21.7.2011   

HU

Az Európai Unió Hivatalos Lapja

C 215/13

1.

A Bizottság 2010. december 22-én elfogadta az Unió éves költségvetésére alkalmazandó pénzügyi szabályokról szóló európai parlamenti és tanácsi rendeletjavaslatot („a javaslat”). Ez a javaslat a költségvetési rendelet (az 1605/2002/EK, Euratom rendelet) (3) felülvizsgálatáról szóló két korábbi bizottsági javaslatot von össze és azok helyébe lép. Ez a két javaslat egyfelől a költségvetési rendelet hároméves felülvizsgálatával, másfelől a költségvetési rendeletnek a Lisszaboni Szerződéshez való igazítása érdekében történő felülvizsgálatával foglalkozott (4).

2.

A 45/2001/EK rendelet 28. cikkének (2) bekezdésével összhangban a javaslatot 2011. január 5-én elküldték az európai adatvédelmi biztosnak. A javaslat elfogadását megelőzően informális egyeztetésre került sor az európai adatvédelmi biztossal. Az európai adatvédelmi biztos azt ajánlja a jogalkotónak, hogy a javasolt rendelet elején utaljon a vele folytatott egyeztetésre.

3.

A javaslat rendelkezik bizonyos – úgy uniós, mint nemzeti szintű – adatvédelmi vonzatokkal, amelyeket ez a vélemény az alábbiakban tárgyal.

4.

A javaslatban hivatkozás található a vonatkozó adatvédelmi jogszabályokra. Amint azonban a vélemény az alábbiakban kifejti, az adatvédelmi jogszabályi keretnek való teljes megfelelőség biztosítása érdekében még további részletek kidolgozására és egyértelműsítésre van szükség.

5.

A javasolt rendelet több olyan témával is foglalkozik, amellyel összefüggésben az uniós intézmények, ügynökségek és szervek, illetve tagállami szintű szereplők személyes adatokat dolgoznak fel. Ezt az adatfeldolgozási tevékenységet az alábbiakban részletesebben is elemzik. Személyes adatok feldolgozása esetén az uniós intézmények, ügynökségek és szervek kötelesek betartani a 45/2001/EK rendeletben előírt adatvédelmi szabályokat. A nemzeti szinten eljáró szereplőkre nézve az adott tagállamnak a 95/46/EK irányelvet végrehajtó nemzeti rendelkezései bírnak kötelező érvénnyel.

6.

Az európai adatvédelmi biztos örömmel nyugtázza, hogy a rendeletjavaslat tartalmazza az e két jogszabály egyikére vagy mindkettőre vonatkozó hivatkozásokat (5). A javaslat mindamellett nem hivatkozik módszeresen és következetesen a jogszabályokra. Ezért az európai adatvédelmi biztos arra bátorítja a jogalkotót, hogy a rendeletben átfogóbb megközelítést alkalmazzon ebben a tekintetben.

7.

Az európai adatvédelmi biztos azt ajánlja továbbá a jogalkotónak, hogy a rendelet preambulumába foglalja bele a 95/46/EK irányelvre és a 45/2001/EK rendeletre vonatkozó következő hivatkozást:

„Ez a rendelet nem érinti a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvben, valamint a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendeletben foglalt követelményeket.”

8.

Ezen túlmenően az európai adatvédelmi biztos azt ajánlja, hogy az 57. cikk (2) bekezdésének f) pontjába foglaljanak bele egy, a 95/46/EK irányelvre és a 45/2001/EK rendeletre vonatkozó hivatkozást, ahogy azt a javaslat 31. cikkének (3) bekezdésében tették.

9.

A javaslat 28. cikke a költségvetés végrehajtásának belső ellenőrzéséről szól. A cikk (2) bekezdésének d) pontja úgy rendelkezik, hogy a költségvetés végrehajtásának alkalmazásában a belső ellenőrzést úgy kell megtervezni, hogy az ésszerű mértékben garantálja a csalások és szabálytalanságok megelőzésének, felderítésének és korrekciójának megvalósulását.

10.

A költségvetés Bizottság általi, a tagállamokkal vagy tagállamnak nem minősülő jogalanyokkal vagy személyekkel megosztott irányításon keresztüli közvetett végrehajtására vonatkozóan az 56. cikk (2) bekezdése és az 57. cikk (3) bekezdése úgy rendelkezik, hogy a tagállamok, jogalanyok és egyéb személyek a költségvetés végrehajtásával összefüggő feladatok végzése során megelőzik, felderítik és kiigazítják a szabálytalanságokat és csalásokat. Magától értetődő, hogy az ilyen intézkedéseknek teljes mértékben meg kell felelniük a 95/46/EK irányelvet végrehajtó nemzeti rendelkezéseknek.

11.

Ebben a tekintetben az 56. cikk (4) bekezdésének f) pontja (amelynek az albekezdések logikus sorrendje alapján a (4) bekezdés e) pontjának kellene lennie) előírja, hogy a tagállamok által akkreditált, az alapok helyes kezelése és ellenőrzése tekintetében kizárólagos felelősséggel bíró testületek „biztosítják a személyes adatoknak a 95/46/EK irányelvben megállapított elveknek megfelelő védelmét.” Az európai adatvédelmi biztos azt ajánlja, hogy ezt a hivatkozást – annak megerősítése érdekében – az alábbi módon módosítsák: „biztosítják, hogy a személyes adatok feldolgozása minden esetben megfelel a 95/46/EK irányelvet végrehajtó nemzeti rendelkezéseknek.”

12.

A tagállamnak nem minősülő jogalanyok és személyek tekintetében az 57. cikk (2) bekezdésének f) pontja úgy rendelkezik, hogy ezeknek a jogalanyoknak és személyeknek „biztosítaniuk kell a személyes adatok ésszerű védelmét”. Az európai adatvédelmi biztos határozottan bírálja ezt a mondatrészt, mivel az alighanem lehetőséget biztosít az adatvédelmi szabályok kevésbé szigorú alkalmazására. Ennélfogva az európai adatvédelmi biztos azt ajánlja, hogy ezt a mondatrészt is helyettesítsék a következő szöveggel: „biztosítják, hogy a személyes adatok feldolgozása minden esetben megfelel a 95/46/EK irányelvet végrehajtó nemzeti rendelkezéseknek.”

13.

A 63. cikk (8) bekezdése a belső visszaélés-jelentési rendszerek („whistleblowing”) témakörével foglalkozik. A bekezdés arra kötelezi az alkalmazottakat, hogy tájékoztassák az engedélyezésre jogosult tisztviselőt (vagy a javaslat 70. cikkének (6) bekezdése értelmében létrehozandó, a pénzügyi szabálytalanságokat figyelő külön testületet), amennyiben úgy vélik, hogy a felettesük utasítására általuk végrehajtandó döntés szabályellenes, illetve ellenkezik a hatékony és eredményes pénzgazdálkodás elvével vagy az általuk betartandó szakmai szabályokkal. Az alkalmazottaknak tájékoztatniuk kell az alkalmazandó jogszabályokban kijelölt hatóságokat és testületeket bárminemű olyan jogellenes tevékenységről, csalásról vagy korrupcióról, amely sértheti az Unió érdekeit.

14.

Az európai adatvédelmi biztos rá kíván mutatni arra, hogy a belső jelentéstevők helyzete igen kényes. Azoknak a személyeknek, akikhez az ilyen információk eljutnak, biztosítaniuk kell a belső jelentéstevők személyazonosságának bizalmas kezelését, különösen azon személyekkel szemben, akikkel kapcsolatban feltételezett szabálytalanságról tettek jelentést (6). A belső jelentéstevő személyazonossága bizalmas kezelésének biztosítása nemcsak a tájékoztatást nyújtó személyt védi, hanem egyben magának a belső visszaélés-jelentési rendszernek a hatékonyságát is biztosítja. Amennyiben nem áll rendelkezésre kellő garancia a bizalmasságot illetően, az alkalmazottak kevésbé lesznek hajlandóak jelentést tenni a szabálytalan vagy jogellenes tevékenységekről.

15.

A belső jelentéstevő személyazonosságának bizalmas kezelése és védelme azonban nem lehet mindenekfeletti érvényű. Az első belső vizsgálatot követően sor kerülhet olyan további eljárási vagy igazságügyi lépésekre, amelyekhez szükséges, hogy a belső jelentéstevő személyazonosságát felfedjék például az igazságügyi hatóságok előtt. Ezért be kell tartani az igazságügyi eljárásokra vonatkozó nemzeti szabályokat (7).

16.

Előfordulhat olyan helyzet is, amikor a szabálytalanság elkövetésével vádolt személynek jogában áll, hogy tájékoztassák a belső jelentéstevő nevéről. Ez akkor lehetséges, ha a személynek szüksége van a belső jelentéstevő személyazonosságára ahhoz, hogy jogi eljárást indíthasson ellene, amennyiben igazolást nyer, hogy az rosszhiszeműen valótlan állításokat tett ellene (8).

17.

Az európai adatvédelmi biztos azt ajánlja, hogy a jelenlegi javaslat módosításával biztosítsák a belső jelentéstevők személyazonosságának bizalmas kezelését a vizsgálatok során, amennyiben ez nem ellentétes az igazságügyi eljárásokra irányadó nemzeti szabályokkal, és amennyiben a szabálytalanság elkövetésével vádolt személy nem jogosult a személyazonosság kiadására (abban az esetben lehet jogosult, ha szüksége van a belső jelentéstevő személyazonosságára ahhoz, hogy jogi eljárást indítson ellene, miután igazolást nyert, hogy az rosszhiszeműen valótlan állításokat tett ellene).

18.

A 31. cikk (2) bekezdése értelmében (Az uniós források kedvezményezettjeivel kapcsolatos és más információk közzététele) amikor a Bizottság közvetlenül vagy átruházás útján végrehajtja a költségvetést, megfelelő módon rendelkezésre bocsátja a költségvetésből nyújtott források kedvezményezettjeivel kapcsolatos, birtokában lévő információkat.

19.

A 31. cikk (3) bekezdése úgy rendelkezik, hogy ezt az információt „a bizalmassági követelményekre kellő figyelemmel kell közzétenni, különös tekintettel a személyes adatok védelme tekintetében a 95/46/EK európai parlamenti és tanácsi irányelvben és a 45/2001/EK európai parlamenti és tanácsi rendeletben előírt rendelkezésekre, valamint a biztonsági követelményekre, figyelembe véve az egyes irányítási módok sajátosságait […], és adott esetben a vonatkozó ágazatspecifikus szabályokkal összhangban.”

20.

Az uniós források kedvezményezettjei személyazonosságának közzétételével az Európai Bíróság („a Bíróság”) a Schecke és Eifert-ügyben hozott, 2010. novemberi ítéletében (9) foglalkozott. Anélkül, hogy az ügyet részletesen tárgyalnánk, hangsúlyozni kell, hogy a Bíróság körültekintően értékelte, hogy az információk nyilvánosságra hozatalával kapcsolatos kötelezettséget előíró uniós jogszabályok összhangban voltak-e az Európai Unió Alapjogi Chartája („a Charta”) 7. és 8. cikkével.

21.

A Bíróság megvizsgálta, milyen célból hozták nyilvánosságra az információkat, és ezáltal az intézkedés arányosságát. A Bíróság úgy ítélte meg, hogy a természetes személyre vonatkozó információk nyilvánosságra hozatala előtt az intézményeknek mérlegelniük kell a közzétételhez kapcsolódó uniós érdek, valamint a Charta 7. és 8. cikkében elismert jogok megsértésének súlyát (10). A Bíróság hangsúlyozta, hogy a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk (11).

22.

A Bíróság véleménye szerint az intézményeknek többféle közzétételi módszert kellene kipróbálniuk, hogy megtalálják azt a módozatot, amely megfelel a közzététel céljának, mindamellett a lehető legkevésbé sérti a kedvezményezetteknek általában a magánélet tiszteletben tartásához és különösen a személyes adatok védelméhez való jogát (12). Ebben a sajátos ügyben a Bíróság a kedvezményezettekre vonatkozó név szerinti információk közzétételének a támogatások időtartama, gyakorisága vagy típusa, illetve nagysága szerinti korlátozására utalt (13).

23.

Az európai adatvédelmi biztos ismételten hangsúlyozza, hogy a magánélet védelmének és az adatvédelemnek nem az a feladata, hogy megakadályozza az információkhoz való hozzáférést mindazon esetekben, amikor személyes adatokról van szó, és hogy szükségtelen módon korlátozza az uniós igazgatás átláthatóságát. Az európai adatvédelmi biztos azt a nézetet támogatja, miszerint az átláthatóság elve „lehetővé teszi a polgárok számára, hogy még inkább részt vegyenek a döntéshozatali eljárásban, és biztosítja a polgárok irányában a közigazgatás nagyobb legitimációját, hatékonyságát és felelősségét a demokratikus rendszerben”; az alapok kedvezményezettjeire vonatkozó név szerinti adatok internetes közzététele pedig – megfelelő eljárás esetén – „hozzájárul a közpénzek közigazgatás általi megfelelő felhasználásához” és „erősíti az érintett összegek felhasználásának nyilvános ellenőrzését” (14).

24.

Ezen az alapon az európai adatvédelmi biztos hangsúlyozni kívánja, hogy a Bíróság fenti bekezdésekben említett megfontolásai a jelenlegi javaslat tekintetében közvetlenül relevánsak. Noha a javaslat utal a 95/46/EK irányelvre és a 45/2001/EK rendeletre, nem biztosított, hogy a tervezett közzététel megfelel a Bíróság által a Schecke-ügy kapcsán kifejtett követelményeknek. Ebben a tekintetben hangsúlyozni kell, hogy a Bíróság nemcsak a mezőgazdasági alapok kedvezményezettjeire vonatkozó információk nyilvánosságra hozatala részletes szabályainak megállapításáról szóló bizottsági rendeletet (15) semmisítette meg, hanem – a természetes személy kedvezményezettek tekintetében – a bizottsági rendelet jogalapját képező rendelet azon rendelkezését is, amely az információk nyilvánosságra hozatalára vonatkozó általános követelményt tartalmazta (16).

25.

Az európai adatvédelmi biztos erősen kétli, hogy a jelenlegi javaslat megfelel a Bíróság által a Schecke-ügy kapcsán kifejtett kritériumoknak. Sem a 31. cikk, sem a környező cikkek nem tartalmaznak olyan egyértelmű és jól meghatározott célt, amely érdekében személyes információk közzétételét tervezik. Ezen túlmenően nem egyértelmű, mikor és milyen formában hozzák nyilvánosságra az információkat. Ezért nem lehet értékelni, hogy megfelelő egyensúlyt találtak-e a különféle érintettek érdekei között, sem ellenőrizni azt, hogy a közzététel arányos lenne-e (ahogy azt a Bíróság a Schecke-ügy kapcsán kifejezetten hangsúlyozta). Ezenkívül az sem egyértelmű, hogyan biztosítják az érintett adatalanyok jogainak tiszteletben tartását.

26.

Még ha tervezik is végrehajtási jogszabályok kidolgozását – amire nézve nincsen egyértelmű kijelentés –, az imént említett alapvető kérdések tisztázását a jogalapnak kell tartalmaznia (jelen esetben a költségvetési rendelet jelenti a jogalapot az ilyen adatok nyilvánosságra hozatala tekintetében).

27.

Az európai adatvédelmi biztos ennélfogva azt ajánlja a jogalkotónak, hogy tisztázza a tervezett nyilvánosságra hozatal célját és fejtse ki annak szükségességét; jelezze, hogyan és milyen mértékben hoznak nyilvánosságra személyes adatokat; biztosítsa, hogy csak akkor hozzanak nyilvánosságra adatokat, ha ez a nyilvánosságra hozatal arányos; valamint biztosítson lehetőséget az érintetteknek az uniós adatvédelmi jogszabályokban foglalt jogaik érvényesítésére.

28.

A javaslat 103. cikke azzal a lehetőséggel foglalkozik, hogy az ajánlatkérő hatóság közigazgatási vagy pénzügyi bírságot szabhat ki a) a vállalkozókra, jelentkezőkre vagy pályázókra, amennyiben bebizonyosodik, hogy az ajánlatkérő hatóság által a közbeszerzési eljárásban való részvétel feltételeként kért információk szolgáltatása során félrevezető információkat közölnek vagy nem nyújtják be ezeket az információkat (lásd a 101. cikk b) pontját), vagy b) azokra a vállalkozókra, akik esetében igazolást nyer, hogy súlyosan megszegték a költségvetésből finanszírozott szerződés szerinti kötelezettségeiket.

29.

A 103. cikk (1) bekezdése kijelenti, hogy az érintettnek lehetőséget kell biztosítani észrevételei megtételére. A 103. cikk (2) bekezdése értelmében a bírság állhat az érintett költségvetésből finanszírozott szerződésekből és támogatásokból való – legfeljebb tíz évig terjedő – kizárásából, és/vagy a szóban forgó szerződés értékéig terjedő pénzbírságból.

30.

A jelenlegi helyzethez képest új elem a javaslatban az a lehetőség, hogy a 103. cikk (3) bekezdésében említett intézmény közzétett határozataiban vagy e határozatok összefoglalóiban nyilvánosságra hozhatja a gazdasági szereplő nevét, a tényállás rövid leírását, a kizárás időtartamát, illetve a pénzügyi bírság összegét.

31.

Amennyiben ez természetes személyekre vonatkozó információk nyilvánosságra hozatalát vonja maga után, ez a rendelkezés kérdéseket vet fel az adatvédelem tekintetében. Először is a megengedő mód használata egyértelműen arra utal, hogy a közzététel nem kötelező. Ez azonban számos olyan nyitott kérdést hagy maga után, amelyet a javaslat nem tisztáz kellőképpen. Mi például az ilyen nyilvánosságra hozatal célja? Mely kritériumok alapján dönt az érintett intézmény a nyilvánosságra hozatalról? Mennyi időn és milyen médiumon keresztül marad az információ hozzáférhető a nyilvánosság számára? Ki ellenőrzi, hogy az információ változatlanul helytálló-e és ki teszi azt naprakésszé? Ki értesíti az érintettet a nyilvánosságra hozatalról? Ezek a kérdések mind az adatminőséggel kapcsolatos, a 95/46/EK irányelv 6. cikkében és a 45/2001/EK rendelet 4. cikkében foglalt követelményekkel függnek össze.

32.

Hangsúlyozni kell, hogy az ilyen információk közzététele további kedvezőtlen hatást gyakorol az érintettre. A közzétételt ezért csak akkor szabad lehetővé tenni, ha az feltétlenül szükséges az adott cél eléréséhez. A fenti II.4. pontban a Bíróság Schecke-ügyben hozott ítéletével kapcsolatban tett észrevételek itt is relevánsak.

33.

A 103. cikk (3) bekezdésében foglalt javasolt szöveg jelenlegi formájában nem felel meg teljes mértékben az adatvédelmi jogszabályok követelményeinek. Az európai adatvédelmi biztos ennélfogva azt ajánlja a jogalkotónak, hogy tisztázza a tervezett nyilvánosságra hozatal célját és fejtse ki annak szükségességét; jelezze, hogyan és milyen mértékben hoznak nyilvánosságra személyes adatokat; biztosítsa, hogy csak akkor hozzanak nyilvánosságra adatokat, ha ez a nyilvánosságra hozatal arányos; valamint biztosítson lehetőséget az érintetteknek az uniós adatvédelmi jogszabályokban foglalt jogaik érvényesítésére.

34.

A javaslat részét képezi a közbeszerzési eljárásban való részvételből kizárt pályázók központi adatbázisának („az adatbázis”) létrehozása, amely a pályázatokban való részvételből kizárt jelentkezők és pályázók adatait tartalmazza (lásd a 102. cikket). Ez az adatbázis a jelenlegi költségvetési rendelet értelmében már létezik, és működését az 1302/2008/EK bizottsági rendelet részletesebben is szabályozza. Az adatbázis kapcsán a személyes adatokon végzett feldolgozási műveleteket az európai adatvédelmi biztos 2010. május 26-i előzetes ellenőrzésről szóló véleményében elemezte (17).

35.

Az adatbázisban nyilvántartott adatoknak számos címzettje lehet. Az adatbázishoz hozzáféréssel rendelkezők kilétének függvényében a 45/2001/EK rendelet 7., 8. vagy 9. cikke alkalmazandó.

36.

Az európai adatvédelmi biztos a fent említett előzetes ellenőrzésről szóló véleményében arra a következtetésre jutott, hogy a 7. cikk (más uniós intézmények és ügynökségek általi betekintés az adatbázisba) és a 8. cikk (hatóságok és bizonyos más tagállami szervek általi betekintés az adatbázisba) végrehajtásával kapcsolatos jelenlegi gyakorlat megfelel a 45/2001/EK rendeletnek.

37.

Ez a következtetés azonban nem vonható le a harmadik országok hatóságainak történő adattovábbítás vonatkozásában, amelyre a 45/2001/EK rendeletnek a harmadik országok hatóságainak és/vagy nemzetközi szervezeteknek történő adattovábbításról szóló 9. cikke irányadó. A 102. cikk (2) bekezdése előírja, hogy harmadik országok hatóságai is hozzáféréssel rendelkeznek az adatbázishoz.

38.

A 45/2001/EK rendelet 9. cikkének (1) bekezdése kimondja, hogy „a személyes adatok csak abban az esetben továbbíthatók a 95/46/EK irányelv szerint elfogadott nemzeti jogszabályok hatálya alá nem tartozó, a közösségi intézményektől és szervektől eltérő címzettek részére, ha a címzett országában vagy a címzett nemzetközi szervezetben megfelelő szintű adatvédelem biztosított, és az adatok továbbítása kizárólag az adatkezelő hatáskörébe tartozó feladatok végrehajtását teszi lehetővé.” A 9. cikk (1) bekezdésétől való eltéréssel a 9. cikk (6) bekezdése lehetővé teszi az adatoknak a kellő védelmet nem biztosító országokba történő továbbítását is, amennyiben „a továbbítás fontos közérdekből […] szükséges, illetve azt jogszabály írja elő”.

39.

A fent említett előzetes ellenőrzésről szóló véleményében az európai adatvédelmi biztos hangsúlyozta, hogy további lépésekre van szükség annak biztosításához, hogy harmadik országnak vagy szervezetnek történő továbbítás esetén a címzett kellő szintű védelmet biztosítson. Az európai adatvédelmi biztos hangsúlyozni kívánja, hogy a megfelelőség ilyen megállapításának esetenkénti értékelésen kell alapulnia, és magában kell foglalnia az adattovábbítási művelet vagy műveletsor körülményeinek mélyreható elemzését. A költségvetési rendelet nem mentesítheti a Bizottságot e kötelezettsége alól. Hasonlóképpen a 9. cikkben foglalt mentességek szerinti továbbításnak is esetenkénti értékelésen kell alapulnia.

40.

Ebben a tekintetben az európai adatvédelmi biztos azt ajánlja a jogalkotónak, hogy a 102. cikket bővítse ki egy további bekezdéssel, amely kifejezetten a személyes adatok védelmével foglalkozik. A bekezdés első mondata megegyezhetne a 102. cikk első bekezdésének jelenlegi első mondatával, azaz a következővel: „A központi adatbázist a Bizottság a személyes adatok védelmére vonatkozó uniós szabályokkal összhangban hozza létre és működteti.” Ehhez hozzá kell fűzni, hogy harmadik országok hatóságai számára csak akkor engedélyezett a hozzáférés, amenynyiben teljesülnek a 45/2001/EK rendelet 9. cikkében előírt feltételek.

41.

A jelenlegi javaslat rendelkezik bizonyos – úgy uniós, mint nemzeti szintű – adatvédelmi vonzatokkal, amelyeket ez a vélemény a fentiekben tárgyal. A javaslatban hivatkozás található a vonatkozó adatvédelmi jogszabályokra. Amint azonban a vélemény a fentiekben kifejti, az adatvédelmi jogszabályi keretnek való teljes megfelelőség biztosítása érdekében még további részletek kidolgozására és egyértelműsítésre van szükség. Az európai adatvédelmi biztos a következő ajánlásokat teszi: