23.11.2011   

HU

Az Európai Unió Hivatalos Lapja

C 343/1

1.

2011. június 8-án a Bizottság elfogadta a bűnözéssel szembeni biztonságra vonatkozó európai statisztikákról szóló európai parlamenti és tanácsi irányelvre irányuló javaslatot (3) (a továbbiakban: „a javaslat”). A javaslatot egyeztetés céljából ugyanazon a napon elküldték az európai adatvédelmi biztosnak.

2.

Az európai adatvédelmi biztosnak örömére szolgál, hogy a 45/2001/EK rendelet 28. cikkének (2) bekezdésében előírtak szerint konzultáltak vele, és üdvözli, hogy a javaslat preambulumában említést tettek erről a véleményről.

3.

Az európai adatvédelmi biztos üdvözli továbbá, hogy már előzetesen lehetőséget kapott a javaslattervezettel kapcsolatos informális észrevételeinek közlésére.

4.

A javaslat célja egy új felmérés (4) lebonyolítása az Európai Unióban a bűnözéssel szembeni biztonságról. A javaslat közös keretrendszert teremt összehasonlítható európai statisztikák harmonizált európai adatok gyűjtése, összeállítása, feldolgozása és továbbítása révén történő előállításához.

5.

A feldolgozandó adatok kategóriáinak részletes leírását a javaslat I. melléklete tartalmazza, amely a felmérésben részt vevő válaszadók szociodemográfiai adataival, az általuk esetlegesen elszenvedett nemi és fizikai erőszakkal, a biztonságérzetükkel, valamint a bűnüldözésről és a biztonsági intézkedésekről való vélekedésükkel kapcsolatban is részletes kérdéseket tartalmaz.

6.

A javaslat a bizalmas adatoknak a tagállamokból a Bizottságnak (Eurostat) történő továbbítását, valamint az adatok közzétételét és a bizalmas adatokhoz való tudományos célú hozzáférést is szabályozza. Végrehajtási aktusok révén az adatkódolási rendszerre és a mikroadatok cseréjére vonatkozó gyakorlati intézkedések megállapítására is sor kerül majd.

7.

Ez a vélemény a javaslatnak a személyes adatok feldolgozásával összefüggő elemeit elemzi. Az európai adatvédelmi biztos az ezen a területen kiadott – egyfelől az európai statisztikák készítésére vonatkozó referenciakeretről rendelkező 223/2009/EK rendelettel (5), másfelől a munkahelyi egészségre és biztonságra vonatkozó statisztikákról szóló 1338/2008/EK rendelettel (6) kapcsolatos – két korábbi véleményére támaszkodik.

8.

A vélemény hivatkozik továbbá a bizalmas adatokhoz való tudományos célú hozzáférésről szóló 831/2002/EK rendeletre (7), amely jelenleg átdolgozás alatt van. Az európai adatvédelmi biztos örömmel venné, ha egyeztetés iránti kérelmet intéznének hozzá ezzel kapcsolatban. Az e véleményben a 831/2002/EK rendeletre tett hivatkozások nincsenek joghatással az európai adatvédelmi biztos ezzel összefüggésben adott tanácsaira.

9.

Amint azt korábban már számos alkalommal kijelentette (8), az európai adatvédelmi biztos tisztában van a statisztikai adatok kidolgozásának, készítésének és terjesztésének fontosságával. Aggodalommal tölti el azonban annak veszélye, hogy az érintettek azonosíthatók, valamint az a tény, hogy érzékeny adatokat – például egészségi állapotra, szexuális életre és bűncselekményekre vonatkozó adatokat – dolgoznak fel.

10.

Az európai adatvédelmi biztos üdvözli a személyes adatok feldolgozásával kapcsolatban az egyének jogainak és szabadságainak védelmére tett utalásokat, amelyek a javaslat (6) és (7) preambulumbekezdésében találhatók; azonban sajnálatát fejezi ki amiatt, hogy a csatolt hatásvizsgálat nem foglalkozik a javaslatnak a magánélet védelmére és az adatvédelemre gyakorolt lehetséges hatásával.

11.

Ez a vélemény egyrészt a statisztikával összefüggésben és a javaslatban (II.2. rész) leírtak szerint az érintettek azonosításának lehetőségével, másrészt az adatvédelmi keret alkalmazhatóságával (II.3. rész) foglalkozik. Ezt követően a II.4. rész az érzékeny adatok feldolgozását elemzi. A II.5. részben a vélemény a biztonsági garanciákat és a névtelenítést tárgyalja, végül pedig a II.6. részben az érintettekkel közlendő információkkal foglalkozik.

12.

A személyes adat fogalmát a 95/46/EK irányelv 2. cikkének a) pontja és a 45/2001/EK rendelet 2. cikkének a) pontja a következőképpen határozza meg: az azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó bármely információ. Az azonosítás lehet közvetlen (például névvel) vagy közvetett (például azonosítószámmal vagy más tényezőkkel történő azonosítás). Ezért tehát amennyiben fennáll a természetes személyek azonosításának lehetősége, az érintett adatok személyes adatnak minősülnek, és azokra az adatvédelmi jogszabályok alkalmazandók.

13.

A statisztikák tekintetében az érintettek azonosításának lehetősége főként a mikroadatokhoz (9) kapcsolódik, amelyek egyedi statisztikai egységekről tartalmaznak információkat. Miközben a kutatók, a politikaalkotók és más felhasználók kutatásaik minőségének és rugalmasságának növelése érdekében a lehető legtöbb és legrészletesebb mikroadathoz követelnek hozzáférést, a válaszadóknak garanciákra van szükségük arra vonatkozóan, hogy személyes adataikat védelemben részesítik, különösen amikor a felmérések érzékeny kérdéseket érintenek, mint ebben a javaslatban is. A személyes adatok védelme a 831/2002/EK rendelet (10) felülvizsgálatával kapcsolatban is problémákat vetett fel.

14.

Az érintettek azonosításának lehetőségével kapcsolatban a statisztikával foglalkozó uniós jogszabályok két külön fogalmat használnak: a „bizalmas adat” és az „anonim adat” fogalmát. A 223/2009/EK rendelet szerint az olyan adat, amely lehetővé teszi statisztikai egységek (ezek lehetnek természetes személyek, magánháztartások, gazdasági szereplők vagy egyéb vállalkozások) „közvetlen vagy közvetett azonosítását”, „bizalmas adatnak” minősül (11), ezért a statisztikai titoktartási kötelezettség hatálya alá tartozik (12). A 831/2002/EK rendelet azonban a következőképpen határozza meg a bizalmas adatok fogalmát: olyan adatok, „amelyek az érintett statisztikai egység közvetett azonosítását teszik csak lehetővé”. Mivel a javaslatban a statisztikai egységek természetes személyekre (és magánháztartásokra) vonatkoznak (13), ebben az esetben a bizalmas adatok személyes adatokat is magukban foglalnak, ennélfogva az adatvédelmi jogszabályok attól függetlenül alkalmazandók, hogy az adatok közvetlen vagy közvetett azonosítást tesznek-e lehetővé.

15.

Az „anonim adat” fogalmának meghatározása szintén kissé eltérő a fenti két rendeletben. Miközben a „névtelen mikroadatok” fogalmát a 831/2002/EK rendelet úgy írja körül, mint olyan egyedi statisztikai adatokat, amelyek esetében az azonosítás veszélyét „minimálisra csökkentik” (14), a 223/2009/EK rendelet 19. cikke szerint az „anonimizált rekordok” azok, „amelyeket úgy készítenek elő, hogy a statisztikai egység ne legyen sem közvetlenül, sem pedig közvetve azonosítható, figyelembe véve minden olyan megfelelő eszközt, amelyet egy harmadik fél ésszerűen felhasználhat” (15). Az utóbbi meghatározás hasonló a 95/46/EK irányelv (26) preambulumbekezdésében és a 45/2001/EK rendelet (8) preambulumbekezdésében szereplő meghatározáshoz, miszerint a személyes adatok akkor minősülnek „anonimmá tettnek”, amikor az érintett „a továbbiakban már nem” azonosítható, figyelembe véve „minden olyan módszert, amit az adatkezelő vagy más személy valószínűleg felhasználna az említett személy azonosítására” (16).

16.

Ezért a mikroadatoknak a 223/2009/EK rendelet 19. cikke értelmében történő névtelenítését követően – amely cikk csak abban az esetben lenne alkalmazandó e javaslatra, ha a mikroadatokat nyilvánosan közzétennék – az adatok már nem minősülnek személyes adatnak, így a 95/46/EK irányelv és a 45/2001/EK rendelet rendelkezései nem alkalmazandók rájuk.

17.

Azok az adatok azonban, amelyek a 831/2002/EK rendelet összefüggésében minősülnek névtelennek, a 95/46/EK irányelv és a 45/2001/EK rendelet szerint nem tekinthetők névtelenítettnek, mivel az azonosítás veszélye továbbra is fennállhat, ezért ezek az adatok az adatvédelmi jogszabályok hatálya alá tartoznak. A névtelenítés fogalmának fenti meghatározása e javaslatban akkor alkalmazandó a kiadott mikroadatsorokra, ha az érintett felmérést felveszik a 831/2002/EK rendelet 6. cikkében található felsorolásba.

18.

A javaslat célja, hogy közös keretrendszert teremtsen „európai statisztikáknak” a bűnözésre és a biztonságra vonatkozó, összehasonlítható adatok „gyűjtése, összeállítása, feldolgozása és továbbítása révén történő előállításához” (17).

19.

Az adatokat a tagállamok gyűjtik össze és továbbítják az Eurostathoz, amely terjeszti és a kutatók számára hozzáférhetővé teszi azokat. Bár a javaslat a tagállamok általi adatgyűjtés mikéntjét nem szabályozza, azt meghatározza, hogy mely adatokat kell az Eurostathoz továbbítani. Ezért a felmérésben a válaszadókhoz intézendő kérdéseket azok az adatkategóriák határozzák meg, amelyeket a tagállamoknak továbbítaniuk kell az Eurostathoz – ezeket az adatkategóriákat a javaslat I. melléklete rögzíti.

20.

Az I. melléklet a (6) pontban kifejezetten kéri a „válaszadó azonosítóját”. Hasonlóképpen a partnertől és a nem a partnertől elszenvedett fizikai erőszakkal kapcsolatban a felmérésben felteendő egyik kérdés az, hogy „ki volt az elkövető” (I. melléklet 7.1. pont). Ha a kérdések megválaszolása névvel történik, az adatok közvetlenül azonosított személyekhez kapcsolódnak.

21.

Az európai adatvédelmi biztos tisztában van azzal, hogy ezek a kérdések nem a válaszadó és a bántalmazó nevének megszerzésére irányulnak, hanem valószínűsíthetően arra, hogy a válaszadóhoz egy kódot rendeljenek hozzá, és rákérdezzenek az állítólagos elkövető egyedi jellemzőire, mint például a rokonság fennállása és foka. Ezenkívül az európai adatvédelmi biztos üdvözli, hogy a közvetlen azonosítókat nem továbbítják az Eurostathoz, mivel a javaslat 7. cikkének (1) bekezdése szerint ezeket már korábban törölni kell. Az európai adatvédelmi biztos mindazonáltal ajánlaná az I. melléklet 6. és 7.1. pontjában szereplő változók meghatározásának módosítását abból a célból, hogy egyértelművé tegyék, pontosan mely információkat kell megadni, és elkerüljék, hogy a tagállamok feleslegesen begyűjtsék a közvetlen azonosítókat.

22.

Az összegyűjtött adatok akár közvetlen azonosító nélkül is lehetővé tehetik a közvetett azonosítást„egy azonosító számra vonatkozó utalás”, illetve – a felmérésben kért adatmezők kialakított számának köszönhetően – „a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén” (18). Ezért az adatok tagállamok általi feldolgozása a 95/46/EK irányelvet végrehajtó nemzeti jogszabályok hatálya alá tartozik.

23.

Ezzel kapcsolatban az európai adatvédelmi biztos szeretné kiemelni az egyedi vagy ritka kombinációk jelenségét, amely esetében a különböző információk kombinálása lehetővé teszi az érintettek másoktól való megkülönböztetését, és ennélfogva az azonosítását, amint erre a 29. cikk alapján létrehozott munkacsoport is rámutatott (19).

24.

Az azonosítás lehetősége az adatoknak az Eurostathoz történő továbbítása pillanatában és a kutatók általi hozzáféréskor is megmarad, mivel – ahogy azt fentebb kifejtettük – a javaslat 7. cikkének (1) bekezdése (20) nem írja elő a közvetett azonosítók törlését. Ezenkívül a 7. cikk (1) és (2) bekezdése kifejezetten előírja a tagállamok számára a bizalmas mikroadatok továbbítását az Eurostat számára. Hasonlóképpen a javaslat 9. cikkének (2) bekezdése szerint (21) az Eurostat tudományos célból hozzáférést biztosíthat bizalmas adatokhoz.

25.

Ahogy fentebb kifejtettük, a bizalmas adatok olyan adatok, amelyek lehetővé teszik statisztikai egységek – esetünkben a természetes személyek is ezek közé tartoznak – legalább közvetett azonosítását. Ezért az adatok Eurostat általi feldolgozása és a kutatók általi hozzáférése személyes adatok feldolgozásának minősül, amire a 45/2001/EK rendelet rendelkezései alkalmazandók.

26.

A közzététellel kapcsolatban a 9. cikk (1) bekezdése kimondja, hogy az Eurostat „legkésőbb 2014. december 31-ig közzéteszi a bűnözéssel szembeni biztonságra vonatkozó statisztikákat”, de nem határozza meg a közzététel megvalósításának részletes szabályait. Ha az e javaslat által létrejövő felmérést a későbbiekben felveszik a 831/2002/EK rendelet 6. cikkében foglalt listára, az azonosítás veszélye a mikroadatok kiadása előtt csak a „minimálisra csökken”. Ebben az esetben a 45/2001/EK rendelet mindaddig alkalmazandó, amíg az érintettek azonosítása lehetséges.

27.

Amennyiben mikroadatok nyilvános közzétételére kerülne sor, a 223/2009/EK rendelet 19. cikke lenne alkalmazandó, amely az egyedi statisztikai egységek nyilvános adatállomány formájában történő közzététele előtt előírja a 95/46/EK irányelv és a 45/2001/EK rendelet értelmében vett névtelenítést. Az ebben az értelemben vett névtelenítést követően a mikroadatok már nem minősülnek személyes adatnak, így a 45/2001/EK rendelet már nem alkalmazható rájuk.

28.

Fontos hangsúlyozni, hogy a szóban forgó személyes adatok speciális adatkategóriába tartoznak, amelyre a 95/46/EK irányelv és a 45/2001/EK rendelet szigorúbb szabályokat ír elő. A 95/46/EK irányelv 8. cikkének (1) bekezdése és a 45/2001/EK rendelet 10. cikkének (1) bekezdése kifejezetten tiltja – kivéve bizonyos szigorú feltételek teljesülése esetén – olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak, a bűncselekményekre, büntetőítéletekre vagy biztonsági intézkedésekre vonatkozó adatok feldolgozását pedig korlátozza (22).

29.

A tagállamoknak többek között a következőkre vonatkozóan kell adatokat benyújtaniuk az Eurostatnak: jelenlegi és korábbi kapcsolatok; a partnertől és nem a partnertől elszenvedett fizikai erőszak; orvosi kezelések; drogproblémák; bűncselekmények, valamint a válaszadók és szüleik nemzeti hovatartozása. Ezekbe a kategóriákba az egészségre, a szexuális életre és a bűncselekményekre vonatkozó adatok is beletartoznak, és az adatok az etnikai származást is felfedhetik. Néhány példa:

30.

A 95/46/EK irányelv 8. cikkének (2)–(4) bekezdése és a 45/2001/EK rendelet 10. cikkének (2)–(4) bekezdése kivételeket tartalmaz a fenti adatkategóriák feldolgozásának tiltása alól. Jelen esetben a 95/46/EK irányelv 8. cikkének (4) bekezdése és a 45/2001/EK rendelet 10. cikkének (4) bekezdése alkalmazható, amelyek „alapvető közérdekből” engedélyezik a szóban forgó adatok feldolgozását. Ennek a kivételnek azonban feltétele a „megfelelő garanciák” nyújtása és az, hogy a mentességet „jogszabályban állapítsák meg” (23).

31.

Az utóbbi követelmény tekintetében az európai adatvédelmi biztos úgy véli, hogy egy, az Európai Unió működéséről szóló szerződés 338. cikkében előírt rendes jogalkotási eljárás keretében elfogadott rendelet megfelelő jogalapot nyújt az adatfeldolgozáshoz.

32.

Az ennyire részletes és érzékeny adatok gyűjtését, továbbítását és terjesztését indokoló „alapvető közérdek” azonban nem szerepel eléggé kifejezetten a javaslatban. A javaslat 1. cikke szerint a javaslat célja, hogy „meghatározza a bűnözéssel szembeni biztonságra vonatkozó, […] összehasonlítható statisztikák fejlesztésének, előállításának és terjesztésének kereteit”. Bár már az indokolás és a preambulum is magyarázatot ad a szakpolitikai háttérrel kapcsolatban, nem mondják ki nyíltan a szóban forgó statisztikák konkrét célját, illetve szakpolitikai célkitűzéseit. Ezeket a javaslatot kísérő jogalkotási pénzügyi kimutatás csak részben említi (24).

33.

Az európai adatvédelmi biztos ezért ajánlja, hogy a javaslat preambulumában egyértelműen rögzítsék az adatfeldolgozást indokoló alapvető közérdeket, ahogyan az egészséggel kapcsolatos adatok feldolgozásáról (25) és az európai statisztikák kidolgozásáról (26) szóló egyéb rendeletekben ez megtörtént. Ez akkor is fontos, amikor a szóban forgó, részletesen megadott érzékenyadat-kategóriák feldolgozásának szükségességét értékelik, mivel az adatfeldolgozás túlzott mértékű lehet és nem tekinthető relevánsnak, ha a cél nincs egyértelműen meghatározva.

34.

A „megfelelő biztosítékok” szükségességével kapcsolatban az európai adatvédelmi biztos felhívja a figyelmet a 223/2009/EK rendeletre, a 831/2002/EK rendeletre és az európai statisztikákra vonatkozó magatartási szabályzatra (27) történő hivatkozásokra, amely dokumentumok előírják a bizalmas adatok védelmét. Mindazonáltal, ahogyan arra az európai adatvédelmi biztos már rámutatott (28), az a tény, hogy közvetlenül vagy közvetve azonosítható természetes személyekkel kapcsolatos adatok bizalmas adatoknak minősülnek és ekként kezelik őket, önmagában még nem biztosítja, hogy ezen adatok feldolgozása teljes mértékben megfelel az adatvédelmi jogszabályoknak. Ebben az értelemben az európai adatvédelmi biztos üdvözli a 95/46/EK irányelvre és a 45/2001/EK rendeletre vonatkozó, a javaslat preambulumában található utalásokat.

35.

Figyelembe véve azonban a feldolgozandó adatok érzékeny jellegét és azt, hogy statisztikai célokra névtelen mikroadatok is felhasználhatnak (29), az európai adatvédelmi biztos hangsúlyozza, hogy az adatokat a 95/46/EK irányelv és a 45/2001/EK rendelet értelmezése szerint (30) a lehető leghamarabb névteleníteni kell. Amennyiben a felméréshez szükséges részletesség miatt a mikroadatok teljes névtelenítése az Eurostatnak történő továbbítás vagy a kutatók hozzáférésének biztosítása előtt nem garantálható, és egyértelműen indokolt, a javaslatnak törekednie kell legalábbis a 831/2002/EK rendelet szerinti névtelenítésre (az azonosítási kockázatok minimálisra csökkentése).

36.

Bizalmas adatokat, amelyek ebben az esetben érzékeny adatok lennének, csakis szükség esetén szabad feldolgozni, azaz akkor, ha ugyanaz a tudományos cél nem érhető el olyan mikroadatokkal, amelyeket a 95/46/EK irányelv és a 45/2001/EK rendelet értelmében névtelenítettek, illetve amelyek esetében az azonosítás veszélyét a 831/2002/EK rendelet szerinti értelemben minimálisra csökkentették. A nyilvánosságra hozott adatokat a 95/46/EK irányelv, a 45/2001/EK rendelet és a 223/2009/EK rendelet 19. cikke szerinti értelemben mindenképpen névteleníteni kell.

37.

Az adatok titkosságának és biztonságának biztosítása érdekében a 95/46/EK irányelv és a 45/2001/EK rendelet értelmében történő névtelenítésig az adatokra vonatkozóan megfelelő technikai és szervezeti intézkedéseket kell megállapítani, ahogyan azt a 95/46/EK irányelv 16. és 17. cikke, valamint a 45/2001/EK rendelet 21. és 22. cikke előírja. Ezeknek az intézkedéseknek figyelembe kell venniük az adatfeldolgozás kockázatait és a védendő adatok érzékeny jellegét.

38.

Ezenkívül a 45/2001/EK rendelet 27. cikkének (1) bekezdése értelmében „az európai adatvédelmi biztos előzetesen ellenőrzi azokat az adatfeldolgozási műveleteket, amelyek jellegüknél, alkalmazási körüknél vagy céljuknál fogva külön kockázatot jelenthetnek az érintettek jogaira és szabadságaira nézve”. A 27. cikk (2) bekezdése kimondja, hogy az „egészségi állapottal”, „bűncselekmények gyanújával”, „bűncselekményekkel” és „büntetőítéletekkel” kapcsolatos adatok feldolgozása ilyen kockázatokat jelent, ezért előzetes ellenőrzést tesz szükségessé.

39.

Mivel az Eurostat általi feldolgozás a fenti kategóriákba tartozó személyes adatokat érint, előzetes ellenőrzés szükséges (31). Az előzetes ellenőrzési eljárás keretében tehát az európai adatvédelmi biztos további útmutatással és egyedi ajánlásokkal szolgálhat az adatvédelmi szabályoknak való megfelelés tekintetében.

40.

Végül a javaslat 8. cikkének (2) bekezdése kimondja, hogy végrehajtási aktusok révén az adatkódolási rendszerre és a mikroadatok cseréjére vonatkozóan gyakorlati intézkedések megállapítására is sor kerül. Az európai adatvédelmi biztos örömmel venné, ha e gyakorlati intézkedésekkel kapcsolatban egyeztetés iránti kérelemmel fordulnának hozzá.

41.

Az európai adatvédelmi biztos emlékeztet arra, hogy mivel az adatokat a tagállamok közvetlenül a válaszadóktól gyűjtik, a 95/46/EK irányelv 10. cikke irányadó. Az érintetteket tehát legalább a következőkről tájékoztatni kell: a felmérés önkéntessége, a válaszadás megtagadásának lehetősége egy vagy több kérdésre; az adatfeldolgozás célja, amelyre az adatokat szánják; az adatkezelő személye; az a tény, hogy az adatokat az Eurostatnak továbbítják, amely hozzáférést biztosíthat a kutatók számára; az adatokhoz való hozzáférésre, az adatok helyesbítésére, zárolására és törlésére vonatkozó jog létezése – kivéve, ha az adatfeldolgozás a nemzeti adatvédelmi jogszabályok által e jogok tekintetében biztosított kivételek közé tartozik.

42.

Az európai adatvédelmi biztos ismételten elismerte a statisztikai adatok kidolgozásának, előállításának és terjesztésének fontosságát. Mindazonáltal az európai adatvédelmi biztos aggodalmát fejezi ki aziránt, hogy ebben a konkrét felmérésben érzékeny adatokat dolgoznak fel, illetve fennáll a fizikai és szexuális erőszak áldozatai és elkövetői azonosításának lehetősége. Ezért különösen a következőket ajánlja: