Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0525(01)

Az európai adatvédelmi biztos véleménye a pénzügyi eszközök piacairól és a 2004/39/EK európai parlamenti és tanácsi irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre, valamint a pénzügyi eszközök piacairól és a tőzsdén kívüli származtatott ügyletekről, központi szerződő felekről és a kereskedési adattárakról szóló rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre irányuló bizottsági javaslatokról

OJ C 147, 25.5.2012, p. 1–14 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

25.5.2012   

HU

Az Európai Unió Hivatalos Lapja

C 147/1


Az európai adatvédelmi biztos véleménye a pénzügyi eszközök piacairól és a 2004/39/EK európai parlamenti és tanácsi irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre, valamint a pénzügyi eszközök piacairól és a tőzsdén kívüli származtatott ügyletekről, központi szerződő felekről és a kereskedési adattárakról szóló rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre irányuló bizottsági javaslatokról

2012/C 147/01

AZ EURÓPAI ADATVÉDELMI BIZTOS,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikkére,

tekintettel az Európai Unió Alapjogi Chartájára és különösen annak 7. és 8. cikkére,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre, (1)

tekintettel a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendeletre (2) és különösen annak 28. cikke (2) bekezdésére,

ELFOGADTA A KÖVETKEZŐ VÉLEMÉNYT:

1.   BEVEZETÉS

1.1.   Egyeztetés az európai adatvédelmi biztossal

1.

Ez a vélemény az európai adatvédelmi biztos pénzügyi ágazatra vonatkozó, egy napon elfogadott négy véleményéből álló csomag (3) részét képezi.

2.

2011. október 20-án a Bizottság javaslatot fogadott el a pénzügyi eszközök piacairól és a 2004/39/EK európai parlamenti és tanácsi irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvről (4) (a továbbiakban: a javasolt irányelv), valamint a pénzügyi eszközök piacairól és a tőzsdén kívüli származtatott ügyletekről, a központi szerződő felekről és a kereskedési adattárakról szóló (EMIR) európai parlamenti és tanácsi rendelet módosításáról (a továbbiakban:a javasolt rendelet), (a továbbiakban a két szöveg együtt: a javaslatok).

3.

A javaslatok elfogadását megelőzően informális egyeztetésre került sor az európai adatvédelmi biztossal. Az európai adatvédelmi biztos megjegyzi, hogy észrevételei közül többet figyelembe vettek a javaslatokban.

1.2.   A javaslatok célkitűzése és hatálya

4.

A pénzügyi eszközök piacairól szóló irányelv (MiFID), amely 2007 novembere óta van hatályban, alapvető pillér az EU pénzügyi piacainak integrációjában. Jelenleg egy keretirányelvből (2004/39/EK irányelv), egy végrehajtási irányelvből (2006/73/EK irányelv) és egy végrehajtási rendeletből (1287/2006/EK rendelet) áll.

5.

A MiFID meghatározza a pénzügyi eszközök kapcsán bankok és befektetési vállalkozások által nyújtott befektetési szolgáltatások (mint például közvetítői munka, tanácsadás, forgalmazás, portfóliókezelés, jegyzés stb.) és a piacműködtetők által működtetett szabályozott piacok szabályozási keretét. Ezenfelül megállapítja a nemzeti illetékes hatóságok e tevékenységekkel kapcsolatos hatásköreit és feladatait. Konkrétan: a MiFID megszünteti a tagállamoknak azt a lehetőségét, hogy megköveteljék a pénzügyi eszközök minden kereskedésének kizárólag adott tőzsdéken történő lebonyolítását, és lehetővé teszi az Európa-szintű versenyt a hagyományos tőzsdék és az alternatív helyszínek között.

6.

A hatálybalépés óta eltelt több mint három év után nagyobb a verseny a pénzügyi eszközök kereskedésében a helyszínek között, és a befektetők számára szélesebb a választék a szolgáltatók és a rendelkezésre álló pénzügyi eszközök tekintetében. Néhány probléma azonban szintén felszínre került. A megnövekedett versenyből származó előnyök például nem egyenlően oszlottak meg az összes piaci résztvevő között, és nem mindig jutottak el a végső, lakossági vagy nagybani befektetőkhöz, a piaci és technológiai fejlemények elavulttá tették a MiFID különféle rendelkezéseit, a válság pedig rámutatott bizonyos eszközök szabályozásának gyengeségeire.

7.

A MiFID felülvizsgálatának célja a jelenlegi szabályoknak a piaci fejlemények – többek között a pénzügyi válság és a technológiai fejlődés – figyelembevételével történő kiigazítása és aktualizálása, valamint hatékonyságuk javítása.

1.3.   Az európai adatvédelmi biztos véleményének célja

8.

A javaslatok számos vonatkozása érinti az egyének személyes adataik feldolgozásához fűződő jogait. Ezek a következők: 1) nyilvántartás-vezetési és ügyletjelentési kötelezettségek; 2) az illetékes hatóságok hatáskörei (beleértve a vizsgálati hatáskört, valamint a telefon- és adatforgalmi nyilvántartások bekérésére vonatkozó hatáskört); 3) szankciók közzététele; 4) a jogsértések jelentése, és különösen a visszaélések belső jelentésére vonatkozó rendelkezések; 5) együttműködés a tagállamok illetékes hatóságai és az EÉPH között.

2.   A JAVASLATOK ELEMZÉSE

2.1.   Az adatvédelmi jogszabályok alkalmazhatósága

9.

A javaslatok számos preambuluma (5) megemlíti az Alapjogi Chartát, a 95/46/EK irányelvet és a 45/2001/EK rendeletet. Az alkalmazandó adatvédelmi jogszabályokra ugyanakkor a javaslatok valamely érdemi cikkében is kellene hivatkozni.

10.

Jó példa ilyen érdemi rendelkezésre a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (6) 22. cikke, amely általános szabályként kifejezetten előírja, hogy a személyes adatoknak a javaslat keretei között végzett feldolgozása tekintetében a 95/46/EK irányelvet és a 45/2001/EK rendeletet kell alkalmazni. Az európai adatvédelmi biztos nemrégiben véleményt adott ki erről a javaslatról, amelyben különösen üdvözli ezt az átfogó jellegű rendelkezést. Azt javasolja ugyanakkor, hogy egyértelműen hivatkozzanak a 95/46/EK irányelvre annak meghatározásával, hogy a rendelkezések az említett irányelvet végrehajtó nemzeti szabályokkal összhangban alkalmazandók.

11.

Az európai adatvédelmi biztos ezért javasolja, hogy a szövegbe illesszenek be a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (7) 22. cikkében lévőhöz hasonló érdemi rendelkezést, az e javaslathoz fűzött észrevételeire (8) is figyelemmel, azaz hangsúlyozva az adatvédelmi jogszabályok alkalmazandóságát és – annak meghatározásával, hogy a rendelkezések a 95/46/EK irányelvet végrehajtó nemzeti szabályokkal összhangban alkalmazandók – egyértelműen hivatkozva a 95/46/EK irányelvre.

12.

Ezenkívül a preambulumbekezdéseknek következetesen úgy kellene fogalmazniuk, hogy a tagállamoknak tiszteletben „tartják” (nem pedig „kellene tartaniuk”) a vonatkozó adatvédelmi jogszabályokat, mivel az utóbbiak hatályosak, és az alkalmazhatóság tekintetében a tagállamoknak nincs mérlegelési jogkörük.

2.2.   Nyilvántartás-vezetési és ügyletjelentési kötelezettség

2.2.1.   A javasolt rendelet szerinti kötelezettség

13.

A javasolt rendelet (27) preambulumbekezdése és 21–23. cikke bevezeti azon elvet, amely szerint az EÉPH által koordinált illetékes hatóságok figyelemmel kísérik a befektetési vállalkozások tevékenységét annak biztosítására, hogy becsületesen, tisztességesen, hivatásszerűen és a piac integritását elősegítő módon járjanak el. Ehhez a hatóságoknak képesnek kell lenniük azonosítani azt a személyt, aki a befektetési döntést meghozta, valamint azokat, akik annak végrehajtásáért felelősek ((28) preambulumbekezdés).

14.

Az említett figyelemmel kísérés elvégzése érdekében a 22. cikk arra kötelezi a befektetési vállalkozásokat, hogy legalább öt éven át őrizzék meg az illetékes hatóság számára a pénzügyi eszközökkel kapcsolatos valamennyi ügyletükre vonatkozó lényeges adatokat. E nyilvántartásoknak tartalmazniuk kell az ügyfél azonosítására vonatkozó összes információt és adatot. A pénzügyi eszközökkel végzett ügyletek adatait be kell jelenteni az illetékes hatóságoknak, hogy képesek legyenek a piaci visszaélés potenciális eseteit felfedni és kivizsgálni, és hogy figyelemmel tudják kísérni a piacok tisztességes és szabályos működését, valamint a befektetési vállalkozások tevékenységeit. Az EÉPH is kérheti, hogy hozzáférjen ezen adatokhoz.

15.

A befektetési vállalkozásoknak az ilyen ügyletek adatairól a lehető leghamarabb jelentést kell tenniük az illetékes hatóságnak (23. cikk). Ha az érintett ügyfelek természetes személyek, e műveletek magukban foglalják a személyes adatok feldolgozását a 95/46/EK irányelv és a 45/2001/EK rendelet értelmében, és esetleg általános adatbázisok létrehozását.

16.

Úgy tűnik, hogy a hatásvizsgálat nem foglalkozik az ügyletjelentések megőrzésére vonatkozó ötéves időszak értékelésével. Amint azt a 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja előírja, a személyes adatok a gyűjtésük céljának eléréséhez szükséges ideig őrizhetők meg. E követelmény teljesítése érdekében az európai adatvédelmi biztos azt javasolja, hogy a szövegben az adatmegőrzésre vonatkozó minimális ötéves időtartam helyett egy maximális adatmegőrzési időtartam szerepeljen. A választott időtartamnak az adatok gyűjtése céljának eléréséhez szükségesnek és arányosnak kell lennie.

2.2.2.   A javasolt irányelv szerinti kötelezettség

17.

Az irányelv 16. cikke befektetési vállalkozásokra alkalmazandó szervezeti követelményeket tartalmaz. A vállalkozásoknak mindenekelőtt biztosítaniuk kell, hogy az összes szolgáltatásról és ügyletről nyilvántartást vezessenek, ami lehetővé tenné az illetékes hatóságok számára az irányelv szerinti követelmények teljesítésének figyelemmel kísérését. Az ilyen nyilvántartások lehetővé tennék annak ellenőrzését, hogy a befektetési vállalkozások teljesítik-e az ügyfelekkel vagy potenciális ügyfelekkel kapcsolatos kötelezettségeket. Bár a szöveg nem mondja ki, feltételezhető, hogy az ilyen adatok magukban foglalnák az ügyfelek és az alkalmazottak személyes adatait.

18.

A 16. cikk (12) bekezdése felhatalmazza a Bizottságot, hogy felhatalmazáson alapuló jogi aktusokat fogadjon el az említett cikkben meghatározott konkrét szervezeti követelmények előírása céljából. Ezzel kapcsolatban az európai adatvédelmi biztos felkéri a Bizottságot, hogy a felhatalmazáson alapuló jogi aktusok elfogadásakor egyeztessen vele. Az ilyen intézkedéseknek mindenképpen azon személyes adatok tárolásának és feldolgozásának minimalizálására kell irányulniuk, amelyeket a befektetési vállalkozásoknak nyilván kell tartaniuk. Amint az a rendelettel összefüggésben már megállapítást nyert, a Bizottságnak azt is alaposan meg kell vizsgálnia, hogy az ilyen adatok vonatkozásában milyen hosszú megőrzési időszakot kellene bevezetni annak biztosítása érdekében, hogy az megfelelő és arányos legyen.

2.3.   A telefonbeszélgetések vagy az elektronikus kommunikáció rögzítésére vonatkozó kötelezettség

19.

A javasolt irányelv szerint a telefonbeszélgetéseket vagy az elektronikus kommunikációt rögzíteni kell.

20.

A telefonbeszélgetésekről vagy az elektronikus kommunikációról készült felvételek rendszerint tartalmazzák a kommunikációban érintett felek személyes adatait, jóllehet azok pénzügyi ügyletekkel vagy szakmai tevékenységekkel kapcsolatosak. Az elektronikus kommunikációra vonatkozó adatok sokrétű személyes információt tartalmazhatnak, beleértve az adatforgalmat, de a tartalmat is. Ezen túlmenően a „beszélgetés” kifejezés használata magában foglalja, hogy a kommunikáció tartalmát rögzíteni fogják.

21.

Ami a 95/46/EK irányelv és a 45/2001/EK rendelet szerinti személyes adatokat illeti, a legfontosabb adatvédelmi szabályok érvényesek, és különösen a célhoz kötöttség, a szükségesség és az arányosság elve, valamint az a kötelezettség, hogy a személyes adatok a szükséges ideig őrizhetők meg.

A célhoz kötöttség elve

22.

A 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja szerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon.

23.

A javasolt irányelv 16. cikkének (7) bekezdése nem határozza meg világosan a telefonbeszélgetések és az elektronikus kommunikáció rögzítésének célját. A javasolt irányelv (42) preambulumbekezdése, 16. cikkének (6) bekezdése, az európai értékpapír-piaci szabályozók bizottsága (CESR) által adott tanács és a hatásvizsgálat azonban számos különböző célról tesz említést.

24.

A javasolt irányelv 16. cikkének (6) bekezdése rendelkezik arról, hogy a befektetési vállalkozás az általa nyújtott összes szolgáltatásról és az általa végzett összes ügyletről nyilvántartást vezet, „hogy az illetékes hatóság figyelemmel kísérhesse a javasolt irányelv követelményeinek való megfelelést, és különösen meggyőződhessen arról, hogy a befektetési vállalkozás az ügyfelekkel vagy potenciális ügyfelekkel szemben fennálló minden kötelezettségének eleget tett-e”.

25.

A javasolt irányelv (42) preambulumbekezdése kifejti, hogy „Az ügyfélmegbízásokat érintő telefonbeszélgetések és az elektronikus kommunikáció rögzítése (…) indokolt a befektetővédelem megerősítése, a piacfelügyelet javítása és a jogbiztonság növelése érdekében, a befektetési vállalkozások és ügyfelek érdekeinek megfelelően”. A preambulumbekezdés az Európai Bizottságnak készült, az európai értékpapír-piaci szabályozók bizottsága (CESR) által 2010. július 29-én az ilyen nyilvántartások fontosságával kapcsolatban kiadott technikai tanácsadást (9) is megemlíti.

26.

A CESR tanácsa kiemeli, hogy az illetékes hatóságok szerint a beszélgetések rögzítésére a következők miatt lenne szükség: i. annak biztosítása érdekében, hogy nyoma legyen a befektetési vállalkozás és ügyfelei közötti, az ügyleti feltételekkel kapcsolatos viták rendezésének; ii. az üzleti magatartásra vonatkozó szabályokkal összefüggő felügyeleti tevékenység elősegítése; iii. a piaci visszaélés megakadályozásának és feltárásának elősegítése, valamint a végrehajtás előmozdítása e területen. A beszélgetések rögzítése nem az egyetlen eszköz lenne a hatóságok általi felügyelet biztosításához, de „hozzájárulhat” annak elősegítéséhez, hogy az illetékes hatóságok ellenőrizzék például a pénzügyi eszközök piacairól szóló irányelvben (MiFID) szereplő, az ügyfelek és potenciális ügyfelek tájékoztatására, a legjobb végrehajtásra és az ügyfelek megbízásainak kezelésére vonatkozó követelmények teljesítését.

27.

A hatásvizsgálat kifejti, hogy „az illetékes hatóságoknak a piac integritásának és az üzleti magatartásra vonatkozó szabályoknak való megfelelés érvényesítésének biztosítása érdekében van szükségük ezen információra” (10) (azaz a telefonos és elektronikus felvételekre).

28.

A javasolt irányelv (42) preambulumbekezdésében, 16. cikkének (6) bekezdésében, valamint az európai értékpapír-piaci szabályozók bizottsága (CESR) által adott tanácsban és a hatásvizsgálatban említett különböző célok leírására nem logikusan és következetesen került sor, hanem a javaslat és a kapcsolódó dokumentumok különféle helyein. A 95/46/EK irányelv 6. cikkének (1) bekezdése szerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet. Az európai adatvédelmi biztos ezért arra ösztönzi a jogalkotót, hogy a javasolt irányelv 16. cikkének (7) bekezdésében egyértelműen és pontosan határozza meg a telefonbeszélgetések és elektronikus kommunikáció rögzítésének célját.

Szükségesség és arányosság

29.

A 95/46/EK irányelv 6. cikke (1) bekezdésének c) pontja szerint a személyes adatok gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek, azaz az összegyűjtött adatoknak arra kell korlátozódniuk, ami megfelelő a célkitűzések eléréséhez és nem mehetnek túl azon, ami ehhez szükséges.

30.

A 16. cikk (7) bekezdése legalább a sajátszámlás kereskedésben megkötött ügyleteket érintő és az olyan ügyfélmegbízásokkal kapcsolatos telefonbeszélgetéseket vagy elektronikus kommunikációt említi, amikor a szolgáltatás a megbízások átvétele és továbbítása, valamint a megbízások végrehajtása az ügyfél nevében.

31.

Először is a kifejezetten megemlített ügyletektől eltekintve a 16. cikk (7) bekezdése nem határozza meg, hogy a nyilvántartások mely telefonbeszélgetésekre és elektronikus kommunikációra vonatkoznak. Az európai adatvédelmi biztos úgy értelmezi, hogy a befektetési vállalkozások által nyújtott szolgáltatásokkal és az általuk végzett ügyletekkel kapcsolatos kommunikációt érintik. Ezt azonban világosan meg kellene határozni. Továbbá a „legalább” kifejezés használata többféle telefonbeszélgetés és elektronikus kommunikáció rögzítésének hagy teret. Ezzel szemben e rendelkezésnek világosan meg kellene határoznia, mely kommunikáció rögzítésére fog sor kerülni, és a rögzítés céljához szükségesekre kellene korlátozni azokat.

32.

Másodszor, a rendelkezés nem mondja ki pontosan, milyen adatkategóriákat fognak megőrizni. A már említettek szerint az elektronikus kommunikációra vonatkozó adatok sokrétű személyes információt tartalmazhatnak például az információközlők és a címzettek kilétéről, időpontjelölésekről, a használt hálózatról, hordozható eszközök esetében a felhasználó földrajzi helyéről stb. Ez a kommunikáció tartalmához való lehetséges hozzáférést is magában foglalja. Ezen túlmenően a „beszélgetések”-re való hivatkozás arra utal, hogy a kommunikáció tartalmát rögzíteni fogják. Az arányosság elvével összhangban a telefonbeszélgetések és elektronikus kommunikáció felvételeiben szereplő személyes adatokat az adatok gyűjtése céljának eléréséhez szükségesekre kell korlátozni.

33.

Ha például a kommunikáció rögzítésének célja az ügyletekkel kapcsolatos bizonyítékok megőrzése, nyilvánvaló, hogy a kommunikáció tartalmának rögzítésén kívül nem lenne más alternatíva, hogy az ügyletekkel kapcsolatos bizonyítékokat vissza lehessen keresni. Ugyanakkor a kommunikáció tartalmának a segítségnyújtás és a piaci visszaélés feltárása, illetve a javasolt irányelv szerinti követelmények teljesítésének általános figyelemmel kísérése céljából történő rögzítése túlzott mértékű és aránytalan lenne. E tekintetben a javasolt irányelv 71. cikke (2) bekezdésének d) pontja, amely biztosítja az illetékes hatóság számára a hatáskört, hogy a befektetési vállalkozásoknál vezetett telefon- és adatforgalmi nyilvántartásokat bekérjék, amennyiben okkal feltételezhető, hogy megszegik a javasolt irányelvet, kifejezetten kizárja a kommunikáció tartalmát. Ehhez hasonlóan a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (11) 17. cikke (2) bekezdésének f) pontja, amely ugyanilyen vizsgálati hatáskört biztosít az illetékes hatóságok számára, hogy bizonyítsák a bennfentes kereskedelmet vagy piaci manipulációt, szintén kifejezetten kizárja a kommunikáció tartalmát.

34.

Az európai adatvédelmi biztos ezért nyomatékosan azt ajánlja, hogy a javasolt irányelv 16. cikkének (7) bekezdése határozza meg, milyen fajta telefonbeszélgetéseket és elektronikus kommunikációt, valamint a beszélgetésekhez és kommunikációhoz kapcsolódóan milyen adatkategóriákat rögzítenek. Az ilyen adatoknak ugyanazon cél szempontjából megfelelőnek, relevánsnak és nem túlzott mértékűnek kell lenniük.

Az adatmegőrzés időtartama

35.

A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja szerint a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. (12) A 16. cikk (7) bekezdése az adatmegőrzésre vonatkozóan hároméves időtartamot határoz meg. A hatásvizsgálat elismeri, hogy az e területtel kapcsolatos intézkedéseknek tiszteletben kell tartaniuk a 95/46/EK irányelvben megállapított uniós adatvédelmi szabályokat. Kiemeli azonban, hogy az adatmegőrzési időtartam meghatározásánál figyelembe kell venni a súlyos bűncselekmények elleni küzdelem céljából a nyilvánosan elérhető elektronikus hírközlési szolgáltatások keretében előállított vagy feldolgozott adatok megőrzéséről szóló, meglévő uniós jogszabályokat. Azt állítja, hogy ezért úgy találták, hogy a maximum hároméves időtartam felel meg a szükségesség és arányosság elvének, amely az alapvető jogokba való jogos beavatkozás garantálásához elengedhetetlen. (13)

36.

Az európai adatvédelmi biztos véleménye szerint nem megfelelő az intézkedés időtartamának szükségességével és arányosságával kapcsolatos vizsgálat. A javasolt irányelv (42) preambulumbekezdésében, 16. cikkének (6) bekezdésében, a hatásvizsgálatban vagy az európai értékpapír-piaci szabályozók bizottsága (CESR) által adott tanácsban a telefonbeszélgetések és elektronikus kommunikáció rögzítésének vonatkozásában említett különböző (és meglehetősen homályos) célok közül egyik sem hivatkozik a súlyos bűncselekmények elleni küzdelemre.

37.

Az értékelést a beszélgetéseknek a javasolt irányelv keretében történő rögzítésének céljaival összhangban kell elvégezni. Ha például a cél „annak biztosítása, hogy nyoma legyen a befektetési vállalkozás és ügyfelei közötti, az ügyleti feltételekkel kapcsolatos viták rendezésének” (14), a hatásvizsgálatnak azt kell értékelnie, hogy az adatokat mennyi ideig kell megőrizni azon jogok elévüléséhez viszonyítva, amelyek az ilyen viták alapjául szolgálhatnak.

38.

Az európai adatvédelmi biztos ezért felkéri a jogalkotót, hogy végezzen alapos értékelést azzal kapcsolatban, hogy milyen adatmegőrzési időtartam szükséges a telefonbeszélgetések és az elektronikus kommunikáció rögzítésének céljához a javaslat konkrét hatályán belül.

2.4.   Az illetékes hatóságok hatásköre

39.

Az irányelv 71. cikke felsorolja az illetékes hatóságok felügyeleti és vizsgálati hatásköreit.

40.

A 71. cikk (4) bekezdése hivatkozik a 95/46/EK irányelvre annak megállapításával, hogy a felügyeleti és vizsgálati hatáskör gyakorlása során gyűjtött személyes adatokat minden esetben a magánélet és az adatok védelmével kapcsolatos alapvető jogok tiszteletben tartása mellett kell feldolgozni. Az európai adatvédelmi biztos örül e rendelkezésnek, amely kifejezetten a hatóságok vizsgálati szerepe és a tevékenységük végzése során történő személyesadat-feldolgozás közötti kapcsolatot érinti.

2.4.1.   Helyszíni vizsgálatok elvégzésére vonatkozó hatáskör

41.

A 71. cikk (2) bekezdésének c) pontja biztosítja az illetékes hatóságok számára a helyszíni vizsgálatok elvégzésére vonatkozó hatáskört. A bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslattal (15) szemben e rendelkezés nem tartalmaz hivatkozást az illetékes hatóság azon hatáskörére, amely szerint „[jogosult] dokumentumok lefoglalása céljából a magánterületre belépni”. Ez azt érzékeltetheti, hogy a vizsgálati hatáskör a befektetési vállalkozások telephelyére korlátozódik és nem terjed ki a magánterületre. Az egyértelműség kedvéért tehát az európai adatvédelmi biztos azt javasolja, hogy a szöveg világosan pontosítsa ezt a korlátozást. Amennyiben a Bizottságnak inkább az áll szándékában, hogy engedélyezze a magánterületek vizsgálatát, az európai adatvédelmi biztos a fent említett javaslatról szóló véleményében (16) a kérdéssel kapcsolatban tett észrevételére utal, amely szerint úgy gondolja, hogy – tekintettel a szóban forgó hatáskör potenciálisan betolakodó jellegére – a nemzeti jog előírásaitól függetlenül az előzetes bírói engedély általános követelménye indokolt lenne.

2.4.2.   A telefon- és adatforgalmi nyilvántartások bekérésére vonatkozó hatáskör

42.

A javasolt irányelv 71. cikke (2) bekezdésének d) pontja felhatalmazza az illetékes hatóságokat „a befektetési vállalkozásoknál vezetett meglévő telefon- és adatforgalmi nyilvántartások bekérésére”. Egyértelművé teszi, hogy a nyilvántartások bekérésének feltétele, hogy „okkal feltételezhető”, hogy ilyen „nyilvántartásokban (…) releváns, bizonyító erejű adatok szerepelhetnek a befektetési vállalkozás ezen irányelvből fakadó kötelezettségeinek esetleges megszegésére nézve” az irányelv értelmében. A nyilvántartások adatai semmiképpen nem „érinthetik a kapcsolódó kommunikáció tartalmát”. Az európai adatvédelmi biztos méltányolja, hogy a szöveg korlátozza az illetékes hatóságok hatáskörét azáltal, hogy a nyilvántartásokhoz való hozzáférés feltételéül szabja, hogy a kötelezettségek megszegése okkal feltételezhető legyen, és kizárja, hogy az illetékes hatóságok hozzáférhessenek a kommunikáció tartalmához.

43.

A javasolt irányelvben nem határozták meg a „telefon- és adatforgalmi nyilvántartások” fogalmát. A 2002/58/EK irányelv (az elektronikus hírközlési adatvédelmi irányelv) csak a „forgalmi adatokról” tesz említést, a „telefon- és adatforgalmi nyilvántartásokról” nem. Nyilvánvaló, hogy e fogalmak pontos jelentésétől függ, milyen hatást gyakorolhat a vizsgálati jogkör az érintett személyek magánéletének és adatainak védelmére. Az európai adatvédelmi biztos a „forgalmi adatok” 2002/58/EK irányelvben szereplő fogalommeghatározásában már meglévő terminológia használatát javasolja.

44.

Az elektronikus kommunikációs eszközök használatával kapcsolatos adatok igen sok személyes adatot továbbíthatnak; ilyen pl. a hívó és a hívást fogadó fél személyazonossága, a hívás ideje és tartama, a híváshoz használt hálózat, hordozható eszköz esetén a felhasználó földrajzi helye stb. Az internet és az email használatára vonatkozó egyes forgalmi adatok (például a felkeresett weboldalak listája) ezenfelül fontos részleteket fedhetnek fel a kommunikáció tartalmáról. A forgalmi adatok feldolgozása továbbá sérti a levéltitkot. A fentiekre való tekintettel a 2002/58/EK irányelv rögzítette azt az elvet, hogy a forgalmi adatokat törölni kell vagy anonimmá kell tenni, ha a közlés továbbításához ezek már nem szükségesek. (17) Az említett irányelv 15. cikkének (1) bekezdése szerint a tagállamok nemzeti jogszabályaikban konkrét jogszerű célokból eltérhetnek ettől a szabálytól, de a korlátozásnak egy demokratikus társadalomban szükségesnek, megfelelőnek és arányosnak kell lennie e célok elérése érdekében. (18)

45.

Az európai adatvédelmi biztos tudomásul veszi, hogy a Bizottság által a hitelminősítő intézetekről szóló rendeletben megjelölt célok jogszerűek. Megérti, hogy szükség van olyan kezdeményezésekre, amelyek célja a pénzügyi piacok felügyeletének erősítése, e piacok szilárdságának megőrzése, valamint a befektetők és a gazdaság egészének fokozottabb védelme érdekében. A forgalmi adatokra közvetlenül vonatkozó vizsgálati hatásköröknek azonban – tekintettel potenciálisan betolakodó jellegükre – meg kell felelniük a szükségesség és arányosság követelményének, azaz arra kell korlátozódniuk, ami a megjelölt cél eléréséhez megfelelő, és nem terjedhetnek túl a cél eléréséhez szükséges mértéken. (19) Ezt figyelembe véve tehát alapvető fontosságú, hogy a rendelkezések személyi és tárgyi hatályát, valamint alkalmazhatóságának körülményeit és feltételeit egyértelműen fogalmazzák meg. Ezenfelül megfelelő garanciákat kell nyújtani a visszaélés veszélyével szemben.

46.

Az érintett telefon- és adatforgalmi nyilvántartások nyilvánvalóan tartalmazni fognak a 95/46/EK irányelv, a 2002/58/EK irányelv és a 45/2001/EK rendelet szerinti személyes adatokat. Ennélfogva biztosítani kell, hogy a személyes adatok tisztességes és jogszerű feldolgozásának az irányelvekben és a rendeletben rögzített feltételei teljes mértékben teljesüljenek.

47.

Az európai adatvédelmi biztos tudomásul veszi, hogy a 71. cikk (3) bekezdése kötelezővé teszi az igazságügyi hatósági engedélyt, amikor az említett engedélyt a nemzeti jogszabályok kötelezően előírják. Az európai adatvédelmi biztos véleménye szerint azonban – tekintettel a szóban forgó hatáskör potenciálisan betolakodó jellegére és a jogszabályok valamennyi uniós tagállamban történő harmonizált alkalmazásának érdekében – az előzetes igazságügyi hatósági engedélyre vonatkozó általános követelmény minden esetben indokolt lenne, függetlenül attól, hogy a nemzeti jog előírja-e vagy sem. Figyelembe kell venni továbbá, hogy számos tagállami jogszabály ír elő a magánlakás sérthetetlenségére vonatkozó különleges biztosítékokat az aránytalan és nem körültekintően szabályozott vizsgálatokkal, házkutatásokkal vagy lefoglalásokkal szemben, különösen ha ezeket igazgatási jellegű intézmények hajtják végre.

48.

Az európai adatvédelmi biztos továbbá azt ajánlja, hogy az EÉPH telefon- és adatforgalom-kérésével kapcsolatos követelményre vonatkozóan hivatalos határozat meghozatalát írják elő, amely megjelöli a kérés jogalapját és célját, azt, hogy a kérés milyen adatokra irányul, az adatok átadására vonatkozó határidőt és a címzett jogát, hogy a Bíróságtól kérje a határozat felülvizsgálatát.

49.

A „meglévő telefon- és adatforgalmi nyilvántartások” kifejezés nyilvánvalóan nem elég világos. A telefon- és adatforgalmi nyilvántartások meghatározása hiányzik, jóllehet a MiFID-re irányuló javaslat 71. cikke (2) bekezdésének d) pontja megszabja, hogy csak „a befektetési vállalkozásoknál vezetett” nyilvántartásokról van szó. A befektetési vállalkozásoknál vezetett adatok valószínűleg a fentebb észrevételezett 16. cikk (6) és (7) bekezdésében feltüntetett adatokat jelentik. Eszerint a szöveg kizárja az azon elektronikus hírközlési szolgáltatóknál vezetett nyilvántartásokat, amelyeknek szolgáltatási szerződésük van az érintett befektetési vállalkozással. Az egyértelműség kedvéért az európai adatvédelmi biztos ajánlja annak pontosítását, hogy a befektetési vállalkozások milyen telefon- és adatforgalmi nyilvántartásairól van szó.

2.5.   A szankciók vagy egyéb intézkedések közzététele

2.5.1.   A szankciók kötelező közzététele

50.

A javasolt irányelv 74. cikke kötelezi a tagállamokat annak biztosítására, hogy az illetékes hatóságok a javasolt rendeletnek vagy a javasolt irányelv átültetése során elfogadott nemzeti rendelkezéseknek a megsértése esetén kiszabott szankciók vagy intézkedések mindegyikét haladéktalanul közzétegyék, beleértve a jogsértés típusára és jellegére és a felelős személyek azonosságára vonatkozó információkat, kivéve ha az ilyen közzététel súlyosan veszélyeztetné a pénzügyi piacokat. Ez a kötelezettség csak akkor enyhíthető, ha a közzététel „aránytalan kárt” okoz az érintett feleknek, amely esetben az illetékes hatóságok anonim módon teszik közzé a szankciókat.

51.

A szankciók közzététele fokozott visszatartó erővel bírna, mivel a tényleges és potenciális bűnelkövetők a hírnevüket érő jelentős károk elkerülése érdekében tartózkodnának a bűncselekmények elkövetésétől. Az átláthatóságot szintén növelné, mivel a piaci szereplők tisztában lennének azzal, hogy egy adott személy jogsértést követett el. (20) Ez a kötelezettség csak akkor enyhíthető, ha a közzététel aránytalan kárt okoz az érintett feleknek, amely esetben az illetékes hatóságok anonim módon teszik közzé a szankciókat. Továbbá, annak elismerése mellett, hogy a szankciók rendszerének (akár minimális, akár teljes körű harmonizáció által) történő bevezetése kihatna az alapvető jogokra, például az Európai Unió Alapjogi Chartájának 7. cikkére (a magán- és a családi élet tiszteletben tartása), 8. cikkére (a személyes adatok védelme), valamint potenciálisan a 47. cikkére (a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog) és 48. cikkére (az ártatlanság vélelme és a védelemhez való jog) (21), a hatásvizsgálat nyilvánvalóan nem tárja fel a szankciók közzétételének az említett jogokra gyakorolt hatását.

52.

A 75. cikk (2) bekezdésének a) pontja értelmében az illetékes hatóságok szankcionálási hatáskörei közé tartozik a nyilvános nyilatkozat kiadása, amely megnevezi a természetes vagy jogi személyt és a jogsértés természetét. (22) Nem világos, hogy a 74. cikk szerinti közzétételi kötelezettség hogyan egyeztethető össze a 75. cikk (2) bekezdésének a) pontja szerinti, nyilvános nyilatkozat kiadására vonatkozó hatáskörrel. Az, hogy a 75. cikk (2) bekezdésének a) pontjában szerepel a nyilvános nyilatkozat kiadása, azt bizonyítja, hogy maga a közzététel tényleges szankciónak minősül, amelyet eseti alapon, a 76. cikkben foglalt, arányosságra vonatkozó kritériumok (23) figyelembevételével kell megvizsgálni.

53.

Az európai adatvédelmi biztos nincs meggyőződve arról, hogy a szankciók kötelező közzététele a jelenlegi formájában megfelel a Bíróság Schecke-ügyben hozott ítélete szerinti adatvédelmi jogi követelményeknek. (24) Úgy véli, hogy az intézkedés célja, szükségessége és arányossága nem kellően megalapozott, és hogy az egyének jogait illetően valamennyi eset tekintetében megfelelő biztosítékokat kellett volna előirányozni.

2.5.2.   A közzététel szükségessége és arányossága

54.

A Bíróság a Schecke-ítéletben megsemmisítette egy tanácsi és egy bizottsági rendelet azon rendelkezéseit, amelyek előírták a mezőgazdasági támogatások kedvezményezettjeire vonatkozó információk közzétételét, beleértve a kedvezményezettek személyazonosságát és a kapott összegeket. A Bíróság kimondta, hogy az említett közzététel az Európai Unió Alapjogi Chartája (a továbbiakban: a Charta) 8. cikke (2) bekezdésének hatálya alá tartozó személyesadat-kezelésnek minősül, és ezért sérti a Charta 7. és 8. cikkében elismert jogokat.

55.

Miután a Bíróság úgy értékelte, hogy „a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk”, a közzététel célját és arányosságát is megvizsgálta. Megállapította, hogy semmi nem utalt arra, hogy a Tanács és a Bizottság az érintett jogszabályok elfogadása során figyelembe vette az információk közzétételének olyan módozatait, amelyek megfelelnek e közzététel céljának, és egyben kevésbé sértik az érintett kedvezményezettek jogait.

56.

A javasolt irányelv 74. cikkét a jelek szerint ugyanazok a hiányosságok befolyásolták, mint amelyekre az Európai Bíróság a Schecke-ügyben hozott ítéletében rámutatott. Szem előtt kell tartani, hogy személyes adatok nyilvánosságra hozatalát előíró rendelkezések adatvédelmi követelményeknek való megfelelésének értékelésekor elengedhetetlen, hogy a tervezett közzététel egyértelmű és jól meghatározott célt szolgáljon. Csak egyértelmű és jól meghatározott cél esetén mérhető fel, hogy valóban szükséges és arányos-e a szóban forgó személyes adatok közzététele. (25)

57.

A javaslatot és a kísérő dokumentumokat (azaz a hatásvizsgálatról szóló jelentést) elolvasva az európai adatvédelmi biztos úgy véli, hogy az intézkedés célja, és ennélfogva annak szükségessége nem egyértelműen megalapozott. Míg a javaslat preambulumbekezdései nem térnek ki ezekre a kérdésekre, a hatásvizsgálatról szóló jelentés mindössze annyit mond ki, hogy „a szankciók közzététele fontos annak biztosításához, hogy azok visszatartó erővel hassanak a címzettekre, és szükséges ahhoz, hogy visszatartó erővel hassanak a nagy nyilvánosságra”. (26) Egy ilyen általános kijelentés nem tűnik elegendőnek a javasolt intézkedés szükségességének bizonyításához. Amennyiben az átfogó cél a visszatartó erő növelése, a Bizottságnak a jelek szerint azt kellett volna megindokolnia, miért ne lenne elegendő a súlyosabb pénzügyi bírság (vagy más, megnevezésnek és megbélyegzésnek nem minősülő szankció).

58.

Ezenfelül a hatásvizsgálatról szóló jelentés nyilvánvalóan nem veszi figyelembe az információk közzétételének kevésbé beavatkozó módozatait, úgymint a közzétételnek a hitelintézetekre történő korlátozása vagy a közzététel eseti alapon történő mérlegelése. Első pillantásra különösen az utóbbi lehetőség arányosabb megoldásnak tűnik, főleg ha figyelembe vesszük, hogy a közzététel önmagában is szankció – amint azt 75. cikk (2) bekezdésének a) pontja elismeri –, amelyet ennélfogva eseti alapon kell értékelni, figyelembe véve a lényeges körülményeket, úgymint a jogsértés súlyosságát, a személyi felelősség mértékét, a korábbi jogsértéseket, a harmadik felek veszteségét stb. (27)

59.

Az európai adatvédelmi biztos szerint az eset egyedi körülmények alapján történő mérlegelésének lehetősége miatt ez a megoldás arányosabb, és ezért azt az általános kötelező közzététellel szemben előnyben kell részesíteni. Ez a mérlegelési jogkör többek között lehetővé tenné, hogy az illetékes hatóság kisebb vétség esetén, amikor a jogsértés nem okozott súlyos kárt, vagy ha az érintett együttműködő volt stb., ne éljen a közzététellel.

60.

A javasolt rendelet 35. cikkének (6) bekezdése az EÉPH honlapján bármely, adott személyek azon képességére irányuló korlátozás előírására vagy megújítására vonatkozó értesítés közzétételéről szól, hogy árualapú származtatott termékekkel kapcsolatos szerződést kössenek. Következésképpen azon személyek személyazonosságát, akik esetében az EÉPH korlátozta a tárgyalási képességet, közzé kell tenni az alkalmazandó pénzügyi eszközökkel, a vonatkozó mennyiségi intézkedésekkel – például az érintett személyek vagy személyek csoportja által megköthető szerződések maximális száma –, valamint a korlátozás okaival együtt. Az intézkedés magával a közzététellel lép hatályba (37. cikk (7) bekezdés). Az irányelv rendelkezéseivel kapcsolatban kifejtett indokolás alapján az európai adatvédelmi biztos annak mérlegelésére ösztönzi a jogalkotót, hogy szükséges-e a közzététel, és hogy nincs-e lehetőség kevésbé korlátozó intézkedésekre, amennyiben az érintettek természetes személyek.

2.5.3.   A megfelelő biztosítékok szükségessége

61.

A javasolt irányelvnek megfelelő biztosítékokról kellett volna rendelkeznie a különböző érdekek közötti méltányos egyensúly megteremtése érdekében. Először is biztosítékokra van szükség a megvádolt személyek bíróság előtti fellebbezési joga, valamint az ártatlanság vélelméhez való joga tekintetében. A 74. cikk szövegében erre vonatkozóan konkrét megfogalmazásra lett volna szükség, kötelezve az illetékes hatóságokat arra, hogy megtegyék a megfelelő intézkedéseket a határozatok elleni fellebbezéssel járó helyzetekben, és akkor is, ha a bíróság megsemmisíti a határozatot. (28)

62.

Másodszor a javasolt irányelvnek biztosítania kell, hogy proaktív módon gondoskodjanak az érintettek jogainak védelméről. Az európai adatvédelmi biztos méltányolja, hogy a javaslat végleges változata lehetőséget ad a közzététel kizárására akkor, ha az aránytalan kárt okozna. A proaktív megközelítésnek ugyanakkor azt kellene jelentenie, hogy az érintetteket előzetesen tájékoztatják az őket elmarasztaló határozat közzétételéről, valamint hogy lényeges jogos érdek alapján megilleti őket a 95/46/EK irányelv 14. cikke szerinti tiltakozási jog. (29)

63.

Harmadszor, jóllehet a javasolt irányelv nem nevezi meg az információk közzétételének módját, a gyakorlatban feltételezhető, hogy a legtöbb tagállam az internetes közzétételt választja majd. Az internetes közzététel sajátos problémákat és kockázatokat vet fel, és különösen fontos annak biztosítása, hogy az információkat csak a szükséges ideig őrizzék meg online, és hogy az adatokat ne manipulálják vagy módosítsák. A külső keresőmotorok használata továbbá azzal a veszéllyel jár, hogy az információt kontextusból kiemelve nehezen ellenőrizhető módokon terjesztik az interneten és azon kívül. (30)

64.

A fentiekre tekintettel kötelezni kell a tagállamokat annak biztosítására, hogy az érintettek személyes adatait csak ésszerű ideig őrizzék meg online, és azt követően következetesen töröljék azokat. (31) Ezenfelül elő kell írni, hogy a tagállamok gondoskodjanak megfelelő biztonsági intézkedésekről és biztosítékokról, különösen a külső keresőmotorok használatából eredő kockázatokkal szembeni védelem érdekében. (32)

2.5.4.   A közzétételre vonatkozó következtetések

65.

Az európai adatvédelmi biztos úgy véli, hogy a szankciók kötelező közzétételére vonatkozó rendelkezés – a jelenlegi formájában – nem tartja tiszteletben a magánélethez és a személyes adatok védelméhez való alapvető jogot. A jogalkotónak körültekintően meg kell vizsgálnia a javasolt rendszer szükségességét, és ellenőriznie kell, hogy a közzétételi kötelezettség nem lépi-e túl a közérdekű cél eléréséhez szükséges mértéket, és hogy ugyanez a cél nem érhető-e el kevésbé korlátozó intézkedésekkel. Ezen arányossági vizsgálat eredményétől függően a közzétételi kötelezettséget minden esetben megfelelő biztosítékokkal kell kiegészíteni az ártatlanság vélelme és az érintett személyek tiltakozáshoz való joga tiszteletben tartásának, az adatok biztonságának/pontosságának és a megfelelő idő után történő törlésének biztosítása érdekében.

2.6.   Jogsértések jelentése

66.

A javasolt irányelv 77. cikke a jogsértések jelentésére szolgáló mechanizmusokkal, úgynevezett visszaélés-jelentési rendszerekkel foglalkozik. Noha ezek a rendszerek hatékony megfelelőségi eszközként szolgálhatnak, adatvédelmi szempontból komoly problémákat vetnek fel. (33) Az európai adatvédelmi biztos üdvözli, hogy a javaslat konkrét, nemzeti szinten részletesen meghatározandó biztosítékokat ír elő a feltételezett jogsértéseket jelentő személyek és általánosabb szinten a személyes adatok védelmére vonatkozóan. A hatásvizsgálat a szankcióknak az alapvető jogokkal kapcsolatos vizsgálatokba történő bevezetésére vonatkozó lehetőségek részeként említi a visszaélés-jelentési rendszereket (34), és ismételten felhívja a figyelmet arra, hogy az adatvédelmi hatóságok által szükségesnek tartott adatvédelmi elvek és kritériumok betartása érdekében végre kell hajtani a jogszabályokat. Az európai adatvédelmi biztos tudatában van annak, hogy az irányelv csak a tagállamok által végrehajtandó rendszer főbb jellemzőit határozza meg. Ennek ellenére fel kívánja hívni a figyelmet az alábbi észrevételekre.

67.

Mint más véleményeiben is (35), az európai adatvédelmi biztos rámutat arra, hogy a belső jelentéstevők és informátorok személyazonossága bizalmas kezelésének tiszteletben tartására külön kell hivatkozni. Az európai adatvédelmi biztos hangsúlyozza, hogy a belső jelentéstevők helyzete igen kényes. Az ilyen információkkal szolgálók számára biztosítani kell személyazonosságuk bizalmas kezelését, különösen azon személyekkel szemben, akikkel kapcsolatban feltételezett szabálytalanságról tettek jelentést. (36) A belső jelentéstevők személyazonosságának bizalmas kezelését valamennyi eljárási szakaszban biztosítani kell, feltéve hogy az nem ellentétes az igazságügyi eljárásokra vonatkozó nemzeti szabályokkal. Különösen szükség lehet a személyazonosság felfedésére a további vizsgálattal vagy a kivizsgálás alapján indított jogi eljárással összefüggésben (többek között annak megállapításakor, hogy az említett személyek rosszhiszeműen valótlan állításokat tettek a megvádolt személy ellen). (37) A fentiek fényében az európai adatvédelmi biztos javasolja, hogy a 77. cikk (1) bekezdésének b) pontját a következő rendelkezéssel egészítsék ki: „e személyek személyazonosságának védelmét az eljárás valamennyi szakaszában biztosítani kell, kivéve, ha a személyazonosság felfedését a nemzeti jog a további vizsgálattal vagy jogi eljárással összefüggésben előírja”.

68.

Az európai adatvédelmi biztos továbbá kiemeli a megfelelő szabályok előírásának jelentőségét, amelynek célja a megvádolt személyek hozzáférési jogainak biztosítása, amelyek szorosan kötődnek a védelemhez való joghoz. (38) A jelentések átvételére és nyomon követésére vonatkozó, a 77. cikk (1) bekezdésének a) pontjában említett eljárásoknak biztosítaniuk kell, hogy a megvádolt személy védelemhez való jogait, úgymint a tájékoztatáshoz való jogot, a vizsgálati aktához való hozzáférés jogát és az ártatlanság vélelméhez való jogot tiszteletben tartsák és csak a szükséges mértékben korlátozzák. (39) Az európai adatvédelmi biztos e tekintetben javasolja, hogy a javasolt irányelvbe is illesszék be a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló bizottsági javaslat 29. cikkének d) pontjában szereplő rendelkezést, amely előírja, hogy a tagállamoknak megfelelő eljárásokat kell bevezetniük, „amelyek biztosítják a bejelentett személy védelemhez és meghallgatáshoz való jogát az őt érintő döntések meghozatala előtt, valamint azt a jogát, hogy az őt érintő döntések ellen hatékony bírósági jogorvoslattal éljen”.

69.

Végül, ami a 77. cikk (1) bekezdésének c) pontját illeti, az európai adatvédelmi biztos örömmel veszi tudomásul, hogy e rendelkezés biztosítja a személyes adatok védelmét a megvádolt és a vádló személyt érintően egyaránt, a 95/46/EK irányelvben meghatározott elveknek megfelelően. Javasolja ugyanakkor a „meghatározott elveknek” kifejezés törlését az irányelvre történő átfogóbb és kötelezőbb érvényű hivatkozás érdekében. Az adatvédelmi jogszabályoknak a rendszerek gyakorlati megvalósítása során történő tiszteletben tartását illetően az európai adatvédelmi biztos különösen hangsúlyozni kívánja a 29. cikk alapján létrehozott munkacsoport visszaélés-jelentésről szóló 2006. évi véleményében foglalt ajánlásokat. A nemzeti rendszerek végrehajtása során az érintett létesítményeknek figyelembe kell venniük többek között az arányosság tiszteletben tartásának szükségességét a jelentéstételre jogosult személyek kategóriáinak, a megvádolható személyek kategóriáinak és a büntetendő jogsértések körének lehető legnagyobb mértékű korlátozása révén; a nevesített és bizalmas jelentések névtelen jelentésekkel szembeni ösztönzésének szükségességét; a belső jelentéstevők személyazonosságának felfedésére vonatkozó előírás szükségességét abban az esetben, ha a belső jelentéstevő rosszhiszemű kijelentéseket tett; valamint a szigorú adatmegőrzési időszakok betartásának szükségességét.

2.7.   Együttműködés a tagállamok illetékes hatóságai és az EÉPH között

2.7.1.   Együttműködés a javasolt irányelv alapján

70.

A 83. cikk bevezeti az együttműködési kötelezettséget a tagállami illetékes hatóságok között, valamint a hatóságok és az EÉPH között. A 83. cikk (5) bekezdése konkrétan arra vonatkozó kötelezettséget ír elő az illetékes hatóságok számára, hogy értesítsék az EÉPH-t vagy más hatóságokat a következő adatokról: a) bármely a teljes kitettségről tájékoztatást nyújtó személynek szóló a kitettség méretének csökkentésére irányuló kérésről a 72. cikk (1) bekezdésének f) pontja alapján; b) bármely személyek árualapú származtatott termékekkel kapcsolatos szerződés kötési képességének korlátozásáról a 72. cikk (1) bekezdésének g) pontja alapján. Az értesítés tartalmazza az intézkedések címzettjének személyazonosságára vonatkozó részleteket, valamint a korlátozások hatókörét, az alkalmazandó pénzügyi eszközök típusát és egyéb információkat.

71.

Ezen túlmenően rendelkezik arról, hogy amikor egy tagállam illetékes hatósága fent ismertetett értesítést kap, „intézkedést hozhat a 72. cikk (1) bekezdésének f) vagy g) pontja szerint, amennyiben meggyőződött arról, hogy az intézkedés szükséges a másik illetékes hatóság célkitűzésének eléréséhez”. Az európai adatvédelmi biztos szeretné kihangsúlyozni, hogy az illetékes hatóság által meghozandó ilyen jellegű döntés úgy értelmezhető, mint amely megfelel a 95/46/EK irányelv 15. cikkében ismertetett, „automatizált egyedi döntés” kritériumának. Ezen értelmezést az váltja ki, hogy a 72. cikk előírja az illetékes hatóság számára, hogy ellenőrizze, az adott intézkedéssel elérhető-e a másik illetékes hatóság célkitűzése. Ennélfogva az értesítést átvevő tagállam illetékes hatóságától nem követelik meg kifejezetten, hogy az ügy körülményeivel kapcsolatban – az érintett személyes adatain is alapuló – független vizsgálatot végezzen egy olyan intézkedés kiadásához, amely korlátozza az adott személy jogait. A tagállamok minden személynek biztosítják a jogot arra, hogy ne terjedhessen ki rájuk olyan döntés hatálya, amely rájuk nézve jogi hatással járna, vagy őket jelentős mértékben érintené, és amely kizárólag automatizált feldolgozáson alapul, és amelynek célja a rá vonatkozó egyes olyan személyes szempontok kiértékelése, mint például a munkahelyi teljesítmény, a hitelképesség, a megbízhatóság, az életvitel, stb. A vizsgált összefüggésre a 95/46/EK irányelv 15. cikkének (2) bekezdése vonatkozik: ez előírja, hogy a fent említett döntés hatálya kiterjedhet a személyre, amennyiben a döntést „jogszabály teszi lehetővé”, és amely az érintett jogos érdekeit biztosító intézkedéseket is megállapítja. Az irányelvet végrehajtó nemzeti jogszabályok jogalapnak minősülnének a 95/46/EK irányelv 15. cikkének (2) bekezdésében foglalt kivétel tekintetében annak ellenére, hogy nem vezetnek be az érintett jogos érdekeit biztosító intézkedéseket.

72.

Ennélfogva úgy tűnik, hogy a javasolt irányelv szövege a szankció eredeti alkalmazási helyétől eltérő tagállam hatósága által meghozandó, olyan automatizált döntés lehetőségét vezeti be, amely kihat a szerződéskötési képességre. Tekintettel arra a hatásra, amelyet egy ilyen döntés gyakorolhat a befektetési tevékenységekkel hivatásszerűen foglakozó személyek jogaira, az európai adatvédelmi biztos kihangsúlyozza, hogy a szövegnek kifejezett utalást kellene tartalmaznia a 95/46/EK irányelv 15. cikke szerinti automatizált egyedi döntések elleni kifogás jogára. Határozott biztosítékokat kell bevezetnie annak garantálása érdekében, hogy az érintett tájékoztatást kaphasson az adattovábbításról, valamint arról, hogy az átvevő illetékes hatóság eljárást kezdeményezett az említett döntés elfogadása céljából, hogy ténylegesen élhessen a kifogás jogával.

2.7.2.   Együttműködés a javasolt rendelet alapján

73.

A rendelet 34. cikkének (2) bekezdése meghatározza, hogy az irányelv 85. cikkének (5) bekezdése szerinti intézkedések bejelentését követően az EÉPH nyilvántartásba veszi az intézkedést és annak okait, valamint honlapján egy adatbázist tesz közzé és tart fenn az irányelv 72. cikke (1) bekezdésének f) és g) pontján alapuló hatályos intézkedések összefoglalóival, „ideértve az érintett személyre vagy személyek csoportjára vonatkozó adatokat”.

74.

Az ilyen közzététel további adatfeldolgozásnak minősül, amely személyes adatokat érint. A fenti 2.5. fejezetben a szankciók közzétételével kapcsolatban tett észrevételek erre az esetre is érvényesek. Nyilvánvaló, hogy a hatásvizsgálat során nem került sor az ilyen jellegű internetes közzététel által az alapvető jogokra gyakorolt hatás értékelésére. Az európai adatvédelmi biztos ezért arra ösztönzi a jogalkotót, hogy mérlegelje ezen intézkedés tényleges szükségességét és arányosságát.

2.8.   Információcsere harmadik országokkal

75.

Az európai adatvédelmi biztos tudomásul veszi, hogy a javasolt irányelv 92. cikke hivatkozik a 95/46/EK irányelvre, különösen a 4. fejezetre és a 45/2001/EK rendeletre.

76.

Az ilyen továbbításokból eredő kockázatokra figyelemmel azonban az európai adatvédelmi biztos különleges biztosítékok hozzáadását javasolja, ezek közé tartozik például az eseti alapon történő vizsgálat, a továbbítás szükségességének bizonyossága, az illetékes hatóság előzetes, kifejezett engedélyére vonatkozó követelmény az adatok harmadik országba vagy harmadik ország által történő továbbításához, valamint a személyes adatok megfelelő szintű védelme az azokat átvevő harmadik országban.

77.

A megfelelő biztosítékokat tartalmazó rendelkezésre kiváló példa található a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat 23. cikkében (40).

3.   KÖVETKEZTETÉSEK

78.

Az európai adatvédelmi biztos a következő ajánlásokat teszi:

A javaslatokba érdemi rendelkezést kell beilleszteni a következő szöveggel: „A személyes adatoknak az e rendelet keretében végzett, tagállamok általi feldolgozása tekintetében az illetékes hatóságok a 95/46/EK irányelvet végrehajtó nemzeti szabályok rendelkezéseit alkalmazzák. A személyes adatoknak az e rendelet keretében végzett, EÉPH általi feldolgozása tekintetében az EÉPH eleget tesz a 45/2001/EK rendelet rendelkezéseinek.”

A javasolt rendelet 22. cikkében az adatmegőrzésre vonatkozó minimális ötéves időtartam helyett egy maximális adatmegőrzési időtartamot kell megadni.

A javasolt irányelv 16. cikkének (7) bekezdésében meg kell határozni a következőket: i. a telefonbeszélgetések és az elektronikus kommunikáció rögzítésének célja, valamint ii. milyen fajta telefonbeszélgetésekre és elektronikus kommunikációra vonatkozik, továbbá a beszélgetésekhez és kommunikációhoz kapcsolódóan milyen adatkategóriákat rögzítenek.

A javasolt irányelv 71. cikke (2) bekezdésének c) pontjában egyértelművé kell tenni, hogy a vizsgálati hatáskör a befektetési vállalkozás telephelyére korlátozódik, nem terjed ki a magánterületekre.

A telefon- és adatforgalmi nyilvántartások bekérésére vonatkozó hatáskör tekintetében a 71. cikk (2) bekezdésének d) pontjában általános követelményként be kell vezetni az előzetes igazságügyi hatósági engedélyt, valamint a hivatalos határozat meghozatalának követelményét, amely a következőket jelöli meg: i. a jogalapot, ii. a bekérés célját, iii. azt, hogy milyen információkat kérnek be, iv. az adatok átadására vonatkozó határidőt, v. és a címzett jogát, hogy a Bíróságtól kérje a határozat felülvizsgálatát.

Pontosítani kell, hogy a 71. cikk (2) bekezdésének d) pontjában a telefon- és adatforgalmi nyilvántartások mire vonatkoznak.

Az e véleményben megfogalmazott kételyekre figyelemmel meg kell vizsgálni a szankciók kötelező közzététele javasolt rendszerének szükségességét és arányosságát. A szükségesség és arányosság vizsgálatának eredményétől függően minden esetben megfelelő biztosítékokat kell nyújtani az ártatlanság vélelme és az érintett személyek tiltakozáshoz való joga tiszteletben tartásának, az adatok biztonságának/pontosságának és a megfelelő idő után történő törlésének biztosítása érdekében.

A 77. cikk (1) bekezdésének i) pontja tekintetében a b) pontot egy olyan rendelkezéssel kell kiegészíteni, amely a következőket mondja ki: „e személyek személyazonosságának védelmét az eljárás valamennyi szakaszában biztosítani kell, kivéve ha annak közzétételét a nemzeti jog a további vizsgálattal vagy jogi eljárással összefüggésben előírja”; ii. be kell szúrni egy d) pontot, amely előírja, hogy a tagállamok vezessenek be „olyan megfelelő eljárásokat, amelyek biztosítják a bejelentett személy védelemhez és meghallgatáshoz való jogát az őt érintő döntések meghozatala előtt, valamint azt a jogát, hogy az őt érintő döntések és intézkedések ellen hatékony bírósági jogorvoslattal éljen”; iii. a rendelkezés c) pontjából törölni kell a „meghatározott elveknek” kifejezést.

Kelt Brüsszelben, 2012. február 10-én.

Giovanni BUTTARELLI

az európai adatvédelmi biztos helyettese


(1)  HL L 281., 1995.11.23., 31. o.

(2)  HL L 8., 2001.1.12., 1. o.

(3)  Az európai adatvédelmi biztos 2012. február 10-i véleményei a banki jogszabályok felülvizsgálatáról, a hitelminősítő intézetekről, a pénzügyi eszközök piacairól (MiFID/MiFIR) és a piaci visszaélésről szóló jogszabálycsomagról.

(4)  HL L 145., 2004.4.30., 1. o.

(5)  Lásd a javasolt rendelet (20), (30) és (45) preambulumbekezdését, valamint a javasolt irányelv (41), (43), (69) és (103) preambulumbekezdését.

(6)  COM(2011) 651.

(7)  Az Európai Parlament és a Tanács rendelete a bennfentes kereskedelemről és a piaci manipulációról, COM(2011) 651.

(8)  Lásd az európai adatvédelmi biztos 2012. február 10-i véleményét a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló bizottsági javaslatról, COM(2011) 651.

(9)  CESR technical advice to the European Commission in the Context of the MiFID Review –Investor Protection and Intermediaries (A CESR technikai tanácsa az Európai Bizottság számára a MiFID felülvizsgálata kapcsán – befektetővédelem és közvetítő szervezetek), 2010. július 29., CESR/10-417 7. o. http://www.esma.europa.eu/system/files/10_417.pdf

(10)  Hatásvizsgálat, 150. o.

(11)  COM(2011) 651 végleges.

(12)  A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja.

(13)  Hatásvizsgálat, 150. o.

(14)  Lásd a fenti 26. pontban említett CESR-tanulmányt.

(15)  COM(2011) 651.

(16)  Lásd az európai adatvédelmi biztos legutóbbi, 2012. február 10-i véleményét a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról.

(17)  Lásd a 2002/58/EK irányelv 6. cikkének (1) bekezdését (HL L 201., 2002.7.31., 37. o.).

(18)  A 2002/58/EK irányelv 15. cikkének (1) bekezdése úgy rendelkezik, hogy az ilyen jellegű korlátozásnak – a 95/46/EK irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek kell minősülnie a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására vonatkozóan.

(19)  Lásd pl. Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-93/09) kontra Land Hessen egyesített ügyekben hozott ítélet (az EBHT-ban még nem tették közzé) 74. pontját.

(20)  Lásd a hatásvizsgálatról készült jelentés 42. és azt követő oldalait.

(21)  Lásd még a 43. oldalt – a „minimális harmonizáció” lehetősége által az alapvető jogokra gyakorolt hatás vizsgálata: „A lehetőség ellentétben áll az Európai Unió Alapjogi Chartájának 7. cikkével (a magán- és a családi élet tiszteletben tartása), 8. cikkével (a személyes adatok védelme), valamint potenciálisan a 47. cikkével (a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog) és 48. cikkével is (az ártatlanság vélelme és a védelemhez való jog). A lehetőség biztosítja e törvényes jogok korlátozását, miközben tiszteletben tartja jelentőségüket. Az említett jogok korlátozása elengedhetetlen a MiFID-nek a tisztességes és szabályos kereskedés, valamint a befektetővédelem garantálására vonatkozó szabályai teljesítésének biztosításával kapcsolatos általános érdekű célkitűzés eléréséhez. A jogszerűség érdekében az előírt közigazgatási intézkedéseknek és szankcióknak minden körülmények között arányosnak kell lenniük a jogsértéshez viszonyítva, tiszteletben kell tartaniuk a kétszeres eljárás alá vonás és a kétszeres büntetés tilalmát, az ártatlanság vélelmét és a védelemhez való jogot, valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jogot […]”.

(22)  Lásd az európai adatvédelmi biztos legutóbbi, 2012. február 10-i véleményét a hitelintézetek tevékenységéhez való hozzáférésről és a hitelintézetek és befektetési vállalkozások prudenciális felügyeletéről szóló irányelvre, valamint a hitelintézetekre és befektetési vállalkozásokra vonatkozó prudenciális követelményekről szóló rendeletre irányuló bizottsági javaslatokról.

(23)  „A tagállamok biztosítják, hogy a közigazgatási szankciók vagy intézkedések típusának és a közigazgatási pénzbírság szintjének meghatározásakor az illetékes hatóságok vegyenek figyelembe minden lényeges körülményt, többek között: a) a jogsértés súlyosságát és időtartamát; b) a felelős természetes vagy jogi személy felelősségének mértékét; c) a felelős természetes vagy jogi személynek a felelős jogi személy teljes árbevételében vagy a felelős természetes személy éves jövedelmében kifejezett pénzügyi erejét; d) a felelős természetes vagy jogi személy által elért nyereség vagy elkerült veszteség jelentőségét, amennyiben ezek meghatározhatók; e) harmadik feleknek a jogsértés által okozott veszteségét, amennyiben meghatározható; f) a felelős természetes vagy jogi személy illetékes hatósággal való együttműködésének szintjét; g) a felelős természetes vagy jogi személy általi korábbi jogsértéseket […]”.

(24)  C-92/09. és C-93/09. sz. Schecke egyesített ügyek, 56–64. pont.

(25)  Ezzel összefüggésben lásd még az európai adatvédelmi biztos 2011. április 15-i véleményét az Unió éves költségvetésére alkalmazandó pénzügyi szabályokról (HL C 215., 2011.7.21., 13. o.).

(26)  Lásd a fenti, 11. lábjegyzetet.

(27)  Azaz a javasolt irányelv 74. cikkének megfelelően, megállapítva a szankciók meghatározására vonatkozó kritériumokat.

(28)  A nemzeti hatóságok például a következő intézkedéseket mérlegelhetik: a közzététel elhalasztása a fellebbezés elutasításáig, illetve a hatásvizsgálatról szóló jelentésben javasoltak szerint annak egyértelmű jelzése, hogy a határozat még fellebbezhető, és hogy az egyént a végleges határozatig ártatlannak kell tekinteni, helyesbítés közzététele azokban az esetekben, amikor a bíróság megsemmisíti a határozatot.

(29)  Lásd az európai adatvédelmi biztos 2007. április 10-i véleményét a közös agrárpolitika finanszírozásáról, (HL C 134., 2007.6.16., 1. o.).

(30)  Ezzel összefüggésben lásd az olasz adatvédelmi hatóság következő dokumentumát: Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination (A többek között a közigazgatási szervek nyilvántartásaiban és dokumentumaiban szereplő személyes adatok: iránymutatások az ilyen adatok internetes tájékoztatás és terjesztés keretében történő, állami szervek általi feldolgozásához), amely az olasz adatvédelmi hatóság honlapján, a következő címen érhető el: http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707

(31)  Ezek a megfontolások a személyes adatok tárolásának megszüntetéséhez való általánosabb joggal is összefüggnek; jelenleg folyik a vita e jognak a személyes adatok védelmének új jogi keretébe történő beillesztéséről.

(32)  Ezek az intézkedések és biztosítékok magukban foglalhatják például az adatok külső keresőmotorok általi indexálásának tilalmát.

(33)  A 29. cikk alapján létrehozott munkacsoport 2006-ban véleményt adott ki az ilyen rendszerekről, amelyben a jelenség adatvédelmi vonatkozásaival foglalkozott: 2006/1 sz. vélemény az uniós adatvédelmi szabályoknak a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, korrupció, banki és pénzügyi bűnözés elleni küzdelem terén létrehozott belső visszaélés-jelentési rendszerekre történő alkalmazásáról (a munkacsoport visszaélés-jelentésről szóló véleménye). A vélemény megtalálható a 29. cikk alapján létrehozott munkacsoport honlapján: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(34)  Lásd a hatásvizsgálat 137–138. oldalát: „Ami a »visszaélés-jelentési rendszerek« bevezetését illeti, problémákat vet fel a személyes adatok védelmével (az Európai Unió Alapjogi Chartájának 8. cikke és az EUMSZ 16. cikke), valamint az Európai Unió Alapjogi Chartájában (48. cikk) foglalt, az ártatlanság vélelmével és a védelemhez való joggal kapcsolatban. Következésképpen a visszaélés-jelentési rendszerek megvalósítása során meg kell felelni az uniós adatvédelmi hatóságok által szükségesnek tartott adatvédelmi elveknek és kritériumoknak, és azokat integrálni kell, valamint az Alapjogi Chartával összhangban biztosítékokat kell szavatolni.”

(35)  Lásd például az Unió éves költségvetésére alkalmazandó pénzügyi szabályokról szóló, 2011. április 15-i véleményt, és az OLAF által lefolytatott vizsgálatokról szóló, 2011. június 1-jei véleményt, mindkettő a következő címen érhető el: FN http://www.edps.europa.eu

(36)  A belső jelentéstevő személyazonossága bizalmas kezelésének fontosságára az európai adatvédelmi biztos már a 2010-0458. sz. ügy kapcsán 2010. július 30-án az európai ombudsmanhoz írott levelében (lásd az európai adatvédelmi biztos honlapját: (FN http://www.edps.europa.eu). Lásd még az európai adatvédelmi biztosnak az OLAF belső vizsgálatairól szóló, 2006. június 23-i előzetes ellenőrzésről szóló véleményét (a 2005-0418. sz. ügy), valamint az OLAF külső vizsgálatairól szóló, 2007. október 4-i előzetes ellenőrzésről szóló véleményét (a 2007-47., 2007-48., 2007-49., 2007-50. és 2007-72. sz. ügy).

(37)  Lásd az Unió éves költségvetésére alkalmazandó pénzügyi szabályokról szóló, 2011. április 15-i véleményt, amely a következő címen érhető el: http://www.edps.europa.eu

(38)  Ezzel összefüggésben lásd az európai adatvédelmi biztosnak a személyes adatok európai intézmények és szervek hivatali vizsgálatai és fegyelmi eljárásai keretében történő feldolgozására vonatkozó iránymutatásait, amelyek felhívják a figyelmet az érintettek hozzáférési joga és a megvádolt személyek védelemhez való joga közötti szoros összefüggésre (lásd a 8. és 9. oldalt) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

(39)  Lásd a 29. cikk alapján létrehozott munkacsoport visszaélés-jelentésről szóló véleményét, 13–14. o.

(40)  A bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (COM(2011) 651) 23. cikke a következőket mondja ki:

„1.   Valamely tagállam illetékes hatósága eseti jelleggel, a 95/46/EK irányelvben, különösen annak 25. és 26. cikkében foglalt követelmények teljesítése mellett személyes adatot továbbíthat harmadik országba. A tagállam illetékes hatósága meggyőződik arról, hogy az információk továbbítására szükség van ennek a rendeletnek az alkalmazásához. Az illetékes hatóság gondoskodik arról, hogy a harmadik ország az adatokat csak akkor továbbítsa más harmadik országba, ha erre szóló kifejezett írásos engedéllyel rendelkezik, és a tagállam illetékes hatósága által meghatározott feltételeket teljesíti. Személyes adat csak olyan harmadik országba továbbítható, amely biztosítja a személyes adatok megfelelő szintű védelmét.

2.   Valamely tagállam illetékes hatósága a másik tagállam illetékes hatóságától kapott információkat kizárólag abban az esetben továbbíthatja harmadik ország illetékes hatóságának, ha az érintett tagállam illetékes hatósága megszerezte az információkat eredetileg továbbító illetékes hatóság kifejezett hozzájárulását, és az információkat adott esetben kizárólag az utóbbi illetékes hatóság hozzájárulásában meghatározott célokra továbbítják.

3.   Személyes adatok cseréjéről együttműködési megállapodás kizárólag a 95/46/EK irányelvnek megfelelően rendelkezhet.”


Top