az I. mellékletbe.

21.

Az európai adatvédelmi biztos üdvözli ezt az eljárást, mivel i. egyértelműen behatárolja az IMI alkalmazási körét és ii. biztosítja az átláthatóságot, ugyanakkor iii. lehetővé teszi a rugalmasságot olyan esetekben, amikor az IMI-t a jövőben további információcserékhez használják. Ez azt is biztosítja, hogy az IMI-n keresztül nem bonyolítható információcsere i. olyan megfelelő, konkrét belső piaci jogalap nélkül, amely lehetővé tenné az információcserét vagy felhatalmazást adna arra (17), és ii. amely hivatkozást tartalmaz a rendelet I. mellékletében szereplő jogalapra.

22.

Következésképp még mindig van bizonytalanság az IMI alkalmazási körét illetően, azon szakpolitikai területek tekintetében, amelyekre az IMI kiterjeszthető, valamint az IMI-be felvett vagy felvehető funkciók tekintetében.

23.

Először is, nem zárható ki, hogy az IMI alkalmazási köre kiterjeszthető az I. mellékletben és a II. mellékletben felsorolt szakpolitikai területeken túlra. Ez akkor történhet meg, ha az IMI alkalmazásáról bizonyos információcsere-típusok esetében nem felhatalmazáson alapuló, bizottsági jogi aktus, hanem a Parlament és a Tanács által elfogadott jogi aktus rendelkezik olyan esetben, amikor ezt a II. melléklet nem írta elő (18).

24.

Másodszor, míg az alkalmazási kör új szakpolitikai területekre történő kiterjesztése egyes esetekben a rendszer meglévő funkcióinak minimális módosítását teheti szükségessé vagy egyáltalán nem teszi szükségessé azok módosítását, (19) más kiterjesztés új és eltérő funkciókat, vagy a meglévő funkciók jelentős módosítását teheti szükségessé:

25.

E bizonytalanságok kezelése érdekében az európai adatvédelmi biztos kettős megközelítést ajánl. Először is azt javasolja, hogy a már előrelátható funkciókat egyértelművé kell tenni és azokra pontosabban ki kell térni, másodszor pedig azt, hogy megfelelő eljárási biztosítékokat kell alkalmazni annak biztosítása érdekében, hogy az adatvédelem az IMI jövőbeli fejlesztése során is körültekintő mérlegelés tárgyát képezze.

26.

Az európai adatvédelmi biztos azt ajánlja, hogy a rendelet legyen konkrétabb azon funkciók tekintetében, amelyeknél ezek már ismertek, mint például az I. és a II. mellékletben említett információcserék esetében.

27.

Konkrétabb és egyértelműbb intézkedéseket lehetne például előirányozni a SOLVIT-nak az IMI-be történő integrálásához (22) (a „külső szereplőkre” és a „problémamegoldásra” vonatkozó rendelkezések), valamint a szakemberek és a szolgáltatók jegyzékéhez (az „adattárakra” vonatkozó rendelkezések).

28.

Még egyértelműbbé kell tenni a „riasztásokat” is, amelyeket már alkalmaznak a szolgáltatásokról szóló irányelv értelmében, és amelyek bevezethetők további szakpolitikai területeken is. Különösen a „riasztást” mint funkciót kell egyértelműen meghatározni az 5. cikkben (egyéb funkciókkal együtt, mint például az egyéni információcserék és az adattárak). A hozzáférési jogokat és a megőrzési időszakokat is egyértelművé kell tenni a riasztások esetében (23).

29.

Ha az a szándék, hogy a rendelet a hosszabb távon esetlegesen szükséges további funkciók tekintetében „jövőálló” maradjon, és ennélfogva a rendeletben még nem meghatározott további funkciók is működjenek, ehhez megfelelő eljárási biztosítékoknak kell társulniuk annak biztosítása érdekében, hogy megfelelő rendelkezések szülessenek a szükséges adatvédelmi biztosítékoknak az új funkció kiépítése előtti végrehajtásához. Ugyanennek kell vonatkoznia azokra az új szakpolitikai területekre történő kiterjesztésre, ahol ez hatást gyakorol az adatvédelemre.

30.

Az európai adatvédelmi biztos egy olyan egyértelmű mechanizmust ajánl, amely biztosítja, hogy a funkciók kiterjesztése előtt vagy más szakpolitikai területekre történő kiterjesztése előtt körültekintően értékeljék az adatvédelmi aggályokat, és szükség esetén további biztosítékokat vagy technikai intézkedéseket hajtsanak végre az IMI architektúrájában. Különösen:

31.

Ezeknek az eljárási biztosítékoknak (az adatvédelmi hatásvizsgálatnak és az egyeztetésnek) vonatkozniuk kell a felhatalmazáson alapuló, bizottsági jogi aktus útján történő kiterjesztésre (egy-egy tételnek a II. mellékletből az I. mellékletbe történő áthelyezésére), valamint a parlamenti és tanácsi rendelet útján történő kiterjesztésre, ideértve a II. mellékletben fel nem sorolt tételeket is.

32.

Az európai adatvédelmi biztos végezetül azt ajánlja, hogy a rendelet tegye egyértelművé azt, hogy azoknak a felhatalmazáson alapuló jogi aktusoknak a hatálya, amelyeknek az elfogadására a Bizottság a 23. cikk alapján felhatalmazást kap, kiterjed-e bármely más kérdésre az egyes tételeknek a II. mellékletből az I. mellékletbe történő áthelyezésén túl. Amennyiben megvalósítható, a rendeletben fel kell hatalmazni a Bizottságot arra, hogy egyedi végrehajtási aktusokat vagy felhatalmazáson alapuló jogi aktusokat fogadjon el a rendszer további funkcióinak meghatározása vagy a jövőben esetlegesen felmerülő adatvédelmi aggályok kezelése érdekében.

33.

Az európai adatvédelmi biztos üdvözli, hogy egy teljes fejezetet (II. fejezet) szentelnek az IMI-ben részt vevő különböző szereplők feladatainak és felelősségi köreinek pontos meghatározására. A rendelkezések a következők szerint tovább szigoríthatók.

34.

A 9. cikk a Bizottság adatkezelői feladatköréből fakadó felelősségi köröket ismerteti. Az európai adatvédelmi biztos azt ajánlja, hogy kerüljön a cikkbe egy kiegészítő rendelkezés is, amely a Bizottság annak biztosítása során betöltött feladatkörére hivatkozik, hogy a rendszer kialakítása a „beépített adatvédelem” elveinek és az adatvédelmi kérdéseket érintő koordináló feladatkörének alkalmazásával történjen.

35.

Az európai adatvédelmi biztos örömmel látja, hogy az IMI-koordinátorok 7. cikkben felsorolt feladatai immár tartalmaznak adatvédelemmel kapcsolatos koordinációs feladatokat, például azt, hogy kapcsolattartó személyként járnak el a Bizottság nevében. Ajánlja továbbá annak még egyértelműbbé tételét, hogy ezek a koordinációs feladatok magukban foglalják a nemzeti adatvédelmi hatóságokkal való kapcsolattartást is.

36.

A 10. cikk a hozzáférési jogokra vonatkozó biztosítékokról rendelkezik. Az európai adatvédelmi biztos üdvözli, hogy észrevételei nyomán ezek a rendelkezések jelentősen szigorúbbá váltak.

37.

Az IMI horizontális jellegére és kiterjesztésére való tekintettel fontos biztosítani azt, hogy a rendszer garantálja olyan „kínai falak” alkalmazását, amelyek egy szakpolitikai területen feldolgozott adatokat az adott szakpolitikai területre korlátozzák: az IMI-felhasználók (i) csak a szükséges mértékben férjenek hozzá az adatokhoz és (ii) azok egyetlen szakpolitikai területre korlátozódjanak.

38.

Amennyiben elkerülhetetlen, hogy egy IMI-felhasználó több szakpolitikai területre vonatkozó adatokhoz való hozzáférésre legyen jogosult (ami előfordulhat például néhány helyi önkormányzati hivatalban), a rendszernek legalább a különböző szakpolitikai területekről származó adatok ötvözését nem szabad lehetővé tennie. A kivételeket szükség esetén végrehajtási jogszabályokban vagy uniós jogi aktusban kell kifejteni, a célhoz kötöttség elvének szigorú betartása mellett.

39.

Ezeket az elveket a rendelet szövege most körvonalakban ismerteti, de azok szigorúbbá és működőképesebbé tehetők.

40.

A Bizottság hozzáférési jogai tekintetében az európai adatvédelmi biztos üdvözli, hogy a javaslat 9. cikkének (2) és (4) bekezdése, valamint 10. cikkének (6) bekezdése együttesen pontosítja, hogy a Bizottság a jövőben nem férhet hozzá a tagállamok között cserélt személyes adatokhoz, kivéve azokat az eseteket, amikor igazgatási együttműködési eljárás résztvevőjének jelölik ki.

41.

A külső szereplők hozzáférési jogait és a riasztásokhoz való hozzáférési jogot is tovább kell pontosítani (24). A riasztások tekintetében az európai adatvédelmi biztos azt ajánlja, hogy a rendelet írja elő, hogy a riasztásokat alapértelmezés szerint ne küldjék el minden tagállam valamennyi illetékes hatóságának, hanem – a szükséges mértékben – csak az érintetteknek. Ez nem zárja ki, hogy konkrét ügyekben vagy konkrét szakpolitikai területeken ne küldjenek riasztásokat minden tagállamnak, ha azok mind érintettek. Hasonlóképpen eseti alapon végzett elemzés szükséges annak eldöntéséhez, hogy a Bizottság hozzáférjen-e a riasztásokhoz.

42.

A javaslat 13. cikke az IMI-n belüli adattárolás időtartamát a jelenlegi hat hónapról (amely az ügyek lezárásától számítandó) öt évre hosszabbítja meg, 18 hónap elteltével pedig „zárolni” kell az adatokat. A „zárolás” ideje alatt az adatok csak külön visszakeresési eljárást követően férhetők hozzá, amely csak az adatok érintettjének kérésére kezdeményezhető, illetve abban az esetben, ha az adatok „az IMI révén történő információcsere bizonyítása céljából” szükségesek.

43.

Az IMI így valójában három különböző időtartamon keresztül tárol adatokat:

44.

Ezeken az általános szabályokon túlmenően a 13. cikk (2) bekezdése lehetővé teszi az adatok „adattárban” történő megőrzését mindaddig, amíg e célból szükséges, az adatok érintettjének hozzájárulásával, vagy „ha uniós jogi aktus betartása azt szükségessé teszi”. A 14. cikk továbbá az IMI-felhasználók személyes adatainak megőrzése tekintetében hasonló zárolási mechanizmusról rendelkezik, attól a naptól számított öt évig, amikortól azok IMI-felhasználói minősége megszűnik.

45.

Egyéb konkrét rendelkezések nincsenek. Ezért az általános szabályok vélhetően nemcsak az egyéni információcserékre alkalmazandók, hanem a riasztásokra és a problémamegoldásra is (mint a SOLVIT esetében (26)), és valamennyi olyan egyéb funkcióra, amely személyes adatok feldolgozásával jár.

46.

Az európai adatvédelmi biztosnak több aggálya van a megőrzési időszakokkal kapcsolatban a 95/46/EK irányelv 6. cikke (1) bekezdése e) pontjának és a 45/2001/EK rendelet 4. cikke (1) bekezdése e) pontjának fényében, amelyek egyaránt előírják, hogy a személyes adatok tárolása úgy történjen, hogy az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig tegye lehetővé.

47.

Az adatok feltöltésétől az ügy lezárásáig tartó első időszak tekintetében az európai adatvédelmi biztost aggodalommal tölti el annak kockázata, hogy egyes ügyek esetleg egyáltalán nem, vagy csak aránytalanul hosszú idő elteltével zárulnak le. Ennek következtében előfordulhat, hogy egyes személyes adatok a szükségesnél hosszabb ideig, sőt határozatlan ideig maradnak az adatbázisban.

48.

Az európai adatvédelmi biztos értesülése szerint a Bizottság gyakorlati szinten előrelépést tett az IMI területén fennálló lemaradásának csökkentéséhez, és létezik az egyéni információcserékre szolgáló rendszer az ügyek időben történő lezárásának nyomon követésére és az elmaradásban lévők rendszeres időközönkénti emlékeztetésére. Ezen túlmenően – a „beépített adatvédelmen” alapuló megközelítés alapján – a rendszer funkcióinak újabb módosítása egyetlen gombnyomásra lehetővé teszi egy-egy válasz elfogadását és ugyanakkor az ügy lezárását is. Ez korábban két különálló lépést tett szükségessé, és ennek következtében előfordulhatott, hogy néhány inaktív ügy a rendszerben maradt.

49.

Az európai adatvédelmi biztos üdvözli ezeket a gyakorlati szinten tett erőfeszítéseket, ugyanakkor azt ajánlja, hogy a rendelet írjon elő garanciákat arra vonatkozóan, hogy az ügyeket időben lezárják az IMI-ben, és hogy az inaktív ügyeket (a közelmúltbeli tevékenység nélküli ügyeket) töröljék a rendszerből.

50.

Az európai adatvédelmi biztos felszólít annak felülvizsgálatára, hogy megfelelően indokolt-e az ügy lezárását követő jelenlegi hat hónapos időszak 18 hónapra történő meghosszabbítása, és amennyiben igen, ez csak az egyéni információcseréknél indokolt-e, vagy egyéb funkciótípusoknál is. Az IMI immár több éve létezik, és az e tekintetben felhalmozott gyakorlati tapasztalatot hasznosítani kell.

51.

Amennyiben az IMI információcserére szolgáló eszköz marad (nem pedig fájlkezelő rendszer, adatbázis vagy archiváló rendszer), továbbá amennyiben az illetékes hatóságok rendelkeznek olyan eszközökkel, amelyekkel visszakereshetik a rendszerből a hozzájuk beérkezett információkat (elektronikusan vagy nyomtatott formában, de mindenesetre oly módon, hogy a visszakeresett információkat bizonyítékként használhassák (27)), úgy tűnik, hogy alig van szükség arra, hogy az adatokat az ügy lezárását követően egyáltalán az IMI-ben tárolják.

52.

Az egyéni információcserék során még a válaszok elfogadását – és ennélfogva az ügy lezárását – követően feltett további kérdések esetleges szükségessége talán indokolhat egy (ésszerűen rövid) megőrzési időszakot az ügy lezárását követően. A jelenlegi hat hónapos időszak első látásra kellően nagylelkűnek tűnik ehhez.

53.

Az európai adatvédelmi biztos szerint a Bizottság nem indokolta meg kellően a „zárolt adatok” legfeljebb öt évig terjedő megőrzésének szükségességét és arányosságát.

54.

Az indokolás a 8. oldalon hivatkozik a Bíróságnak a Rijkeboer-ügyben hozott ítéletére (28). Az európai adatvédelmi biztos azt ajánlja, hogy a Bizottság vizsgálja felül ennek az ügynek az IMI-ben történő adatmegőrzésre gyakorolt kihatásait. Véleménye szerint a Rijkeboer-ítélet alapján nem szükséges az IMI-t úgy konfigurálni, hogy az ügy lezárását követő öt évig megőrizze az adatokat.

55.

Az európai adatvédelmi biztos szerint a Rijkeboer-ítéletre vagy az adatok érintettjeinek az adataikhoz való hozzáférési jogaira történő hivatkozás nem indokolja meg kellően és megfelelően azt, hogy az adatokat az ügy lezárását követő öt évig megőrizzék az IMI-ben. Csupán a (szigorú meghatározás szerint tartalmat, egyebek mellett csatolásokat vagy különleges adatokat kizáró) „naplóadatok” megőrzése kevésbé beavatkozó jellegű alternatíva lehet, amely esetleg további mérlegelést érdemel. Az európai adatvédelmi biztos azonban ebben a szakaszban nincs meggyőződve arról, hogy még ez is szükséges vagy arányos lenne.

56.

Ezen túlmenően az is problémát jelent, hogy nem egyértelmű: ki és milyen céllal férhet hozzá a „zárolt adatokhoz”. Nem elég egyszerűen az „információcsere bizonyítása céljából” történő felhasználásra hivatkozni (mint a 13. cikk (3) bekezdésében). Ha a „zárolásra” vonatkozó rendelkezés megmarad, akkor mindenesetre pontosabban meg kell határozni, hogy ki és milyen összefüggésben kérheti az információcsere bizonyítását. Az adatok érintettjei mellett jogosultak-e mások a hozzáférés kérésére? Amennyiben igen, ezek kizárólag az illetékes hatóságok-e, és kizárólag annak bizonyítása érdekében jogosultak-e, hogy valamely adott tartalmú, adott információcsere történt (amennyiben ilyen információcserét vonnak kétségbe azok az illetékes hatóságok, amelyek elküldték vagy megkapták az üzenetet)? Terveznek-e az „információcsere bizonyítása céljából” történő, egyéb lehetséges felhasználást (29)?

57.

Az európai adatvédelmi biztos szerint egyértelműbben meg kell különböztetni a riasztásokat és az adattárakat. Egy dolog a riasztás kommunikációs eszközként történő használata az illetékes hatóságok adott visszaéléssel vagy gyanúval kapcsolatos riasztására, és egészen más dolog ezt a riasztást meghosszabbított, sőt határozatlan ideig adatbázisban tárolni. A riasztási információk tárolása további aggályokat vetne fel, emellett egyedi szabályokat és további adatvédelmi biztosítékokat tenne szükségessé.

58.

Az európai adatvédelmi biztos ezért azt ajánlja, hogy a rendelet alapértelmezett szabályként írja elő, hogy (i) a riasztásokra – vertikális jogszabályok eltérő rendelkezése hiányában, és további megfelelő biztosítékokra figyelemmel – hat hónapos megőrzési időszak vonatkozzon, és még fontosabb, hogy (ii) ezt az időszakot a riasztás elküldésének időpontjától kell számítani.

59.

Az európai adatvédelmi biztos alternatív lehetőségként azt ajánlja, hogy a javasolt rendelet speciálisan a riasztások tekintetében részletes biztosítékokat fejtsen ki. Az európai adatvédelmi biztos készen áll arra, hogy ebben a tekintetben további tanácsadással segítse a Bizottságot és a jogalkotókat, amennyiben ezt a második megközelítést alkalmazzák.

60.

Az európai adatvédelmi biztos üdvözli egyrészt a 95/46/EK irányelv 8. cikkének (1) bekezdésében említett személyes adatok, másrészt a 8. cikkének (5) bekezdésében említett személyes adatok közötti különbségtételt. Azt is üdvözli, hogy a rendelet egyértelműen kimondja, hogy különleges adatok feldolgozása csak a 95/46/EK irányelv 8. cikkében említett konkrét indokok alapján történhet.

61.

Az európai adatvédelmi biztos ezzel kapcsolatos értelmezése az, hogy az IMI jelentős mennyiségű, a 95/46/EK irányelv 8. cikke (2) bekezdésének hatálya alá tartozó különleges adatot fog feldolgozni. Az IMI kialakítása valójában a kezdetektől fogva – a szolgáltatásokról szóló irányelv és a szakmai képesítésekről szóló irányelv szerinti igazgatási együttműködés támogatása érdekében történő első kiépítésétől fogva – úgy történt, hogy ilyen adatokat, különösen a szakemberek vagy szolgáltatók más tagállambeli munkavégzési vagy szolgáltatásnyújtási jogára esetlegesen hatással lévő bűncselekmények és közigazgatási jogsértések nyilvántartására vonatkozó adatokat dolgozzon fel.

62.

Ezen túlmenően valószínű, hogy jelentős mennyiségű, a 8. cikk (1) bekezdése szerinti különleges adat (elsősorban az egészségi állapotra vonatkozó adatok) feldolgozására is sor kerül az IMI-ben azt követően, hogy az kibővül egy SOLVIT-modullal (30). Végezetül nem zárható ki, hogy a jövőben az IMI segítségével, eseti alapon vagy rendszeresen, további különleges adatok gyűjtésére is sor kerül.

63.

Az európai adatvédelmi biztos örömmel látja, hogy a 16. cikk kifejezetten hivatkozik a Bizottság azon kötelezettségére, amely szerint a 45/2001/EK rendelet 22. cikkének való megfelelés érdekében elfogadott saját belső szabályait kell követnie, valamint az IMI-re vonatkozóan adatvédelmi tervet kell elfogadnia és naprakészen tartania.

64.

E rendelkezések további szigorítása érdekében az európai adatvédelmi biztos azt ajánlja, hogy a rendelet írja elő, hogy az IMI új szakpolitikai területre történő kiterjesztése előtt, illetve a személyes adatokra hatással lévő új funkcióval történő kiegészítése előtt minden alkalommal sor kerüljön az adatbiztonsági terv kockázatértékelésére és felülvizsgálatára (31).

65.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy a 16. cikk és a (16) preambulumbekezdés csak a Bizottság kötelezettségeire és az európai adatvédelmi biztos felügyeleti szerepére hivatkozik. Ez a hivatkozás félrevezető lehet. Bár igaz, hogy a Bizottság a rendszer üzemeltetője, és ebben a minőségében felelős az IMI-beli biztonság jelentős részének fenntartásáért, az illetékes hatóságoknak is vannak kötelezettségeik, amelyeket viszont a nemzeti adatvédelmi hatóságok felügyelnek. A 16. cikknek és a (16) preambulumbekezdésnek ezért hivatkoznia kell a többi IMI-szereplő 95/46/EK irányelv szerinti adatbiztonsági kötelezettségeire és a nemzeti adatvédelmi hatóságok felügyeleti hatáskörére is.

66.

A 17. cikk (1) bekezdése tekintetében az európai adatvédelmi biztos azt ajánlja, hogy a rendeletben legyenek konkrétabb rendelkezések annak biztosítására, hogy az adatok érintettjei teljes körű tájékoztatást kapjanak a személyes adataik IMI-ben történő feldolgozásáról. Tekintettel arra, hogy az IMI-t számos illetékes hatóság, köztük számos olyan helyi önkormányzati hivatal használja, amelyek nem rendelkeznek elegendő erőforrással, kifejezetten ajánlott, hogy az adatvédelmi nyilatkozat kiadásának koordinálása nemzeti szintjen történjen.

67.

A 17. cikk (2) bekezdésének a) pontja előírja a Bizottság számára, hogy a 45/2001/EK rendelet 10. és 11. cikkének megfelelően a saját adatfeldolgozási tevékenységeire vonatkozó adatvédelmi nyilatkozatot kell kiadnia. Ezen túlmenően a 17. cikk (2) bekezdésének b) pontja előírja a Bizottság számára, hogy „a 12. cikkben említett, az IMI-ben végrehajtott igazgatási együttműködési eljárás adatvédelmi szempontjaira” vonatkozóan is tájékoztatást kell adnia. Végezetül a 17. cikk (2) bekezdésének c) pontja előírja a Bizottság számára, hogy tájékoztatást kell adnia „az adatok érintettjeinek jogaival összefüggő, a 19. cikkben említett kivételekre vagy korlátozásokra” vonatkozóan.

68.

Az európai adatvédelmi biztos örömmel látja ezeket a rendelkezéseket, amelyek hozzájárulnak az IMI-ben végzett adatvédelmi műveletek átláthatóságához. A fenti 2.1. szakaszban foglaltaknak megfelelően, amennyiben egy IT-rendszert 27 különböző tagállamban használnak, elengedhetetlen a rendszer működésével, az alkalmazott adatvédelmi biztosítékokkal, valamint az adatok érintettjeinek nyújtott tájékoztatással kapcsolatos következetesség biztosítása (32).

69.

A 17. cikk (2) bekezdésének rendelkezéseit következésképp tovább kell szigorítani. A rendszer üzemeltetőjeként a Bizottság van a legjobb helyzetben ahhoz, hogy proaktív szerepet vállaljon abban, hogy többnyelvű weboldalán – az illetékes hatóságok nevében is, azaz a 95/46/EK irányelv 10. vagy 11. cikkében előírt információkra kiterjedően – „első kézből” biztosítson az adatok érintettjeire vonatkozó adatvédelmi nyilatkozatot és más releváns információkat. Ezáltal gyakran elegendő lenne az, hogy a tagállami illetékes hatóságok által kiadott nyilatkozatok egyszerűen a Bizottság által kiadott nyilatkozatra hivatkoznak, csak szükség esetén kiegészítve azt azokkal a további konkrét információkkal, amelyeket a nemzeti jogszabályok kifejezetten előírnak.

70.

Ezen túlmenően a 17. cikk (2) bekezdése b) pontjának egyértelművé kell tennie, hogy a Bizottság által adott tájékoztatás átfogóan kiterjedjen valamennyi szakpolitikai területre, valamennyi közigazgatási eljárástípusra és az IMI-n belüli valamennyi funkcióra, és kifejezetten tartalmazza a feldolgozható adatkategóriákat. Ennek tartalmaznia kell a közvetlen együttműködés során használt kérdéssoroknak az IMI-weboldalon történő közzétételét is, ahogyan jelenleg a gyakorlatban történik.

71.

Az európai adatvédelmi biztos – ahogyan a fenti 2.1. szakaszban megjegyezte – ismételten szeretne utalni arra, hogy elengedhetetlen a rendszer működésével és az alkalmazott adatvédelmi biztosítékokkal kapcsolatos következetesség biztosítása. Ezen okból kifolyólag az európai adatvédelmi biztos tovább pontosítaná az adatokhoz kapcsolódó betekintési, helyesbítési és törlési jogot.

72.

A 18. cikknek pontosítania kell, hogy az adatok érintettjei kihez forduljanak a betekintés iránti kérelemmel. Ennek egyértelműnek kell lennie a különböző időszakok során történő adatbetekintés tekintetében:

73.

A rendeletnek elő kell írnia azt is, hogy az illetékes hatóságoknak a betekintés iránti kérelmek tekintetében szükség esetén együtt kell működniük. A helyesbítéseket és a törléseket inkább „mielőbb, de legkésőbb 60 napon belül” kell elvégezni, mint „60 napon belül”. Meg kell továbbá említeni egy adatvédelmi modul kiépítésének lehetőségét, és a beépített adatvédelmi megoldások lehetőségét a betekintési jogokkal kapcsolatos, hatóságok közötti együttműködésben, valamint „az adatok érintettjeinek” például oly módon történő „felhatalmazását”, hogy – adott esetben és amennyiben megvalósítható – közvetlenül betekintést biztosítanak az adataikhoz.

74.

Az elmúlt években kifejlesztették az „összehangolt felügyeleti” modellt. Ezt a modellt, amely jelenleg az Eurodac-ban és a váminformációs rendszer egyes részeiben működik, már a Vízuminformációs Rendszer (VIS) és a Schengeni Információs Rendszer második generációja (SIS-II) esetében is elfogadták.

75.

A modell háromszintű:

76.

Ez a modell sikeresnek és eredményesnek bizonyult, és a jövőben más információs rendszerekhez is elő kell irányozni.

77.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat 20. cikke kifejezetten rendelkezik a nemzeti adatvédelmi hatóságok és az európai adatvédelmi biztos közötti összehangolt felügyeletről, nagy vonalakban a VIS-rendeletben és a SIS II-rendeletben (33) megállapított modellt követve.

78.

Az európai adatvédelmi biztos szigorítaná bizonyos kérdésekben az összehangolt felügyeletre vonatkozó rendelkezéseket, és ebből a célból például a Vízuminformációs Rendszer (a VIS-rendelet 41–43. cikke) és a Schengen II-rendszer (a SIS II-rendelet 44–46. cikke) esetében érvényben lévőkhöz, valamint az Eurodac-hoz (34) tervezetthez hasonló rendelkezéseket támogatna. Különösen hasznos lenne, ha a rendelet:

79.

Az európai adatvédelmi biztos tehát tisztában van azzal, hogy jelenleg kevesebb és különböző jellegű adat feldolgozására kerül sor, valamint azzal, hogy az IMI fejlődik. Ezért elismeri, hogy a megbeszélések és az ellenőrzések gyakorisága tekintetében több rugalmasság is megfelelő lehet. Röviden: az európai adatvédelmi biztos azt ajánlja, hogy a rendelet írja elő a szükséges minimumszabályokat az eredményes együttműködés biztosításához, ugyanakkor ne teremtsen felesleges adminisztratív terheket.

80.

A javaslat 20. cikkének (3) bekezdése nem ír elő rendszeres megbeszéléseket, hanem egyszerűen úgy rendelkezik, hogy az európai adatvédelmi biztos „szükség esetén megbeszélést hívhat össze a nemzeti felügyeleti hatóságokkal”. Az európai adatvédelmi biztos üdvözli, hogy ezek a rendelkezések az érintett felekre bízzák a megbeszélések gyakoriságának és feltételeinek, valamint az együttműködésük eljárási részleteinek eldöntését. Ezekről megállapodhatnak a javaslatban már említett eljárási szabályokban.

81.

A rendszeres ellenőrzések tekintetében eredményesebb lehet az is, ha az együttműködő hatóságokra bízzák, hogy az eljárási szabályaikban határozzák meg, mikor és milyen gyakorisággal kell ilyen ellenőrzéseket tartaniuk. Ez számos tényező függvénye lehet, és idővel változhat. Az európai adatvédelmi biztos ezért támogatja a Bizottság megközelítését, amely e tekintetben több rugalmasságot tesz lehetővé.

82.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat egyértelmű jogalapot szolgáltat az IMI tagállamok általi alkalmazásához, és hogy az ilyesfajta alkalmazást több feltételhez köti, többek között ahhoz, hogy egyeztetni kell a nemzeti adatvédelmi hatósággal, és hogy a használatnak összhangban kell lennie a nemzeti jogszabályokkal.

83.

Az európai adatvédelmi biztos üdvözli a 22. cikk (1) bekezdésében az információcserékre vonatkozóan megállapított követelményeket, valamint azt, hogy a 22. cikk (3) bekezdése a kiterjesztés átláthatóságát az IMI-t használó harmadik országok frissített jegyzékének a Hivatalos Lapban történő közzétételével biztosítja (22. cikk (3) bekezdés).

84.

Az európai adatvédelmi biztos azt ajánlja továbbá, hogy a Bizottság szűkítse a 95/46/EK irányelv 26. cikke szerinti eltérésekre vonatkozó hivatkozást, és az csak a 26. cikk (2) bekezdésére terjedjen ki. Más szóval: a megfelelő védelmet nem biztosító harmadik ország illetékes hatóságai vagy más külső szereplői csak akkor rendelkezhessenek közvetlen hozzáféréssel az IMI-hez, ha megfelelő szerződéses záradékok vannak érvényben. E záradékokról uniós szinten kell tárgyalásokat folytatni.

85.

Az európai adatvédelmi biztos hangsúlyozza, hogy egyéb eltérések – például az, hogy „a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő” – nem alkalmazhatók az IMI-hez való közvetlen hozzáférés révén harmadik országokba irányuló adattovábbítások indokolására (38).

86.

Az uniós adatvédelmi keret felülvizsgálata során a fokozottabb elszámoltathatóságra vonatkozó rendelkezések várható szigorításával összhangban (39) az európai adatvédelmi biztos azt ajánlja, hogy a rendelet állapítson meg olyan egyértelmű keretet a megfelelő belső ellenőrzési mechanizmusokhoz, amely biztosítja az adatvédelmi szabályok betartását, arról bizonyítékkal is szolgál, és legalább az alábbiakban felsorolt elemeket tartalmazza.

87.

Ennek kapcsán az európai adatvédelmi biztos üdvözli a rendelet 26. cikkének (2) bekezdésében foglalt azon követelményt, miszerint a Bizottságnak háromévente jelentést kell tennie az európai adatvédelmi biztosnak az adatvédelmi szempontokról, ideértve az adatbiztonságot is. Ajánlatos lenne, ha a rendelet egyértelművé tenné, hogy az európai adatvédelmi biztossal szemben ugyanakkor követelmény lenne, hogy ossza meg a Bizottság jelentését a nemzeti adatvédelmi hatóságokkal, a 20. cikkben említett összehangolt felügyelet keretén belül. Hasznos lenne egyértelművé tenni azt is, hogy a jelentésnek az egyes szakpolitikai területek és az egyes funkciók tekintetében ki kell térnie arra, hogy a kulcsfontosságú adatvédelmi elvekkel és aggályokkal (például az adatok érintettjeinek tájékoztatásával, a hozzáférési jogokkal, az adatbiztonsággal) hogyan foglalkoznak a gyakorlatban.

88.

Ezen túlmenően a rendeletnek egyértelművé kell tennie, hogy a belső ellenőrzési mechanizmusok kerete tartalmazzon a magánélet védelmére vonatkozó értékeléseket (többek között adatbiztonsági kockázatelemzést) is, az ezen értékelések eredményei alapján elfogadott adatvédelmi politikát (ezen belül adatbiztonsági tervet), valamint rendszeres időközönkénti felülvizsgálatokat és ellenőrzéseket.

89.

Az európai adatvédelmi biztos üdvözli, hogy a rendelet (6) preambulumbekezdése hivatkozik erre az elvre (40). Azt ajánlja, hogy e hivatkozáson túlmenően a rendelet vezessen be konkrét beépített adatvédelmi biztosítékokat, például:

90.

Az európai adatvédelmi biztos általános véleménye az IMI-ről pozitív. Az európai adatvédelmi biztos támogatja a Bizottság azon céljait, hogy elektronikus adatcsere-rendszert hozzon létre és szabályozza annak adatvédelmi szempontjait. Az európai adatvédelmi biztos azt is üdvözli, hogy a Bizottság az IMI vonatkozásában európai parlamenti és tanácsi rendelet formájú, horizontális jogi aktust javasol. Örvendetesnek tartja, hogy a javaslat átfogóan hangsúlyozza az IMI szempontjából leginkább releváns adatvédelmi kérdéseket.

91.

Az IMI vonatkozásában a javasolt rendeletben létrehozandó jogi keret tekintetében az európai adatvédelmi biztos két alapvető kihívásra hívja fel a figyelmet:

92.

Az IMI már előrelátható funkcióit egyértelművé kell tenni, és azokra pontosabban ki kell térni.

93.

Megfelelő eljárási biztosítékokat kell alkalmazni annak biztosítása érdekében, hogy az adatvédelem az IMI jövőbeli fejlesztése során is körültekintő mérlegelés tárgyát képezze. E biztosítékok között szerepelnie kell hatásvizsgálatnak, valamint az európai adatvédelmi biztossal és a nemzeti adatvédelmi hatóságokkal folytatott egyeztetésnek az IMI alkalmazási körének új szakpolitikai területre és/vagy új funkciókra történő kiterjesztése előtt.

94.

A külső szereplők hozzáférési jogait és a riasztásokhoz kapcsolódó betekintési jogot tovább kell pontosítani.

95.

A megőrzési időszakok tekintetében:

96.

A rendeletnek elő kell írnia, hogy az IMI új szakpolitikai területre történő kiterjesztése előtt, illetve a személyes adatokra hatással lévő új funkcióval történő kiegészítése előtt minden alkalommal sor kerüljön az adatbiztonsági terv kockázatértékelésére és felülvizsgálatára.

97.

Az adatok érintettjeinek tájékoztatására és a hozzáférési jogokra vonatkozó rendelkezéseket szigorítani kell, és következetesebb megközelítést kell szorgalmazni.

98.

Az európai adatvédelmi biztos bizonyos kérdésekben szigorítaná az összehangolt felügyeletre vonatkozó rendelkezéseket, és ebből a célból például a Vízuminformációs Rendszer és a Schengen II-rendszer esetében meglévőkhöz, valamint az Eurodac-hoz tervezetthez hasonló rendelkezéseket támogatna. A megbeszélések és az ellenőrzések gyakorisága tekintetében az európai adatvédelmi biztos támogatja a javaslat rugalmas megközelítését, melynek célja annak biztosítása, hogy a rendelet úgy írja elő az eredményes együttműködés garantálásához szükséges minimumszabályokat, hogy ne teremtsen felesleges adminisztratív terheket.

99.

A rendeletnek biztosítania kell, hogy a megfelelő védelmet nem biztosító harmadik ország illetékes hatóságai vagy más külső szereplői csak akkor rendelkezhessenek közvetlen hozzáféréssel az IMI-hez, ha megfelelő szerződéses záradékok vannak érvényben. E záradékokról uniós szinten kell tárgyalásokat folytatni.

100.

A rendeletnek a megfelelő belső ellenőrzési mechanizmusok vonatkozásában olyan egyértelmű keretet kell létrehoznia, amely biztosítja az adatvédelmi szabályok betartását, arról bizonyítékkal is szolgál, illetve tartalmaz a magánélet védelmére vonatkozó értékeléseket (többek között adatbiztonsági kockázatelemzést), az ezen értékelések eredményei alapján elfogadott adatvédelmi politikát (ezen belül adatbiztonsági tervet), valamint rendszeres időközönkénti felülvizsgálatokat és ellenőrzéseket.

101.

A rendeletnek konkrét, beépített adatvédelmi biztosítékokat is be kell vezetnie.