Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52009XX0606(01)

Az európai adatvédelmi biztos véleménye az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport végső jelentéséről

OJ C 128, 6.6.2009, p. 1–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/1


Az európai adatvédelmi biztos véleménye az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport végső jelentéséről

2009/C 128/01

AZ EURÓPAI ADATVÉDELMI BIZTOS,

tekintettel az Európai Közösséget létrehozó szerződésre, és különösen annak 286. cikkére,

tekintettel az Európai Unió Alapjogi Chartájára, és különösen annak 8. cikkére,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre,

tekintettel a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendeletre, és különösen annak 41. cikkére,

ELFOGADTA A KÖVETKEZŐ VÉLEMÉNYT:

I.   BEVEZETÉS – A VÉLEMÉNY HÁTTERE

1.

Az Európai Unió elnöksége a 2008. június 12-i EU-csúcstalálkozóra figyelemmel 2008. május 28-án bejelentette a COREPER-nek, hogy az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport (a továbbiakban: HLCG) véglegesítette jelentését. E jelentést (1)2008. június 26-án hozták nyilvánosságra.

2.

A jelentés célja az Egyesült Államokkal a terrorizmus és a súlyos nemzetközi bűnözés elleni küzdelem érdekében való információcsere felé vezető út első lépéseként a magánélet és az adatok védelmére vonatkozó közös alapelvek meghatározása.

3.

A Tanács elnöksége bejelentésében megállapította, hogy szívesen lát a jelentés továbbvitelét szolgáló bármely gondolatot, különösen a jelentésben nevesített további lépésekre vonatkozó ajánlásokra való reakciókat. Az európai adatvédelmi biztos e felkérésre az alábbi vélemény kiadásával válaszol, amely a helyzet jelenlegi állásáról a nyilvánosság elé tárt információkon alapul, és amely nem befolyásolja a kérdés alakulására figyelemmel esetlegesen kialakított bármely további állásfoglalását.

4.

Az európai adatvédelmi biztos megállapítja, hogy a magas szintű kapcsolattartó csoport munkáját olyan keretben végezte, melyre – különösen 2001. szeptember 11-ét követően – az USA és az EU közötti adatcsere nemzetközi megállapodásokon és más típusú jogi eszközökön keresztüli fejlődése volt jellemző. Ezen eszközök között találhatók az Egyesült Államok és az Europol valamint az Eurojust közötti megállapodások, a PNR-megállapodások, és a SWIFT-ügy, mely az EU és az USA tisztviselői között a minimális adatvédelmi garanciák meghatározása érdekében folytatott levélváltáshoz vezetett (2).

5.

Ezenfelül az EU szintén tárgyalásokat folytat és hasonló jogi eszközöket fogad el a személyes adatok harmadik országokkal való cseréjére vonatkozóan. Közelmúltbeli példa erre az Európai Unió és Ausztrália közötti, az Európai Unióból származó utasnyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Ausztrál Vámszolgálat részére történő továbbításáról szóló megállapodás (3).

6.

Ennek alapján úgy tűnik, hogy a harmadik országok bűnüldöző hatóságainak a személyes adatok iránti igénye folyamatosan növekszik, és a hagyományos kormányzati adatbázisokon túl más típusú – különösen a magánszektor által gyűjtött – adatfájlokra is kiterjed.

7.

Az európai adatvédelmi biztos fontos háttér-információként emlékeztet, hogy a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében személyes adatok harmadik országok felé való továbbításának kérdését a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló tanácsi kerethatározat (4) szabályozza, melynek elfogadására valószínűleg 2008 vége előtt sor kerül.

8.

Ez a transzatlanti információcsere csak bővülni fog, és olyan további ágazatokat is érint majd, melyekben személyes adatokat dolgoznak fel. Ilyen körülmények között a transzatlanti bűnüldözésről szóló párbeszéd egyszerre üdvözlendő és érzékeny is. Üdvözlendő abban az értelemben, hogy világosabb keretet adhat a jelenlegi vagy később megvalósuló adatcseréknek. Érzékeny is, mivel egy ilyen keret olyan területen – a bűnüldözés területén – tehet törvényessé tömeges adattovábbításokat, ahol különösen komoly az egyéneket érintő hatás, és ahol ennélfogva szigorú és megbízható biztosítékokra és garanciákra van szükség (5).

9.

E vélemény a következő fejezetben a jelenlegi helyzettel és a lehetséges további lépésekkel foglalkozik. A III. fejezet az információmegosztást lehető tévő eszköz alkalmazási körére és jellegére összpontosít. A vélemény a IV. fejezetben általánosságban elemzi a lehetséges megállapodás tartalmával kapcsolatos jogi kérdéseket. Olyan problémákkal foglalkozik, mint például az Egyesült Államokban biztosított védelem szintjének értékelésére vonatkozó kritériumok, és tárgyalja az uniós szabályozási keret e védelmi szint értékelésére szolgáló referenciamutatóként való felhasználását. E fejezet ezenkívül felsorolja azon alapkövetelményeket, melyeket egy ilyen megállapodásnak tartalmaznia kell. Végül a vélemény V. fejezete a jelentés mellékletét képező, magánéletre vonatkozó elvek elemzését adja.

II.   A JELENLEGI HELYZET ÉS A LEHETSÉGES TOVÁBBI LÉPÉSEK

10.

Az európai adatvédelmi biztos jelenlegi helyzetre vonatkozó értékelése a következő: Az információmegosztás, valamint a magánélet és a személyes adatok védelme közös szabványainak meghatározásában sikerült némi eredményt elérni.

11.

Azonban az EU és az USA közötti bármely típusú megállapodás előkészítése még nem ért véget. További munkára van szükség. Magának a magas szintű kapcsolattartó csoportnak a jelentése is számos lezáratlan kérdést említ, melyek közül kiemelkedik a jogorvoslat kérdése. A bíróság előtti jogorvoslat szükséges alkalmazási körét illetően nem sikerült megegyezni (6). A jelentés 3. fejezete további öt lezáratlan kérdést határozott meg. E véleményből következik továbbá, hogy sok más kérdés sem került még lezárásra, így például az információmegosztásra vonatkozó eszköz alkalmazási körének és jellegének kérdése.

12.

Mivel a jelentés – ahogyan az európai adatvédelmi biztos is – jogilag kötelező megállapodás lehetőségét részesíti előnyben, annál inkább óvatosságra van szükség. További gondos és részletes előkészületekre van szükség, mielőtt megállapodás születhetne.

13.

Végül az európai adatvédelmi biztos szerint az lenne a legmegfelelőbb, ha a megállapodás a Lisszaboni Szerződésen alapulna, természetesen annak hatálybalépésétől függően. A Lisszaboni Szerződés mint jogalap ugyanis nem hagyna jogi bizonytalanságot az EU pilléreit elválasztó határral kapcsolatban. Ezenfelül biztosítva lenne az Európai Parlament teljes mértékű részvétele és az Európai Bíróság általi felülvizsgálat.

14.

Ilyen körülmények között a legjobb lépés egy egy későbbi szakaszban megkötendő esetleges megállapodás felé vezető ütemterv kidolgozása lenne. Az ütemterv az alábbi elemeket tartalmazhatná:

a magas szintű kapcsolattartó csoport (vagy bármely más csoport) munkájának folytatására vonatkozó iránymutatás és menetrend;

egy korai szakaszban megbeszélés folytatása és lehetőség szerint megállapodás olyan alapvető kérdésekről, mint például a megállapodás alkalmazási köre és jellege;

ezen alapvető kérdésekre vonatkozó közös megegyezés alapján az adatvédelmi elvek további kidolgozása;

az érdekelteknek az eljárás különböző szakaszaiba való bevonása;

az európai oldalon az intézményi korlátok kérdésének megoldása.

III.   AZ INFORMÁCIÓMEGOSZTÁSRA VONATKOZÓ ESZKÖZ ALKALMAZÁSI KÖRE ÉS JELLEGE

15.

Az európai adatvédelmi biztos szerint a lehetséges eszköz továbbfejlesztésének első lépésében alapvető fontosságú az eszköz alkalmazási körének és jellegének – így az adatvédelmi elveknek is – a pontos meghatározása.

16.

Alkalmazási körét illetően az alábbi fontos kérdésekre kell választ adni:

kik az érintett szereplők a bűnüldözés területén belül és azon kívül;

miben határozzák meg a bűnüldözés célját, és mi a kapcsolata olyan más célokkal, mint például a nemzetbiztonság – konkrétabban a határellenőrzés – és a közegészségügy;

hogyan illeszkedne az eszköz az átfogó transzatlanti biztonsági térség keretébe.

17.

A jelleg meghatározásának az alábbi kérdésekre kell választ adnia:

adott esetben mely pillér alatt kerül sor az eszköz megtárgyalására;

kötelező érvényű lesz-e az eszköz az EU-ra és az USA-ra;

lesz-e közvetlen hatása abban az értelemben, hogy az egyénekre vonatkozó olyan jogokat és kötelezettségeket tartalmaz, melyeknek az bíróság előtt érvényt lehet szerezni;

az eszköz maga lehetőséget ad-e az információcserére, vagy az információcserére vonatkozó minimumszabályozást képez, melyet konkrét megállapodásokkal kell kiegészíteni;

hogyan kapcsolódik az eszköz a már meglévő eszközökhöz: tiszteletben tartja azokat, a helyükbe lép vagy kiegészíti őket?

III.1.   Az eszköz alkalmazási köre

Az érintett szereplők

18.

Noha a magas szintű kapcsolattartó csoport jelentésében nem adja meg egyértelműen a jövőbeli eszköz alkalmazási körét, a benne említett alapelvekből következtetni lehet arra, hogy a tervek szerint szabályozni fogja a magán- és a köz-szektor szereplői (7), valamint a hatóságok közötti adattovábbítást.

—   A magán- és a köz-szektor szereplői között:

19.

Az európai adatvédelmi biztos érti a jövőbeli eszköz magán- és állami szereplők közötti adattovábbításra való alkalmazhatóságának logikáját. Egy ilyen eszköz kidolgozására az USA részéről a magánszektor szereplőitől kért adatok miatt kerül sor az elmúlt években. Az európai adatvédelmi biztos megállapítja, hogy a magánszektor szereplői a bűnüldözési információk szisztematikus forrásává válnak, mind uniós, mind nemzetközi szinten (8). A SWIFT-ügy – amikor is egy magánvállalatot arra kértek, hogy szisztematikusan továbbítson tömegesen adatokat egy harmadik állam bűnüldöző hatóságainak (9)– ennek ékes példája. A légitársaságoktól való PNR-adatgyűjtés ugyanezt a logikát követi. Az európai PNR-rendszerre vonatkozó kerethatározat-tervezetről szóló véleményében az európai adatvédelmi biztos már megkérdőjelezte e tendencia jogszerűségét (10).

20.

Két másik ok is kérdésessé teszi a jövőbeli eszköznek a magán- és az állami szféra szereplői közötti adattovábbításra való kiterjesztését.

21.

Először is e kiterjesztés nem kívánt hatással járhat az EU területén belül. Az európai adatvédelmi biztosnak komoly fenntartása van amiatt, hogy ha magánvállalatok (pl. pénzintézetek) adatait elvben továbbítani lehet harmadik országoknak, ez erős nyomást fejthet ki annak irányában, hogy az ugyanilyen típusú adatokat az EU-n belül is a bűnüldöző hatóságok rendelkezésére bocsássák. A PNR-rendszer példa egy ilyen nem kívánt fejleményre, mely azzal kezdődött, hogy az USA nagy tömegben gyűjtött az utasokra vonatkozó adatokat, amit az Európán belüli keretre is átültettek (11) anélkül, hogy a rendszer szükségessége vagy arányossága egyértelmű bizonyítást nyert volna.

22.

Másodszor, az EU-PNR-re vonatkozó bizottsági javaslatról szóló véleményében az európai adatvédelmi biztos szintén felvetette a magán- és a közszektor szereplői közötti együttműködés feltételeire alkalmazandó adatvédelmi keret (első vagy harmadik pillér) kérdését: a szabályokat az adatkezelői minőségre (magánszektor) vagy a célra (bűnüldözés) alapozzák-e? Az első és harmadik pillér közötti választóvonal korántsem egyértelmű az olyan helyzetekben, amikor a magánszektor szereplőit személyes adatok bűnüldözési célból való feldolgozására vonatkozó kötelezettségek terhelik. Ebben az összefüggésben fontos, hogy az adatmegőrzési ügyben (12) megfogalmazott közelmúltbeli véleményében Yves Bot főtanácsnok e helyzetek egymástól való elválasztását javasolja, de e javaslatot az alábbiakkal egészíti ki: „Ezt a választóvonal természetesen lehet kritizálni, és az bizonyos szempontból mesterségesnek tűnhet.” Az európai adatvédelmi biztos azt is megállapítja, hogy a Bíróság PNR-ítélete (13) nem ad teljes mértékben választ az alkalmazandó jogi keret kérdésére. Például az a tény, hogy a 95/46/EK irányelv nem terjed ki bizonyos tevékenységekre, nem jelenti automatikusan azt, hogy azon tevékenységeket a harmadik pillér alatt lehet szabályozni. Ennek esetlegesen az alkalmazandó jogra vonatkozó joghézag az eredménye, de az adatalanyok rendelkezésére álló jogi garanciák tekintetében mindenképpen jogbizonytalanságot okoz.

23.

Az európai adatvédelmi biztos ezek alapján hangsúlyozza, hogy biztosítani kell, hogy az általános adatvédelmi elvekkel rendelkező jövőbeli eszköz ne tehesse jogszerűvé a személyes adatoknak a magán- és a közszektor szereplői közötti transzatlanti továbbítását mint olyat. Ezen adattovábbítást csak akkor lehet egy jövőbeli eszközbe belefoglalni, amennyiben

a jövőbeli eszköz meghatározza, hogy az adattovábbítás csak akkor engedélyezhető, amennyiben bizonyítást nyert, hogy az egy – eseti alapon meghatározandó – konkrét célra mindenképpen szükséges;

magára az adattovábbításra magas szintű (e véleményben leírt) adatvédelmi biztosítékok mellett kerül sor.

Az európai adatvédelmi biztos ezenfelül rámutat az alkalmazandó adatvédelmi keret körüli bizonytalanságra, és ennélfogva azt kéri, hogy az uniós jogot jelenlegi állapotában semmi esetre sem terjesszék ki a személyes adatoknak a magán- és a közszektor szereplői közötti továbbítására.

—   A hatóságok között:

24.

Az információcsere pontos alkalmazási köre nem világos. A közös eszköz érdekében folytatott további munka első lépéseként pontosítani kell az ilyen eszköz tervezett alkalmazási körét. Különösen az kérdéses, hogy vajon:

az EU-ban található adatbázisok esetében az eszköz (részben) az EU által kezelt centralizált adatbázisokra (pl. az Europol és az Eurojust adatbázisára), a tagállamok által kezelt decentralizált adatbázisokra, vagy mindkettőre irányulna-e;

az eszköz alkalmazási köre az összekapcsolt hálózatokra is kiterjed-e, vagyis vajon az előírt garanciák vonatkoznak-e a tagállamok vagy ügynökségek között kicserélt adatokra az EU-ban és az USA-ban egyaránt;

az eszköz csak a bűnüldözés területére vonatkozó adatbázisok (rendőrség, igazságügy, esetleg vámügy) közötti cserére terjedne-e ki, vagy más – például adóügyi – adatbázisokra is;

az eszköz a nemzetbiztonsági ügynökségek adatbázisaira is vonatkozna-e, vagy lehetővé tenné-e, hogy ezen ügynökségek hozzáférjenek a másik szerződő fél területén lévő bűnüldözési adatbázisokhoz (EU az USA-hoz, és fordítva);

az eszköz információk eseti alapon való továbbítására, vagy a meglévő adatbázisokhoz való állandó hozzáférésre terjedne-e ki. Ezen utolsó feltevés mindenképp felveti az arányosság kérdését, amint az az V. fejezet 3. pontjában részletesebb kifejtésre kerül.

Bűnüldözési cél

25.

A lehetséges megállapodás céljának meghatározásával kapcsolatban is bizonytalanság merül fel. A bűnüldözési célokat világosan megjelöli a bevezetés és a jelentéshez mellékelt első alapelv, és ezen vélemény IV. fejezete további elemzi azokat. Az európai adatvédelmi biztos már most megállapítja, hogy e nyilatkozatokból úgy tűnik, hogy az adatcsere a harmadik pillér területeire összpontosít, de felmerül a kérdés, hogy ez vajon csupán a szélesebb körű információcsere felé tett első lépés-e. Egyértelműnek tűnik, hogy a jelentésben említett közbiztonsági célok közé tartozik a terrorizmus, a szervezett bűnözés és más bűncselekmények elleni küzdelem. Azonban vajon az is cél, hogy lehetővé tegyék az egyéb közérdekű területekre – így esetleg a közegészségügyi kockázatokra – vonatkozó adatcserét?

26.

Az európai adatvédelmi biztos a cél pontosan meghatározott adatfeldolgozásra való korlátozását ajánlja, és az ilyen célmeghatározáshoz vezető szakpolitikai döntések igazolását javasolja.

Átfogó transzatlanti biztonsági térség

27.

E jelentés széles körre kiterjedő jellegét a jövő-munkacsoport által megvitatott átfogó transzatlanti biztonsági térség keretében kell értelmezni (14). E munkacsoport 2008 júniusában kiadott jelentése némi hangsúlyt helyez a belügyi politika külső dimenziójára. Amellett érvel, hogy „Az Európai Uniónak 2014-ig döntést kell hoznia a szabadság, biztonság és jogérvényesülés területén az Egyesült Államokkal folytatandó euroatlanti együttműködési térség kialakítására vonatkozó politikai szándékról.” Az ilyen együttműködés túllépne a szoros értelemben vett biztonságon, és legalább az EK-Szerződés jelenlegi IV. címében tárgyalt kérdésekre – mint a bevándorlás, a vízumpolitika, a menekültügy és a polgári jog terén folytatott együttműködés – is kiterjedne. Fel kell tenni a kérdést, hogy az olyan alapvető adatvédelmi elvekről szóló megállapodás, mint amelyeket a magas szintű kapcsolattartó csoport jelentése is említ, milyen mértékben szolgálhat alapul és kell, hogy alapul szolgáljon egy ilyen széles területen való információcseréhez.

28.

A tervek szerint 2014-re a pilléres rendszer megszűnik, és magán az EU-n belüli adatvédelemre egyetlen jogi alap lesz alkalmazandó (a Lisszaboni Szerződés hatályba lépését követően az Európai Unió működéséről szóló szerződés 16. cikke). Az a tény azonban, hogy az adatvédelem szabályozását uniós szinten harmonizálják, nem jelenti azt, hogy egy harmadik országgal kötött bármely megállapodás lehetőséget adhatna bármely személyes adat bármilyen céllal való továbbítására. Az adatkezelés körülményétől és feltételétől függően eltérő adatvédelmi garanciákra lehet szükség olyan speciális területeken, mint például a bűnüldözés. Az európai adatvédelmi biztos javasolja, hogy egy jövőbeli megállapodás előkészítése során mérlegeljék e különféle szempontok következményeit.

III.2.   A megállapodás jellege

Az uniós intézményi keret

29.

Legalábbis rövid távon lényeges meghatározni, hogy a megállapodást melyik pillér szerint tárgyalják meg. Erre főleg a belső adatvédelmi szabályozási keret miatt van szükség, melyre a megállapodás hatással lesz. Az első pillér szerinti keret lesz-e – lényegében a 95/46/EK irányelv, a harmadik országok részére való adattovábbítás speciális szabályaival – vagy a harmadik pillér szerinti keret, mely a harmadik országok részére való adattovábbítást kevésbé szigorú szabályokhoz köti (15)?

30.

Noha – mint már említettük – a bűnüldözési célok a legfontosabbak, a magas szintű kapcsolattartó csoport jelentése megemlíti a magánszektor szereplőitől való adatgyűjtést, és a célokat is lehet a biztonságon túllépve, tágabban értelmezni, amely kiterjedhet például a bevándorlásra és a határellenőrzésre de akár esetleg a közegészségügyre is. E bizonytalanságokra tekintettel sokkal célszerűbb lenne megvárni az uniós jog pilléreinek a Lisszaboni Szerződésben előirányzott harmonizálását, és azt követően világosan meghatározni a tárgyalások jogi alapját és az európai intézmények – különösen az Európai Parlament és a Bizottság – pontos szerepét.

Az eszköz kötelező jellege

31.

Egyértelművé kell tenni, hogy a megbeszélések egyetértési megállapodás vagy más, nem kötelező érvényű eszköz kiadásához vezetnek-e, vagy pedig kötelező erejű nemzetközi megállapodás elfogadásához.

32.

Az európai adatvédelmi biztos támogatja a jelentésben előnyben részesített kötelező erejű megállapodást. Az európai adatvédelmi biztos nézete szerint a hivatalos, kötelező erejű megállapodás az EU-n kívülre irányuló bármely adattovábbítás elengedhetetlen előfeltétele, tekintet nélkül az adattovábbítás céljára. Konkrét (és kötelező erejű) jogi keretbe foglalt feltételek és biztosítékok hiányában nem kerülhet sor harmadik országba irányuló adattovábbításra. Más szavakkal, az egyetértési megállapodás vagy más, nem kötelező erejű eszköz hasznos iránymutatásul szolgálhat a tárgyalásokhoz, de nem helyettesítheti a kötelező erejű megállapodást.

Közvetlen hatás

33.

Az eszköz rendelkezéseinek kötelező erejűnek kell lenniük mind az Egyesült Államokra, mind az EU-ra és annak tagállamaira nézve.

34.

Közösen elfogadott elvek alapján biztosítani kell továbbá az egyének számára jogaik gyakorlását, különösen a jogorvoslat tekintetében. Az európai adatvédelmi biztos véleménye szerint ez az eredmény akkor érhető el, ha az eszköz lényegi rendelkezéseit úgy fogalmazzák meg, hogy azok közvetlen hatással járjanak az Európai Unió lakosaira, és azokra bíróság előtt hivatkozni lehessen. A megállapodásban ezért egyértelművé kell tenni az abban foglalt rendelkezések által kifejtett közvetlen hatást, valamint a belső európai és nemzeti jogba való átültetés feltételeit, az intézkedések hatékonyságának biztosítása érdekében.

Más jogi eszközökkel való kapcsolat

35.

Alapvető kérdés az is, hogy a megállapodás milyen mértékben önálló, vagy azt eseti alapon ki kell-e egészíteni további, konkrét adatcserére vonatkozó megállapodásokkal. Ténylegesen kérdés az, hogy egyetlen megállapodás – kizárólag az abban foglalt szabályokkal – megfelelően le tudja-e fedni a harmadik pillér hatálya alá tartozó adatfeldolgozás számtalan sajátosságát. Ennél is kétségesebb az, hogy – további tárgyalások és biztosítékok nélkül – lehetővé teheti-e személyes adatok továbbításának általános engedélyezését az érintett adatok céljára és jellegére való tekintet nélkül. A harmadik országokkal kötött megállapodások ezenkívül nem szükségszerűen állandó jellegűek, mivel azok konkrét veszélyhelyzetekhez kapcsolódhatnak, valamint felülvizsgálat és megszüntetési záradékok tárgyát képezhetik. Másrészt a kötelező erejű eszközben elismert közös minimumszabályok megkönnyíthetik a személyes adatok konkrét adatbázisokkal vagy feldolgozási műveletekkel kapcsolatos továbbítására vonatkozó további megbeszéléseket.

36.

Az európai adatvédelmi biztos ezért – egy önálló megállapodás helyett – minimális adatvédelmi kritériumok kidolgozását támogatja, amelyek eseti alapon kiegészíthetőek további konkrét rendelkezésekkel, amint az a magas szintű kapcsolattartó csoport jelentésében is szerepel. A megállapodást kiegészítő konkrét rendelkezések megléte a konkrét esetben történő adattovábbítás engedélyezésének előfeltétele. Ez ösztönzőleg hatna az adatvédelemmel kapcsolatos harmonizált megközelítésre.

Alkalmazás meglévő eszközökre

37.

Megvizsgálandó az is, hogy egy esetleges általános megállapodás hogyan kapcsolódna az EU és az Egyesült Államok között már létező megállapodásokhoz. Megjegyzendő, hogy e meglévő megállapodások nem rendelkeznek ugyanilyen kötelező jelleggel: megemlítendő különösen a PNR-megállapodás (amely a legnagyobb jogbiztonságot képviseli), az Europol- és az Eurojust-megállapodás, vagy a SWIFT-tel kapcsolatos levélváltás (16). Egy új általános keret kiegészítené-e ezeket a meglévő eszközöket vagy érintetlenül hagyná-e azokat, és személyes adatoknak csak más jövőbeni cseréjére vonatkozna? Az európai adatvédelmi biztos véleménye szerint a jogi egységesség harmonizált szabályokat tenne szükségessé, amelyek az adatátvitelre vonatkozó meglévő és jövőbeni megállapodásokra egyaránt vonatkoznának és kiegészítenék azokat.

38.

Az általános megállapodásnak a meglévő eszközökre való alkalmazása azzal az előnnyel járna, hogy megerősítené kötelező jellegüket. Ez különösen üdvözlendő lenne a jogilag nem kötelező erejű eszközök – mint a SWIFT-tel kapcsolatos levélváltás – tekintetében, mivel kötelezővé tenné legalább a magánélet védelmével kapcsolatos általános elvek betartását.

IV.   ÁLTALÁNOS JOGI ÉRTÉKELÉS

39.

Ez a fejezet egy adott keret-jogszabályban vagy eszközben foglalt védelmi szint értékelésének a módját fogja vizsgálni, beleértve az ehhez felhasználandó referenciamutatókat és a szükséges alapkövetelményeket.

Megfelelő védelmi szint

40.

Az európai adatvédelmi biztos véleménye szerint egyértelműsíteni kell, hogy egy jövőbeni eszköz egyik fő eredménye az lenne, hogy személyes adatoknak az Egyesült Államok részére történő átadására kizárólag akkor kerülhet sor, ha az Egyesült Államok hatóságai megfelelő védelmi szintet garantálnak (és fordítva).

41.

Az európai adatvédelmi biztos úgy véli, hogy kizárólag valós megfelelőségi vizsgálat biztosítaná kellő garanciák nyújtását a személyes adatok védelmi szintje tekintetében. Nézete szerint egy általános keretmegállapodás olyan tág alkalmazási körrel amilyet a magas szintű kapcsolattartó csoport jelentése tartalmaz, nehezen felelne meg egy ilyen valós megfelelőségi vizsgálatnak. Az általános megállapodás csak akkor lenne megfelelőnek tekinthető, ha ahhoz megfelelő, eseti alapon kötött egyedi megállapodások társulnának.

42.

A harmadik országok által nyújtott védelmi szint értékelése nem szokatlan eljárás, különösen az Európai Bizottság esetében: a megfelelőség az első pillér hatálya alatt az adattovábbítás tekintetében fennálló követelmények egyike. A megfelelőségi szint mérésére számos alkalommal sor került a 95/46/EK irányelv 25. cikke szerint, konkrét kritériumok alapján, amely mérésekről az Európai Bizottság határozatokat fogadott el (17). A harmadik pillér nem rendelkezik kimondottan ilyen rendszerről: a megfelelő védelmi szint méréséről kizárólag a még el nem fogadott adatvédelmi kerethatározat 11. és 13. cikkében szereplő konkrét helyzetben rendelkeznek (18), és az a tagállamok hatáskörében marad.

43.

Jelen esetben az alkalmazási kör bűnüldözési célokra terjed ki, és a megbeszéléseket a Bizottság folytatja a Tanács felügyelete alatt. A megbeszélések – a „biztonságos kikötő” elveknek vagy a kanadai jogszabályok megfelelőségének az értékelésétől eltérően – inkább kapcsolódnak az Egyesült Államokkal és Ausztráliával a közelmúltban folytatott PNR-tárgyalásokhoz, amelyekre a harmadik pillér jogi keretén belül került sor. A magas szintű kapcsolattartó csoport elvei azonban a vízummentességi program összefüggésében is említésre kerültek, amely határőrizeti és bevándorlási – és ily módon az első pillér alá tartozó – kérdéseket érint.

44.

Az európai adatvédelmi biztos azt ajánlja, hogy a jövőbeni eszköz szerinti megfelelőségi vizsgálat e különböző területeken szerzett tapasztalatokon alapuljon. Javasolja a „megfelelőség” fogalmának további pontosítását a jövőbeni eszköz összefüggésében, a korábbi megfelelőségi vizsgálatok során alkalmazottakhoz hasonló kritériumok alapján.

Kölcsönös elismerés – viszonosság

45.

A védelmi szint másik eleme az EU és az Egyesült Államok rendszereinek kölcsönös elismeréséhez kapcsolódik. A magas szintű kapcsolattartó csoport jelentése e tekintetben megemlíti, hogy a cél „az ezen elvek hatálya alá tartozó területeken egymás magánélet- és adatvédelmi rendszerei hatékonyságának kölcsönös elismerése” (19), valamint „a magánélet és a személyes adatok védelmére vonatkozó jogszabályok azonos és viszonosságon alapuló alkalmazásának” elérése.

46.

Az európai adatvédelmi biztos számára nyilvánvaló, hogy a kölcsönös elismerés (vagy viszonosság) kizárólag megfelelő szintű védelem garantálása mellett lehetséges. Más szavakkal, a jövőbeni eszköznek egységesítenie kell a védelem minimális szintjét (megfelelőségi vizsgálat révén, eseti alapon konkrét megállapodások szükségességének figyelembe vételével). A viszonosság elismerése kizárólag ezzel a feltétellel lehetséges.

47.

Az első figyelembe veendő elem az adatvédelemre vonatkozó lényegi rendelkezések viszonossága. Az európai adatvédelmi biztos véleménye szerint a megállapodásnak oly módon kell foglalkoznia az adatvédelemre vonatkozó lényegi rendelkezések viszonosságának kérdésével, hogy egyrészt biztosított legyen az, hogy az EU (és az Egyesült Államok) területén történő adatfeldolgozás során teljes mértékben betartsák az adatvédelemmel kapcsolatos hazai jogszabályokat, másrészt pedig hogy biztosított legyen az, hogy az adatnak a származási országon kívüli, a megállapodás hatálya alá tartozó feldolgozása során tiszteletben tartsák a megállapodásban foglalt adatvédelmi elveket.

48.

A második elem a jogorvoslati mechanizmusok viszonosságának a kérdése. Biztosítani kell, hogy az európai polgárok megfelelő jogorvoslati eszközökkel rendelkezzenek a rájuk vonatkozó adatok egyesült államokbeli feldolgozása esetén (függetlenül az adott feldolgozásra vonatkozó jogtól), de az Európai Unió és tagállamai is ugyanilyen jogokat biztosítsanak az Egyesült Államok állampolgárai számára.

49.

A harmadik elem a bűnüldözési hatóságok személyes adatokhoz való hozzáférésével kapcsolatos viszonosság. Amennyiben bármely eszköz lehetővé teszi az Egyesült Államok hatóságai számára az Európai Unióból származó adatokhoz való hozzáférést, a viszonosság értelmében ugyanilyen hozzáférést kellene biztosítani az EU hatóságai számára az Egyesült Államokból származó adatok tekintetében. A viszonosság nem sértheti az adatalany védelmének hatékonyságát. Ez a bűnüldözési hatóságok adatokhoz való „transzatlanti” hozzáférésének az előfeltétele. Ez konkrétan a következőket jelenti:

nem engedélyezhető az Egyesült Államok hatóságainak az EU területén adatokhoz való közvetlen hozzáférése (és fordítva). Hozzáférés kizárólag közvetett módon, küldő („push”) rendszerben biztosítható;

a hozzáférésnek az adatfeldolgozás helye szerinti ország adatvédelmi és bírói hatóságainak felügyelet mellett kell történnie;

az Egyesült Államok hatóságainak az EU területén lévő adatbázisokhoz való hozzáférése során tiszteletben kell tartani az adatvédelemre vonatkozó lényegi rendelkezéseket (lásd fenn), és az adatalany számára teljes körű jogorvoslatot kell biztosítani.

Az eszköz tartalmának pontossága

50.

Az értékelési kritériumok (megfelelőség, egyenlőség, kölcsönös elismerés) pontos meghatározása alapvető fontosságú, mivel az pontosság, jogbiztonság és a védelem hatékonysága tekintetében meghatározza a tartalmat. A jövőbeni eszköz tartalmának pontosnak és helytállónak kell lennie.

51.

Emellett egyértelmű, hogy a későbbi szakaszban kötött konkrét megállapodásoknak is részletes és teljes adatvédelmi biztosítékokat kell tartalmazniuk a tervezett adatcsere alanya tekintetében. Kizárólag a konkrét adatvédelmi elvek e kettős szintje biztosíthatja az általános megállapodás és a konkrét megállapodások egymáshoz közelállóságát, amint az már e vélemény 35. és 36. pontjában is szerepel.

Minta kialakítása egyéb harmadik országok számára

52.

Külön figyelmet érdemel annak kérdése, hogy az Egyesült Államokkal kötendő megállapodás milyen mértékben szolgálhat mintaként egyéb harmadik országok tekintetében. Az európai adatvédelmi biztos megállapítja, hogy a jövő-munkacsoport fent említett jelentése az Egyesült Államok mellett Oroszországot is az EU stratégiai partnereként jelöli meg. Az elvek semlegességük és az alapvető uniós biztosítékokkal való összhangjuk esetén hasznos precedenst teremthetnek. Egyes sajátosságok, melyek például a fogadó ország jogszabályi keretéhez kötődnek vagy az adattovábbítás célja azonban megakadályozhatja a megállapodás egyszerű átültetését. Ugyanilyen döntő erővel bír a harmadik országokban a demokrácia helyzete: meg kell győződni arról, hogy a megállapodás tárgyát képező elveket a fogadó országban ténylegesen garantálják és betartják-e.

A védelem szintjének értékelésére szolgáló referenciamutatók megválasztása

53.

A kimondott vagy kimondatlan megfelelőségnek mindenképpen összhangban kell állnia a nemzetközi és európai jogszabályi kerettel, különösen pedig a közösen elfogadott adatvédelmi biztosítékokkal. Ezeket az ENSZ iránymutatása, az Európa Tanács 108. sz. egyezménye és annak kiegészítő jegyzőkönyve, az OECD-iránymutatás, az adatvédelmi kerethatározat tervezete, valamint – az első pillérrel kapcsolatos szempontok tekintetében – a 95/46/EK irányelv foglalja magában (20). Ezen eszközök mindegyike hasonló elveket tartalmaz, amelyek a személyes adatok védelmének magjaként általánosan elismertek.

54.

A fent említett elvek kellő figyelembevétele egy esetleges megállapodás – mint amilyen a magas szintű kapcsolattartó csoport jelentésében is szerepel – hatásának tekintetében még nagyobb fontosságot nyer. Egy adott harmadik ország bűnüldözési ágazatának egészét érintő eszköz eddig példa nélkül áll. Az első pillér keretében meglévő megfelelőségi határozatok, valamint az EU harmadik pillére keretében harmadik országokkal kötött megállapodások (Europol- és Eurojust-megállapodás) minden esetben konkrét adattovábbításra vonatkoznak, míg itt az adatátvitel sokkal szélesebb köréről lehetne szó, tekintettel a tág célkitűzésre (a bűnözés elleni küzdelem, nemzet- és közbiztonság, határvédelem) és az érintett adatbázisok nem ismert számára.

Alapkövetelmények

55.

A személyes adatok harmadik országok részére történő továbbítása esetén betartandó feltételeket a 29. cikk alapján létrehozott munkacsoport munkadokumentuma (21) tartalmazza. A magánélet védelmével kapcsolatos minimumelvekre vonatkozó minden megállapodásnak megfelelőségi vizsgálaton kellene átesnie az adatvédelmi biztosítékok hatékonyságának biztosítása érdekében.

A tartalom tekintetében: az adatvédelmi elveknek magas szintű védelmet kell biztosítaniuk, és meg kell felelniük az uniós elvekkel összhangban álló szabályoknak. E vélemény V. fejezete tartalmazza a magas szintű kapcsolattartó csoport jelentésében szereplő 12 elv e szempontból történő további elemzését.

A pontosság tekintetében: a megállapodás jellegének, és különösen annak függvényében, hogy az hivatalos nemzetközi megállapodás-e, a szabályoknak és eljárásoknak elég részletesnek kell lenniük ahhoz, hogy lehetővé tegyék a hatékony végrehajtást.

A felügyelet tekintetében: a megállapodás szerinti szabályok betartásának biztosítása érdekében konkrét ellenőrzési mechanizmusokat kell bevezetni, mind belső (audit), mind külső (felülvizsgálat) vonatkozásban. E mechanizmusokat a megállapodás mindkét fele számára ugyanúgy hozzáférhetővé kell tenni. A felügyelet olyan mechanizmusokat foglal magában, melyek célja a szabályok makroszinten – például közös felülvizsgálati mechanizmusokkal – és mikroszinten – például egyéni jogorvoslattal – történő betartásának a biztosítása.

56.

E három alapkövetelmény mellett különös figyelmet kell fordítani a személyes adatok bűnüldözéssel összefüggésben történő feldolgozásának sajátosságaira. Ez ugyanis egy olyan terület, ahol az alapvető jogok korlátozások hatálya alá eshetnek. Ezért ennek az egyénekre gyakorolt hatásaira tekintettel biztosítékokat kell meghatározni az egyének jogait érintő korlátozások kompenzálására, különösen az alábbi szempontok tekintetében:

átláthatóság: a bűnüldözés keretében korlátozni lehet a tájékoztatást és a személyes adatokhoz való hozzáférést, például a nyomozás titkosságának biztosítása érdekében. Mivel az EU-n belül hagyományosan kiegészítő mechanizmusokat alkalmaznak az alapvető jogok ilyen korlátozásának kompenzálására (gyakran független adatvédelmi hatóságok bevonásával), biztosítani kell, hogy a harmadik országok részére történő adattovábbítás esetén is rendelkezésre álljanak hasonló kompenzációs mechanizmusok.

jogorvoslat: a fent említett okok miatt alternatív lehetőségeket kell biztosítani az egyének számára jogaik védelmére, elsősorban független felügyelő hatóságon keresztül és a bíróság előtt.

adatmegőrzés: elképzelhető, hogy az adatmegőrzés időtartamára vonatkozó indokolás nem átlátható. Az intézkedések azonban nem akadályozhatják az adatalanyt vagy a felügyelő hatóságokat jogaik tényleges gyakorlásában.

a bűnüldözési hatóságok elszámoltathatósága: a tényleges átláthatóság hiánya esetén az egyének vagy az érdekelt intézmények rendelkezésére álló ellenőrzési mechanizmusok működése nem teljes körű. Tekintettel az adatok érzékeny jellegére és az egyénekkel szemben az adatfeldolgozás alapján alkalmazható kényszerítő intézkedésekre, az ilyen ellenőrző mechanizmusokat megkérdőjelezhetetlen módon kell kialakítani. Az elszámoltathatóság nemcsak a fogadó ország nemzeti ellenőrzési mechanizmusai tekintetében bír döntő jelleggel, hanem az adat származási országában vagy régiójában rendelkezésre álló felülvizsgálati lehetőségek tekintetében is. A felülvizsgálati mechanizmusokról az olyan konkrét megállapodások rendelkeznek, mint a PNR-megállapodás, és az európai adatvédelmi biztos határozottan ajánlja, hogy azokat az általános eszközbe is foglalják bele.

V.   AZ ELVEK ELEMZÉSE

Bevezetés

57.

Ez a fejezet a magas szintű kapcsolattartó csoport dokumentumában foglalt 12 elvet elemzi az alábbi nézőpontból:

ezen elvek azt mutatják, hogy az USA és az EU az elvek szintjén azonos nézeteket vall, mivel hasonlóságok állapíthatók meg a 108. sz. egyezményben foglalt elvekkel;

az elvi szintű megállapodás azonban nem elégséges. A jogi eszköznek elég erősnek kell lennie ahhoz, hogy biztosítsa az abban foglaltak betartását;

az európai adatvédelmi biztos sajnálatát fejezi ki amiatt, hogy az elveket nem kíséri indokolás;

az elvek leírása előtt egyértelműsíteni kell, hogy mindkét fél azonos módon értelmezi a használt megfogalmazást, például a személyes információk vagy a védett egyének fogalma esetében. Üdvözlendő lenne a fogalommeghatározások ilyen formában történő kialakítása.

1.   Célmeghatározás

58.

A magas szintű kapcsolattartó csoport jelentésének mellékletében szereplő első elv szerint a személyes információk feldolgozására jogszerű bűnüldözési célokból fog sor kerülni. A fentiekben említetteknek megfelelően az Európai Unióban ez a bűncselekmények megelőzését, felderítését, kivizsgálását és az elkövetők bíróság elé állítását jelenti. Az Egyesült Államokban azonban a bűnüldözés fogalmának értelmezése meghaladja a bűncselekményeket, és az adatfeldolgozás határőrizeti, közbiztonsági és nemzetbiztonsági célokra is kiterjed. Az EU és az USA céljai közötti ilyen különbségek következményei nem egyértelműek. Noha a jelentés szerint a gyakorlatban e célok nagymértékben egybe eshetnek, döntő jelentőségű annak ismerete, hogy milyen mértékben nem esnek egybe. A bűnüldözés területén – tekintettel az intézkedéseknek az egyénekre gyakorolt hatására – szigorúan be kell tartani a célkorlátozási elvet, a meghatározott céloknak pedig egyértelműnek és jól körülhatároltnak kell lenniük. Figyelemmel a jelentésben előirányzott viszonosságra, szintén lényeges e célok közelítése. Röviden, pontosítani kell e cél értelmezését.

2.   Sértetlenség/adatminőség

59.

Az európai adatvédelmi biztos üdvözli azon rendelkezést, amely előírja, hogy a személyes adatoknak – jogszerű feldolgozásuk érdekében – pontosnak, relevánsnak, időszerűnek és hiánytalannak kell lenniük. Ez az elv az adatok hatékony feldolgozásának egyik előfeltétele.

3.   Szükségesség/arányosság

60.

Az elv egyértelmű kapcsolatot teremt a gyűjtött információ és az információnak a törvényben megállapított bűnüldözési célnak való megfelelése között. A jogszabályi alapra vonatkozó követelmény pozitív elem a feldolgozás jogszerűségének biztosítása tekintetében. Az európai adatvédelmi biztos megjegyzi, hogy a feldolgozás jogalapja – noha az erősíti a feldolgozással kapcsolatos jogbiztonságot – egy harmadik ország törvénye. Egy harmadik ország törvénye önmagában nem teremt jogalapot a személyes adatok továbbítására (22). A magas szintű kapcsolattartó csoport jelentésének összefüggésében megállapítható, hogy egy harmadik ország – vagyis az Egyesült Államok – törvényének a legitimitása elismerést nyert. Szem előtt kell tartani, hogy ha ez az érvelés itt elfogadható tekintettel arra, hogy az Egyesült Államok demokratikus állam, ugyanez nem lenne érvényes és nem lenne átültethető bármely más harmadik országra.

61.

A magas szintű kapcsolattartó csoport jelentésének mellékletében foglaltak szerint a személyes adatok átadásának mindenkor relevánsnak, szükségesnek és helyénvalónak kell lennie. Az európai adatvédelmi biztos hangsúlyozza, hogy az arányosság érdekében a feldolgozás nem lehet indokolatlanul mélyreható, és a feldolgozásra vonatkozó szabályoknak kiegyensúlyozottnak kell lenniük, figyelembe véve az adatalanyok jogait és érdekeit is.

62.

Ennek érdekében az információhoz való hozzáférés kizárólag eseti alapon történhet, a konkrét vizsgálat összefüggésében felmerülő gyakorlati szükségletek függvényében. Harmadik országok bűnüldözési hatóságainak az EU területén található adatbázisokhoz való állandó jellegű hozzáférése aránytalan és indokolatlan lenne. Az európai adatvédelmi biztos emlékeztet arra, hogy az adatcsere még a meglévő vonatkozó megállapodások – például a PNR-megállapodás (23) – összefüggésében is konkrét körülményektől függ és megvalósulása korlátozott időtartamú.

63.

E logikát követve az adatmegőrzés időtartamát is szabályozni kell: az adatokat kizárólag addig lehet megőrizni, ameddig azokra a felhasználás konkrét céljához szükség van. Amennyiben a meghatározott cél tekintetében már nem bírnak jelentőséggel, az adatokat törölni kell. Az európai adatvédelmi biztos határozottan ellenzi adatraktárak létrehozását, ahol gyanún kívül álló személyekre vonatkozó adatokat tárolnának azok esetleges későbbi felhasználása céljából.

4.   Adatbiztonság

64.

Az elvek tartalmaznak az adatoknak az azokkal való visszaélés, azok eltérítése és az azokkal kapcsolatos egyéb kockázatokkal szembeni védelmét szolgáló intézkedéseket és eljárásokat, valamint az engedéllyel rendelkező személyekhez való hozzáférés korlátozásáról szóló rendelkezést. Az európai adatvédelmi biztos ezt elegendőnek tartja.

65.

Az elvet ezenkívül ki lehetne egészíteni egy olyan rendelkezéssel, amelynek értelmében naplót kellene vezetni az adatokhoz hozzáférő személyekről. Ez erősítené az adatokhoz való hozzáférés korlátozását és az azokkal való visszaélés megakadályozását célzó biztosítékok hatékonyságát.

66.

Emellett rendelkezni kellene egymás kölcsönös tájékoztatásáról a biztonsági szabályok megszegésének esetére: az adatok átvevői az Egyesült Államokban és az EU-ban felelősek lennének partnereik tájékoztatásáért az általuk átvett adatokhoz való jogszerűtlen hozzáférés esetén. Ez hozzájárul az adatok biztonságos feldolgozásával kapcsolatos felelősség erősítéséhez.

5.   A személyes adatok sajátos kategóriái

67.

Az európai adatvédelmi biztos véleménye szerint jelentősen gyengíti az érzékeny adatok feldolgozásának tilalmára vonatkozó elvet az a kivétel, amely lehetővé teszi az érzékeny adatok minden olyan feldolgozását, amelynek tekintetében a hazai jogszabályok „megfelelő biztosítékokról” rendelkeznek. A tilalmi elvtől való bármilyen eltérést – éppen az adatok érzékeny jellege miatt – megfelelően és pontosan indokolni kell azon célok és körülmények felsorolásával, amelyek esetében az érzékeny adatok meghatározott típusa feldolgozható, valamint az ilyen típusú adatok feldolgozására jogosultak beosztásának megjelölésével. Az elfogadandó biztosítékokkal kapcsolatban az európai adatvédelmi biztos úgy véli, hogy gondoskodni kell arról, hogy érzékeny adatok ne vezethessenek vizsgálat megindításához. Gondoskodni kell arról, hogy azok meghatározott körülmények között esetleg rendelkezésre álljanak, de kizárólag már vizsgálat alanyát képező adatalannyal kapcsolatos kiegészítő adatként. Ezeket a biztosítékokat és körülményeket röviden fel kell sorolni az elvhez tartozó szövegben.

6.   Elszámoltathatóság

68.

Az e vélemény 55–56. pontjában kifejtettek szerint a személyes adatokat feldolgozó közjogi szervek tényleges elszámoltathatóságát megfelelően biztosítani kell, és a megállapodásban rögzíteni kell ezen elszámoltathatóság megvalósulásának garanciáit. Ez annál is inkább fontos, mivel a személyes adatok bűnüldözéssel kapcsolatos feldolgozását hagyományosan az átláthatóság hiánya jellemzi. Erre tekintettel nem elégséges garancia a közjogi szervek elszámoltathatóságának a megemlítése az elszámoltathatóság módjának és következményeinek további ismertetése nélkül, amint az jelenleg a mellékletben szerepel. Az európai adatvédelmi biztos ajánlja, hogy a jogi eszköz szövege tartalmazzon erre vonatkozó magyarázatot.

7.   Független és hatékony felügyelet

69.

Az európai adatvédelmi biztos teljes mértékben támogatja a független és hatékony – egy vagy több felügyelő hatóság által gyakorolt – felügyeletről szóló rendelkezés beillesztését. Úgy véli, hogy a függetlenség értelmezésének módját egyértelművé kell tenni, mindenekelőtt azt, hogy e hatóságok kitől függetlenek és kinek tartoznak beszámolóval. E tekintetben kritériumokat kell meghatározni, melyeknek – a végrehajtó és jogalkotó szervek tekintetében – figyelembe kell venniük az intézményi és funkcionális függetlenséget. Az európai adatvédelmi biztos emlékeztet arra, hogy ez az elfogadott elvek tényleges betartása biztosításának lényeges eleme. E hatóságok intervenciós és végrehajtási hatáskörei szintén alapvető fontosságúak a személyes adatokat feldolgozó közjogi szervek fentiekben említett elszámoltathatósága tekintetében. Az adatalanyoknak – jogaik gyakorlásának lehetővé tétele érdekében – egyértelmű ismeretekkel kell rendelkezniük ezek létéről és hatásköreiről, különösen akkor, ha a feldolgozás céljától függően több hatóság is rendelkezik illetékességgel.

70.

Az európai adatvédelmi biztos ezenkívül ajánlja, hogy a jövőbeni megállapodás rendelkezzen a felügyelő szervek közötti együttműködési mechanizmusokról is.

8.   Az egyének hozzáférési és helyesbítési joga

71.

A bűnüldözés összefüggésében speciális garanciákra van szükség az adatokhoz való hozzáférés és azok helyesbítése tekintetében. Ebben az értelemben az európai adatvédelmi biztos üdvözli azt az elvet, amely szerint az egyének számára biztosítani kell a rájuk vonatkozó személyes adatokhoz való hozzáférést, valamint az azok helyesbítését és/vagy törlését lehetővé tevő eszközöket. Továbbra is fennáll azonban némi bizonytalanság az egyén fogalmának meghatározása (valamennyi adatalanyt védeni kell, nemcsak az érintett ország állampolgárait) és azon körülmények megállapítása tekintetében, amelyek esetén az egyén kifogásolhatja a rá vonatkozó adatok feldolgozását. Pontosítani kell a „megfelelő eset” fogalmát, vagyis azt, hogy mikor emelhető kifogás és mikor nem. Az adatalanyok számára egyértelművé kell tenni, hogy mely körülmények fennállása esetén – például a hatóság vagy a vizsgálat típusától, vagy egyéb kritériumoktól függően – képesek jogaik gyakorlására.

72.

Emellett az adatfeldolgozás felügyeletéért felelős független hatóság általi közvetett ellenőrzési mechanizmusról kell gondoskodni, amennyiben jogszerű okok miatt nem lehetséges közvetlenül kifogást emelni az adatfeldolgozás ellen.

9.   Átláthatóság és tájékoztatás

73.

Az európai adatvédelmi biztos ismételten hangsúlyozza a tényleges átláthatóság fontosságát, amely lehetővé teszi, hogy az egyének gyakorolhassák jogaikat, és hozzájárul a személyes adatokat feldolgozó közjogi szervek általános elszámoltathatóságához. Támogatja a megfogalmazott elveket, és hangsúlyozza különösen az egyéneknek nyújtott általános és egyéni tájékoztatás szükségességét. Ezt tükrözi a melléklet 9. pontjában megfogalmazott elv.

74.

A jelentés 2. fejezetének A. és B. részében („Elfogadott elvek”) azonban az szerepel, hogy az Egyesült Államokban az átláthatóság fogalmába beletartozhat – önmagában vagy együttesen – a Szövetségi Közlönyben (Federal Register) való közzététel, az egyéni tájékoztatás és a bírósági eljárások során való közzététel is. Egyértelműnek kell lennie annak, hogy hivatalos közlönyben való közzététel önmagában nem garantálja kellőképpen az adatalany megfelelő tájékoztatását. Az egyéni tájékoztatás szükségessége mellett az európai adatvédelmi biztos emlékeztet arra, hogy a tájékoztatást az adatalany számára könnyen érthető formában és nyelven kell megadni.

10.   Jogorvoslat

75.

Az egyének számára – jogaik tényleges gyakorlásának garantálása céljából – lehetővé kell tenni panasz benyújtását a független adatvédelmi hatósághoz, valamint a független vagy pártatlan bíróság előtti jogorvoslatot. Mindkét jogorvoslati lehetőséget egyformán biztosítani kell.

76.

A független adatvédelmi hatósághoz való hozzáférésre azért van szükség, mivel az rugalmasan és kevésbé költséges módon tud segítséget nyújtani egy olyan összefüggésben (bűnüldözés), amely az egyének számára kevéssé átlátható. Az adatvédelmi hatóságok a hozzáférési jogoknak az adatalany nevében való gyakorlásával is tudnak segítséget nyújtani olyan esetekben, amikor a szabályok alóli kivételek nem teszik lehetővé az érintett közvetlen hozzáférését személyes adataihoz.

77.

Az bírósághoz való hozzáférés kiegészítő és elengedhetetlen garanciája annak, hogy az adatalany a demokratikus rendszer valamely – az adatfeldolgozást ténylegesen végző közintézményétől eltérő – ágához tartozó hatóság előtt jogorvoslattal élhessen. Az ilyen, bíróság előtti tényleges jogorvoslat az Európai Bíróság szerint (24)„lényeges az egyén jogainak hatékony védelme biztosítása céljából. (…) [Ez] a közösségi jog olyan általános elvét tükrözi, amely a tagállamok alkotmányos hagyományainak alapja és amelyet az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 6. és 13. cikke foglal magában.”. A bíróság előtti jogorvoslat meglétéről kifejezetten rendelkezik az Európai Unió alapjogi chartájának 47. cikke, valamint a 95/46/EK irányelv 22. cikke is, a közigazgatási jogorvoslatok sérelme nélkül.

11.   A személyes adatok feldolgozására vonatkozó automatizált határozatok

78.

Az európai adatvédelmi biztos üdvözli azt a rendelkezést, amely megfelelő biztosítékokat ír elő személyes adatok automatizált feldolgozásának esetére. Megállapítja, hogy „az egyén vonatkozó érdekeit súlyosan sértő intézkedés” mibenlétének egységes értelmezése pontosítaná ezen elv alkalmazásának feltételeit.

12.   Továbbadás

79.

A továbbadásra vonatkozó feltételek néhány esetben nem egyértelműek. Különösen akkor, ha a továbbadás során nemzetközi megállapodásokat, valamint a küldő és a fogadó ország közötti megállapodásokat kell betartani, meg kell határozni, hogy ez az első adattovábbítást kezdeményező két ország közötti megállapodásokra vonatkozik-e, vagy a továbbadásban érintett két ország közötti megállapodásokra. Az európai adatvédelmi biztos véleménye szerint mindenképpen ideértendők az első adattovábbítást kezdeményező két ország közötti megállapodások.

80.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy az adatok továbbadását lehetővé tevő „jogos közérdek” fogalommeghatározása rendkívül tág. A közbiztonság fogalma nem egyértelmű, és a bűnüldözés összefüggésében indokolatlan és túlzott az adattovábbítás kiterjesztése szabályozott foglalkozások szakmai szabályainak megszegésére.

VI.   ÖSSZEGZÉS

81.

Az európai adatvédelmi biztos üdvözli az EU és az Egyesült Államok hatóságai által az adatvédelem szempontjából alapvető fontosságú bűnüldözés területén végzett közös munkát. Hangsúlyozza mindazonáltal a kérdés összetett jellegét, különösen a pontos alkalmazási kör és jelleg tekintetében, valamint azt, hogy ezért körültekintő és alapos elemzésre van szükség. Egy transzatlanti adatvédelmi eszköznek a meglévő jogi keretre gyakorolt hatását és a polgárokat érintő következményeit körültekintően mérlegelni kell.

82.

Az európai adatvédelmi biztos további pontosítást és konkrét rendelkezéseket tart szükségesnek, különösen az alábbiak tekintetében:

az eszköz jellegének pontos meghatározása, amelynek a kellő jogbiztonság érdekében kötelező erejűnek kellene lennie;

a rendszer tartalmával, sajátosságaival és felügyeletével kapcsolatos lényeges követelményeken alapuló, alapos megfelelőségi vizsgálat. Az európai adatvédelmi biztos úgy véli, hogy az általános eszköz csak akkor lenne megfelelőnek tekinthető, ha ahhoz megfelelő, eseti alapon kötött egyedi megállapodások társulnának;

pontosan körülírt alkalmazási kör az érintett bűnüldözési célok egyértelmű és egységes meghatározásával;

a magánjogi szerveknek az adattovábbítási rendszerben való esetleges részvételére vonatkozó szabályok pontosítása;

az arányosság elvének betartása, azaz az adatok eseti alapon, konkrét szükség esetén történő cseréje;

erőteljes felügyeleti mechanizmusok, valamint az adatalanyok számára rendelkezésre álló jogorvoslati mechanizmusok, a közigazgatási és bíróság előtti jogorvoslati lehetőségeket is beleértve;

hatékony intézkedések annak garantálására, hogy valamennyi adatalany – állampolgárságától függetlenül – gyakorolhassa jogait;

független adatvédelmi hatóságok bevonása, különösen felügyeleti és az adatalanyoknak való segítségnyújtási célból.

83.

Az európai adatvédelmi biztos hangsúlyozza, hogy el kell kerülni az elvek kidolgozásának elsietését, mivel az nem kielégítő, az adatvédelem céljával ellentétes hatású eredményekhez vezetne. Ebben a szakaszban a legjobb lépés egy később megkötendő, esetleges megállapodás felé vezető ütemterv kidolgozása lenne.

84.

Az európai adatvédelmi biztos nagyobb mértékű átláthatóságot sürget az adatvédelmi elvek kidolgozásának folyamata tekintetében. Az eszköz kizárólag az érintettek mindegyikének – az Európai Parlamentet is beleértve – részvételével folytatott demokratikus vita esetén kaphatja meg a szükséges támogatást és elismerést.

Kelt Brüsszelben, 2008. november 11-én.

Peter HUSTINX

európai adatvédelmi biztos


(1)  A 9831/08 tanácsi dokumentum az alábbi címen érhető el: http://ec.europa.eu/justice_home/fsj/privacy/news/index_en.htm

(2)  

Az Amerikai Egyesült Államok és az Európai Rendőrségi Hivatal között 2001. december 6-án kötött megállapodás, valamint az Europol és az USA közötti kiegészítő megállapodás a személyes adatok és az azokkal kapcsolatos információk cseréjéről, melyet az Europol weboldalán tettek közzé;

Az Amerikai Egyesült Államok és az Eurojust között az igazságügyi együttműködésről 2006. november 6-án kötött megállapodás, melyet az Eurojust weboldalán tettek közzé;

Az Európai Unió és az Amerikai Egyesült Államok közötti, az utas-nyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás (2007. évi PNR-megállapodás), melyet Brüsszelben 2007. július 23-án és Washingtonban 2007. július 26-án írtak alá (HL L 204., 2007.8.4., 18. o.);

Az EU és az USA hatóságai között a terrorizmus finanszírozásának felderítését célzó programról szóló, 2007. június 28-i levélváltás.

(3)  HL L 213., 2008.8.8., 49. o.

(4)  A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló tanácsi kerethatározat, melynek 2008. június 24-i változata az alábbi címen érhető el: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

(5)  A világos jogi keret szükségességével kapcsolatban lásd ezen vélemény III. és IV. fejezetét.

(6)  A jelentés 5. oldala, C. pont.

(7)  Lásd különösen a jelentés „A transzatlanti kapcsolatok lezáratlan kérdései” című 3. fejezetének, „A magánszereplőkre vonatkozó kötelezettségek koherenciája az adatátvitel során” című 1. pontját.

(8)  A kérdéssel kapcsolatban lásd az európai adatvédelmi biztos 2007. december 20-i véleményét az utas-nyilvántartási adatok (PNR) bűnüldözési célú felhasználásáról szóló tanácsi kerethatározati javaslat tervezetéről (HL C 110., 2008.5.1., 1. o.). „Hagyományosan élesen elválnak a bűnüldözési és a magánszférabeli tevékenységek, amennyiben a bűnüldözési feladatokat külön e célra létrehozott hatóságok – különösen a rendőrség – látják el, és a magánszféra szereplőit eseti alapon kérik fel a személyes adatoknak e bűnüldözési hatóságok felé való továbbítására. Egy jelenlegi tendencia […] alapján a bűnüldözési célzatú rendszeres alapú együttműködést a magánszféra szereplőire is kiterjesztik.”

(9)  Lásd a 29. cikk alapján létrehozott adatvédelmi munkacsoport 2006. november 22-i 10/2006 véleményét a személyes adatok Society for Worldwide Interbank Financial Telecommunication (SWIFT) általi feldolgozásáról, WP 128.

(10)  2007. december 20-i vélemény, i.m.

(11)  Lásd a 8. lábjegyzetben említett, az utas-nyilvántartási adatállomány (PNR) bűnüldözési célú felhasználásáról szóló tanácsi kerethatározati javaslatot, melyről a Tanács jelenleg tárgyal.

(12)  Yves Bot főtanácsnok 2008. október 14-i véleménye az Írország kontra Európai Parlament és Tanács (C-301/06) ügyről, 108. pont.

(13)  A Bíróság 2006. május 30-i ítélete, Európai Parlament kontra az Európai Unió Tanácsa (C-317/04) és az Európai Közösségek Bizottsága (C-318/04, továbbá C-317/04. és C-318/04. sz. egyesített ügyek, EBHT 2006., I-4721. o.).

(14)  Az európai belpolitika jövőjével foglalkozó magas szintű informális tanácsadó csoport (a jövő-munkacsoport) jelentése: „Szabadság, biztonság, a magánélet védelme – európai belügyek egy nyitott világban”, 2008. június (elérhető az alábbi címen: register.consilium.europa.eu).

(15)  Lásd az adatvédelmi kerethatározat e vélemény 7. pontjában említett 11. és 13. cikkét.

(16)  Lásd a 2. lábjegyzetet.

(17)  Bizottsági határozatok a személyes adatok megfelelő védelméről harmadik országokban, beleértve Argentínát, Kanadát, Svájcot, az Egyesült Államokat, Guernsey-t, a Man-szigetet és Jersey-t, hozzáférhetőek az alábbi címen: http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

(18)  Egy másik tagállam illetékes hatóságától kapott adatok valamely tagállam által harmadik ország vagy nemzetközi szerv részére történő átadására korlátozódóan.

(19)  A. fejezet: Kötelező erejű nemzetközi megállapodások, 8. o.

(20)  

Az ENSZ iránymutatása a számítógépes személyesadat-állományokról, amelyet a Közgyűlés 1990. december 14-én fogadott el, elérhető: www.unhchr.ch/html/menu3/b/71.htm

az Európa Tanács 1981. január 28-i egyezménye az egyének személyes adataik gépi feldolgozása során való védelméről, elérhető: www.conventions.coe.int/treaty/en/Treaties/html/108.htm

az OECD 1980. szeptember 23-án elfogadott iránymutatása a magánélet védelméről és a személyes adatok határokon átnyúló áramlásáról (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), elérhető:www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

Tervezet – A Tanács kerethatározata a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről, elérhető: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

az Európai Parlament és a Tanács 1995. október 24-i 95/46/Ek irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

(21)  Az 1998. július 24-i dátumú munkadokumentum: „Személyes adatok továbbítása harmadik országok részére: az EU adatvédelmi irányelve 25. és 26. cikkének alkalmazása”, WP12.

(22)  Lásd különösen a 95/46/EK irányelv 7. cikkének c) és e) pontját. A 29. cikk alapján létrehozott munkacsoport 2002. október 24-i, az utasokra vonatkozó és egyéb adatoknak a légitársaságok által az Egyesült Államok részére való átadásáról szóló 6/2002. sz. véleményében megállapítja, hogy nem fogadható el, hogy egy harmadik ország által saját közbiztonsági érdekei alapján hozott egyoldalú döntés az ezen irányelv szerint védett adatok rendszeres és tömeges átadásához vezessen.

(23)  A megállapodás hét évvel aláírásának időpontját követően hatályát veszti, kivéve ha a felek kölcsönös megállapodásának eredményeként új megállapodás lép a helyébe.

(24)  A 222/84. sz. Johnston-ügy (EBHT 1981., 1651. o.); a 222/86. sz. Heylens-ügy (EBHT 1987., 4097. o.); a 97/91. sz. Borelli-ügy (EBHT 1992., I-6313. o.).


Top