9.2.2012   

HU

Az Európai Unió Hivatalos Lapja

C 35/1

1.

2011. október 12-én a Bizottság elfogadta a 2013 utáni közös agrárpolitikára (a továbbiakban: „KAP”) vonatkozó következő javaslatokat (a továbbiakban: „a javaslatok”), amelyeket egyeztetés céljából még ugyanazon a napon elküldtek az európai adatvédelmi biztosnak:

2.

Az európai adatvédelmi biztos üdvözli, hogy a Bizottság hivatalosan egyeztet vele, továbbá hogy a közvetlen kifizetésekről szóló rendelet, az egységes közös piacszervezésről szóló rendelet, a vidékfejlesztésről szóló rendelet és a horizontális rendelet javasolt preambuluma utalást tesz e véleményre.

3.

A javaslatok célja, hogy keretet biztosítsanak a következőknek: (1) fenntartható élelmiszer-termelés, (2) a természeti erőforrásokkal való fenntartható gazdálkodás és az éghajlatváltozás elleni fellépés, valamint (3) kiegyensúlyozott területi fejlődés. Ezért a mezőgazdasági termelők számára számos támogatási rendszert létrehoznak, valamint más intézkedéseket is bevezetnek a mezőgazdaság és vidékfejlesztés ösztönzésére.

4.

E programok különböző szakaszaiban (a támogatási kérelmek feldolgozása, a kifizetések átláthatóságának biztosítása, ellenőrzés, valamint csalás elleni küzdelem stb.) elsősorban a támogatások kedvezményezettjeinek, de harmadik feleknek a személyes adatait is feldolgozzák. Bár az adatfeldolgozás nagy része a tagállamok által és azok felügyelete alatt történik, a szóban forgó adatokhoz javarészt a Bizottság is hozzáférhet. A kedvezményezettek és egyes esetekben harmadik felek – pl. csalás ellenőrzése céljából – kötelesek információkat adni a kijelölt illetékes hatóságoknak.

5.

A KAP-pal összefüggésben az adatvédelem fontossága a Bíróságnak a Schecke-ügyben hozott döntésével került előtérbe, amely megsemmisítette a mezőgazdasági alapok kedvezményezettjei nevének közzétételéről szóló uniós jogszabályokat (10). Az európai adatvédelmi biztos tisztában van azzal, hogy az adatvédelmi szempontok nem képezik a javaslatok központi elemét. Mindazonáltal, mivel a javaslatok személyes adatok feldolgozásához kapcsolódnak, a tárgyhoz tartozóan bizonyos észrevételeket meg kell tenni.

6.

E véleménynek nem célja a teljes javaslatcsomag elemzése, csupán az, hogy segítséget és iránymutatást nyújtson a KAP igazgatásához szükséges személyes adatok feldolgozásának megtervezéséhez olyan módon, hogy az a magánélethez és az adatvédelemhez való alapvető jogok tiszteletben tartásával történjen, ugyanakkor biztosítsa a támogatás hatékony adminisztrációját, a csalás megelőzését és kivizsgálását, a kiadási oldal pedig átlátható és elszámoltatható legyen.

7.

E célból a vélemény két részből áll: az első, általánosabb rész a javaslatok többségére vonatkozó elemzést és ajánlásokat tartalmaz. Ez a rész túlnyomórészt a Bizottság felhatalmazáson alapuló és végrehajtási hatáskörével foglalkozik. A második rész több javaslatban is előforduló konkrét rendelkezéseket tárgyal (11), és az ott megjelölt kérdésekre vonatkozóan ad ajánlásokat.

8.

Amint már említésre került, a legtöbb feldolgozási műveletet a tagállamok végzik. A Bizottság azonban számos esetben hozzáférhet a személyes adatokhoz. Ezért az európai adatvédelmi biztos üdvözli, hogy a vonatkozó javaslatok preambuluma említi a 95/46/EK irányelv és a 45/2001/EK rendelet alkalmazhatóságát (12).

9.

Általánosságban megfigyelhető, hogy számos, adatvédelmi szempontból központi kérdést a jelenlegi javaslatok nem tartalmaznak, hanem a végrehajtási vagy a felhatalmazáson alapuló jogi aktusok szabályozzák majd ezeket. Ilyenek például a támogatás nyomon követésével, az informatikai rendszerek létrehozásával, az információk harmadik országba való továbbításával és a helyszíni ellenőrzésekkel kapcsolatos intézkedések (13).

10.

Az EUMSZ 290. cikke rögzíti a felhatalmazáson alapuló jogkörök Bizottság általi gyakorlásának feltételeit. A Bizottság részére felhatalmazás adható olyan aktusok elfogadására, „amelyek a jogalkotási aktusok egyes nem alapvető rendelkezéseit egészítik ki, illetve módosítják”. A „felhatalmazás céljait, tartalmát, alkalmazási körét és időtartamát” is kifejezetten rögzíteni kell. A végrehajtási hatáskörökkel kapcsolatban az EUMSZ 291. cikke megállapítja, hogy ezekkel akkor lehet felruházni a Bizottságot, amikor „kötelező erejű uniós jogi aktusok végrehajtásához egységes feltételekre van szükség”. A tagállamoknak biztosítaniuk kell ennek megfelelő vizsgálatát.

11.

Az európai adatvédelmi biztos úgy véli, hogy a javaslatokban tervezett adatfeldolgozás alapvető szempontjai és a szükséges adatvédelmi biztosítékok nem tekinthetők „nem alapvető rendelkezéseknek”. Ezért – a jogbiztonság fokozása érdekében – legalább a következőket már a fő jogalkotási szövegekben szabályozni kell (14):

12.

Ha a fenti elemeket a fő jogalkotási javaslatokban már meghatározták, a konkrét biztosítékok részletesebb végrehajtására felhatalmazáson alapuló jogi aktusokat vagy végrehajtási aktusokat alkalmazhatnak. Az európai adatvédelmi biztos elvárja, hogy az adatvédelmi szempontból fontos kérdésekkel foglalkozó végrehajtási és felhatalmazáson alapuló aktusokról egyeztessenek vele.

13.

Bizonyos esetekben előfordulhat, hogy bűncselekménnyel (bűncselekmény gyanújával) kapcsolatos adatokat dolgoznak fel (pl. csaláshoz kapcsolódó adatok). Mivel az alkalmazandó adatvédelmi jogszabályok különleges védelmet biztosítanak ezen adatoknak (17), az illetékes nemzeti adatvédelmi hatóságok vagy az európai adatvédelmi biztos által lefolytatott előzetes ellenőrzésre lehet szükség (18).

14.

Végül biztonsági intézkedéseket kell előirányozni, különösen a számítógépes adatbázisok és rendszerek tekintetében. Az elszámoltathatóság és a „beépített adatvédelem” elvét is figyelembe kell venni.

15.

Az egységes közös piacszervezésről szóló rendelet 157. cikke felhatalmazza a Bizottságot végrehajtási aktusok elfogadására különböző célú információközlési kötelezettségekkel kapcsolatban (pl. a piac átláthatóságának biztosítása, a KAP keretébe tartozó intézkedések ellenőrzése vagy nemzetközi megállapodások végrehajtása) (19), figyelembe véve, „hogy milyen adatokra van szükség, és milyen szinergiák vannak a különböző adatforrások között” (20). Az európai adatvédelmi biztos ajánlja, hogy ebben a rendelkezésben határozzák meg, mely adatforrások milyen konkrét célokra használhatók fel. Ezzel kapcsolatban az adatvédelmi biztos emlékeztetni kíván arra a veszélyre, hogy az adatbázisok összekapcsolása ütközhet a célhoz kötöttség elvével (21), amely szerint személyes adatok további feldolgozása nem történhet olyan módon, ami ellentétes azzal az eredeti céllal, amelyre a szóban forgó adatokat gyűjtötték (22).

16.

A vidékfejlesztésről szóló rendelet 77. cikke új elektronikus információs rendszert hoz létre, amelyet „a tagállamok és a Bizottság egymással együttműködve”, nyomon követés és értékelés céljából hoznak létre. A rendszer „a kedvezményezett és a projekt fő jellemzőire” vonatkozó, maguk a kedvezményezettek által megadott adatok feldolgozását is elvégzi (78. cikk). Amennyiben ezen „alapvető információk” körébe személyes adatok is tartoznak, ezt meg kell határozni a rendelkezésben. Ezenfelül a feldolgozandó adatok kategóriáit meg kell határozni, és a 74. cikkben előirányzott végrehajtási aktusokról egyeztetni kell az európai adatvédelmi biztossal.

17.

Ezenkívül ugyanezen javaslat 92. cikke egy új információs rendszer létrehozásáról rendelkezik, amelyet „a Bizottság a tagállamokkal együttműködésben” hoz létre „közérdekű adatok” biztonságos cseréje céljából. A kicserélendő adatok kategóriáinak meghatározása túl tág, így azt szűkíteni kell, hiszen előfordulhat, hogy a rendszer felhasználásával személyes adatok továbbítására is sor kerül. Ezenfelül a 77. és 92. cikk közötti kapcsolatot is pontosítani kell, mivel nem egyértelmű, hogy a két cikk célja és alkalmazási köre azonos-e.

18.

A horizontális rendelet (40) preambulumbekezdése kimondja, hogy a tagállamoknak integrált igazgatási és ellenőrzési rendszert kell működtetniük (23) egyes kifizetéseket illetően, és „az uniós támogatás nyomon követésének és eredményességének javítása céljából a tagállamoknak engedélyezni kell, hogy az említett integrált rendszert más uniós támogatási rendszerekhez kapcsolódóan is igénybe vehessék”. Ezt a rendelkezést pontosítani kell, különösen ha nemcsak az infrastruktúrával kapcsolatos szinergiák kiaknázására, hanem a tárolt információk más támogatási rendszerek nyomon követéséhez történő felhasználására is vonatkozik.

19.

A horizontális rendelet 73. cikke (1) bekezdésének c) pontja szerint a támogatási kérelmeknek – a parcellákon és a támogatási jogosultságokon kívül – „az ebben a rendeletben előírt vagy a vonatkozó ágazati mezőgazdasági jogszabályok végrehajtása céljából szükséges, illetőleg az érintett tagállam által kért bármely más információt” is tartalmazniuk kell (24). Amennyiben ezen információk várhatóan személyes adatokat is tartalmaznak, az adatok előírt kategóriáit meg kell határozni.

20.

A horizontális rendelet több szervet is kijelöl a KAP gyakorlati végrehajtására, és kiosztja azok feladatait (7–15. cikk). A Bizottság esetében a rendelet a következő hatásköröket irányozza elő (IV–VII. cím):

21.

Az előző bekezdésben említett első feladathoz személyes adatok feldolgozása is hozzátartozik, míg a második feladat esetében első látásra úgy tűnik, hogy nincs szükség személyes adatok feldolgozására: az intézkedések általános értékelése összesített vagy anonimizált adatok alapján is elvégezhető. Hacsak a Bizottság megfelelően nem indokolja személyes adatok feldolgozásának szükségességét ezzel a feladattal kapcsolatban, egyértelművé kell tenni, hogy az intézkedések általános értékeléséhez nincs szükség arra, hogy személyes adatokat bocsássanak a Bizottság rendelkezésére.

22.

A horizontális rendelet 49–52. és 61–63. cikke állapítja meg a helyszíni ellenőrzés (27) szabályait. A javaslat kimondja, hogy a fenti feladatokat elsősorban a tagállamokban működő illetékes hatóságok végzik el, különösen ami a személyek otthonában végzett házkutatásokat és azok hivatalos kihallgatását illeti, de a Bizottságnak hozzáférési joga van az így megszerzett információkhoz. Ezen a ponton a jogalkotónak rögzítenie kellene, hogy a Bizottság csak akkor férhet hozzá ezekhez az adatokhoz, ha az ellenőrzés céljából szükséges. Pontosítani kell azt is, hogy a Bizottság a személyes adatok mely kategóriáihoz férhessen hozzá.

23.

A támogatás nyomon követése céljából a horizontális rendelet létrehoz egy igazgatási és ellenőrzési rendszert (28) (68–78. cikk), amely több adatbázisból áll:

24.

A számítógépes adatbázis tagállamonként egy adatbázisból (valamint – választható lehetőségként – a közöttük működő decentralizált adatbázisokból) áll. Az egyes kedvezményezettek támogatási és kifizetési kérelmeiből megszerzett adatokat tartja nyilván. Figyelemmel arra, hogy nem minden, támogatási kérelemből megszerzett adat szükséges az ellenőrzéshez, mérlegelni kell azt, hogyan minimalizálható a személyes adatok ilyen célú feldolgozása.

25.

A javaslatok nem szabályozzák egyértelműen az igazgatási és ellenőrzési rendszerhez való hozzáférést. Az európai adatvédelmi biztos – hasonlóan a helyszíni ellenőrzéssel kapcsolatban mondottakhoz – azt ajánlja, hogy a jogalkotó alkosson egyértelműen körülírt szabályokat az e rendszerhez való hozzáférésre.

26.

Az ellenőrzések tekintetében a horizontális rendelet előírja kereskedelmi dokumentumok – köztük harmadik felek dokumentumai – vizsgálatát (79–88. cikk) (29). Előfordulhat, hogy ezek a dokumentumok harmadik felek személyes adatait tartalmazzák. A jogi aktusban meg kell határozni azokat a feltételeket, amelyekkel harmadik felek kötelesek kereskedelmi dokumentumaikat felfedni (30).

27.

Ugyanezen javaslat 87. cikke kimondja, hogy a Bizottság tisztviselői „a vonatkozó nemzeti jognak megfelelően” jogosultak hozzáférni minden, „akár vizsgálat céljából, akár azt követően kiállított” dokumentumhoz. Ez egyaránt vonatkozik azokra az esetekre, amikor a tisztviselők részt vehetnek a vizsgálatban ((2) bekezdés), és azokra az esetekre, amikor azon tagállam jogszabályai, amelyben a vizsgálatra sor kerül, bizonyos eljárásokat a kijelölt tisztviselők számára tartanak fenn ((4) bekezdés). Mindkét esetben biztosítani kell, hogy a Bizottság tisztviselői csak akkor férhessenek a szóban forgó adatokhoz, ha szükséges (azaz ellenőrzési célból), még akkor is, ha a nemzeti jogszabályok esetleg más célból is lehetővé teszik a hozzáférést. Az európai adatvédelmi biztos arra bátorítja a jogalkotót, hogy ebben a tekintetben pontosítsa a szöveget.

28.

A horizontális rendelet 102. cikke szerint a tagállamok információk, nyilatkozatok és dokumentumok bizonyos kategóriáit közlik a Bizottsággal. Ezek közé tartozik az „összes audit és ellenőrzés eredményének összefoglalója” (102. cikk (1) bekezdés c) pont v. albekezdés). Erre az esetre vonatkozóan vagy ki kell mondani, hogy ezekben az összefoglalókban személyes adatok nem szerepelhetnek, vagy ha személyes adatokra szükség van, meg kell határozni a célt, amelynek érdekében a személyes adatokat közölni kell.

29.

A horizontális rendelet 70. cikkének (1) bekezdése kimondja, hogy a számítógépes adatbázis „az érintett tagállam illetékes hatóságán keresztül” lehetővé teszi a 2000. évvel kezdődően az adatokba való betekintést, emellett „közvetlen és azonnali betekintést” tesz lehetővé a megelőző „legalább” öt egymást követő naptári év adataiba (31).

30.

A támogatási jogosultságok azonosítására és nyilvántartására szolgáló rendszer lehetővé teszi „a jogosultságok ellenőrzését és a támogatási kérelmekkel, valamint a mezőgazdasági parcellák azonosítására szolgáló rendszerrel való keresztellenőrzést”. A horizontális rendelet 72. cikkének (2) bekezdése előírja, hogy az adatokat „legalább” négy évig rendelkezésre kell bocsátani (32).

31.

Az európai adatvédelmi biztos e két rendszerrel kapcsolatban emlékeztet a 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontjára és a 45/2001/EK rendelet 4. cikke (1) bekezdésének e) pontjára, amelyek szerint az adatok azonosítható módon nem tárolhatók hosszabb ideig, mint ami az adatgyűjtés céljának eléréséhez szükséges. Ez azt feltételezi, hogy nemcsak a minimális, hanem a maximális megőrzési időt is meg kell határozni.

32.

Az egységes közös piacszervezésről szóló rendelet 157. cikke (1) bekezdésének második albekezdése kimondja, hogy az adatok harmadik országokba és nemzetközi szervezeteknek is továbbíthatók. Az európai adatvédelmi biztos emlékeztetni kíván arra, hogy személyes adatok olyan országba történő továbbítása, amely nem biztosít megfelelő szintű védelmet, kizárólag eseti alapon lehet indokolt, amennyiben a 95/46/EK irányelv 26. cikkében vagy a 45/2001/EK rendelet 9. cikkének (6) bekezdésében foglalt kivételek alkalmazandók (például ha a továbbítás fontos közérdekből szükséges, illetve azt jogszabály írja elő).

33.

Ilyen esetben a továbbítás konkrét célját (pl. nemzetközi megállapodás végrehajtásával függ össze) meg kell jelölni (33). Az érintett nemzetközi megállapodásoknak a magánélet és a személyes adatok védelmére, valamint e jogok érintettek általi gyakorlására vonatkozóan konkrét biztosítékokat kell tartalmazniuk. Ezenkívül, amennyiben a Bizottság adatokat kíván továbbítani, a továbbításhoz az európai adatvédelmi biztos engedélye szükséges (34).

34.

A horizontális rendelet (70) preambulumbekezdése kimondja, hogy a Schecke-ügyben (35)„a Bíróság által megfogalmazott kifogásokat figyelembe vevő”, a kedvezményezettek adatainak közzétételére vonatkozó új szabályok kialakítása folyamatban van.

35.

Az európai adatvédelmi biztos emlékeztetni kíván arra, hogy a kedvezményezettekkel kapcsolatos adatok közzétételére vonatkozó szabályoknak tiszteletben kell tartaniuk az arányosság elvét. Ahogyan a Bíróság is megerősítette (36), megfelelő egyensúlyt kell kialakítani a kedvezményezettek magánélethez és adatvédelemhez való alapvető jogai és az Európai Uniónak az átláthatóság garantálásához és az állami pénzeszközök gondos kezelésének biztosításához fűződő érdeke között.

36.

Ez az egységes közös piacszervezésről szóló rendelet 157. cikke (1) bekezdésének második albekezdése kapcsán is fontos, amely szerint az adatok „közzétehetők, feltéve, hogy ennek során figyelembe veszik a személyes adatok védelmét és a vállalkozásoknak az üzleti titkaik […] védelméhez fűződő jogos érdekét”. A 157. cikk (2) bekezdésének d) pontja és a 157. cikk (3) bekezdésének c) pontja felhatalmazza a Bizottságot, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el „az információk közzétételének feltételeire és eszközeire” vonatkozóan, valamint végrehajtási aktusok útján elfogadja az információk és dokumentumok közzétételére vonatkozó rendelkezéseket.

37.

Az európai adatvédelmi biztos üdvözli, hogy az információk és dokumentumok közzétételének feltétele a személyes adatok védelme. Mindazonáltal olyan alapvető elemeket, mint a közzététel célja és a közzéteendő adatok kategóriái, magukban a javaslatokban kell meghatározni, nem pedig végrehajtási vagy felhatalmazáson alapuló jogi aktusok útján.

38.

Az érintettek jogait meg kell határozni, különösen a tájékoztatáshoz való joggal és a hozzáférési joggal kapcsolatban. Ez különösen a horizontális rendelet 81. cikkével kapcsolatban fontos, mely szerint a kedvezményezettek, de a szállítók, ügyfelek, fuvarozók és egyéb harmadik felek kereskedelmi dokumentumai is ellenőrizhetők. Bár a kedvezményezettek tisztában lehetnek azzal, hogy adataikat feldolgozzák, a harmadik feleket is megfelelően tájékoztatni kell arról, hogy adataik ellenőrzési célokra felhasználhatók (pl. az adatgyűjtéskor adott adatvédelmi értesítés, illetve a fontosabb weboldalakról és dokumentumokról adott tájékoztatás útján). Az érintettek – köztük a harmadik felek – tájékoztatásának kötelezettségét a javaslatokban kell rögzíteni.

39.

Biztonsági intézkedéseket kell előirányozni, különösen a számítógépes adatbázisok és rendszerek tekintetében. Az elszámoltathatóság és a „beépített adatvédelem” elvét is figyelembe kell venni. A szóban forgó számítógépes adatbázisokkal és rendszerekkel kapcsolatban meghozandó biztonsági intézkedések listáját legalább felhatalmazáson alapuló vagy végrehajtási aktusok útján be kellene vezetni. Ez annál is inkább fontos, mivel az ellenőrzések és vizsgálatok során feldolgozott személyes adatok között bűncselekmények gyanújával kapcsolatos adatok is előfordulhatnak.

40.

Az európai adatvédelmi biztos üdvözli a horizontális rendelet 103. cikkében rögzített követelményeket, amelyek az ugyanezen rendelet 79–88. cikke szerinti vizsgálat bizalmas jellegére és az ezzel kapcsolatos szakmai titoktartásra vonatkoznak.

41.

Az európai adatvédelmi biztos úgy véli, hogy a jogbiztonság növelése érdekében a javaslatokban előirányzott adatfeldolgozási műveletek alapvető szempontjait és a szükséges adatvédelmi biztosítékokat a fő jogalkotási szövegekben, nem pedig felhatalmazáson alapuló vagy végrehajtási aktusokban kellene szabályozni:

42.

Ezeket az elemeket felhatalmazáson alapuló, illetve végrehajtási aktusokban részletesebben is ki lehet fejteni. Az európai adatvédelmi biztos elvárja, hogy egyeztessenek vele erről.

43.

Ezenkívül – legalább végrehajtási vagy felhatalmazáson alapuló jogi aktusok útján – biztonsági intézkedéseket kell előirányozni, különösen a számítógépes adatbázisok és rendszerek tekintetében. Az elszámoltathatóság és a „beépített adatvédelem” elvét is figyelembe kell venni.

44.

Végül figyelemmel arra, hogy egyes esetekben előfordulhat, hogy bűncselekményekkel (vagy bűncselekmény gyanújával) kapcsolatos adatokat (pl. csaláshoz kapcsolódó adatokat) dolgoznak fel, szükség lehet az illetékes adatvédelmi hatóságok vagy az európai adatvédelmi biztos általi előzetes ellenőrzésre.