27.10.2007   

HU

Az Európai Unió Hivatalos Lapja

C 255/1

1.

A Bizottság 2007. március 7-én megküldte az adatvédelmi irányelv jobb végrehajtását célzó munkaprogram nyomon követéséről szóló, az Európai Parlamenthez és a Tanácshoz címzett bizottsági közleményt (3) az európai adatvédelmi biztosnak. Az európai adatvédelmi biztos a 45/2001/EK rendelet 41. cikkével összhangban benyújtja véleményét.

2.

A közlemény ismételten hangsúlyozza, hogy a 95/46/EK irányelv (4) mérföldkövet jelent a személyes adatok védelmének történetében, és az irányelvet, valamint annak végrehajtását a következő három fejezetre osztva tárgyalja: a múlt, a jelen és a jövő. A közlemény fő következtetése az, hogy az irányelvet nem kell módosítani. Az irányelv végrehajtását egyéb, többségükben nem kötelező jellegű szakpolitikai eszközökkel kellene tovább javítani.

3.

Az európai adatvédelmi biztos véleménye követi a közlemény felépítését. Ennél is fontosabb az, hogy az európai adatvédelmi biztos osztja a Bizottság fő következtetését, miszerint az irányelvet nem kell módosítani.

4.

Annak azonban, hogy az európai adatvédelmi biztos ezt az álláspontot képviseli, gyakorlati okai is vannak. Az európai adatvédelmi biztos a következőkből indul ki:

5.

Ezek a kiindulási pontok alapvető fontosságúak, hiszen nem szabad megfeledkezni arról, hogy az irányelv dinamikus környezetben működik. Mindenekelőtt az Európai Unió változik: a tagállamok közötti, valamint a tagállamok és harmadik országok közötti szabad információáramlás fontosabb szerepet kapott, és még fontosabbá fog válni. Másodsorban a társadalom is változik: az információs társadalom fejlődésben van és egyre több, a „bekamerázott társadalomra” jellemző tulajdonsággal rendelkezik (5). Ez azt vonja maga után, hogy ezen új helyzetek teljes mértékben kielégítő kezelése érdekében egyre nagyobb szükség van a személyes adatok hatékony védelmére.

6.

Az európai adatvédelmi biztos a közlemény értékelésében különösen az e változások tekintetében releváns következő perspektívákkal foglalkozik:

7.

Az adatvédelmi irányelv végrehajtásáról szóló, 2003. május 15-i első jelentés magában foglalta az adatvédelmi irányelv jobb végrehajtását célzó tíz – 2003–2004-ben végrehajtandó – kezdeményezés listáját tartalmazó munkaprogramot. A közlemény egyenként leírja, hogy miként hajtották végre e tevékenységeket.

8.

A munkaprogram keretében elvégzett munka elemzése alapján a közlemény kedvezően értékeli az irányelv végrehajtásában elért előrehaladást. A közlemény 2. fejezetének („A jelen”) címsoraiban összefoglalt bizottsági értékelés lényegében a következőket mondja ki: a végrehajtás területén előrehaladás érzékelhető annak ellenére, hogy néhány tagállam még nem hajtotta végre megfelelően az irányelvet; néhány eltérés továbbra is fennáll, de ezek többnyire az irányelv mozgásterén belül helyezkednek el, és egyetlen esetben sem jelentenek valódi problémát a belső piacra nézve. Az irányelvben megállapított jogi megoldások túlnyomórészt megfelelőnek bizonyultak arra, hogy szavatolják az adatvédelemhez való alapvető jogot, miközben figyelembe veszik a technológiai fejlődést és a közérdek által támasztott követelményeket.

9.

Az európai adatvédelmi biztos egyetért e kedvező értékelés fő irányvonalával. Ezen belül az európai adatvédelmi biztos elismeri a határokon átnyúló adatáramlás területén végzett jelentős munkát: a harmadik országok megfelelő adatvédelmi szintjének megállapítása, az új általános szerződési feltételek, a kötelező erejű vállalati szabályok elfogadása, az irányelv 26. cikke (1) bekezdésének egységesebb értelmezéséről való elgondolkodás és a 26. cikk (2) bekezdése szerinti engedélyezés bejelentésének javítása egyaránt a személyes adatok nemzetközi továbbítása megkönnyítésének irányába mutatnak. A Bíróság ítélkezési gyakorlata (6) mindazonáltal rámutatott arra, hogy ezen a kulcsfontosságú területen mind a technológia, mind a bűnüldözés terén végbement fejlődés figyelembevétele érdekében további munka elvégzésére van szükség.

10.

A közlemény arra is rávilágít, hogy az érvényesítés és a tudatosítás a jobb végrehajtás előmozdításának kulcsfontosságú kérdései, és ezeket jobban ki lehetne aknázni. Továbbá, a legjobb gyakorlatok cseréje, valamint az értesítésekre és a tájékoztatásra vonatkozó rendelkezések területének összehangolása eredményes precedenst teremt a bürokrácia csökkentésére és a cégek költségeinek mérséklésére.

11.

Ezen túlmenően, a múlt elemzése megerősíti, hogy az érdekelt felek széles körének bevonása nélkül nem érhető el előrehaladás. A legtöbb végrehajtott tevékenységben a Bizottság, az adatvédelmi hatóságok és a tagállamok játsszák a központi szerepet. A magánfelek ugyanakkor egyre fontosabb szerepet töltenek be, különösen azokban az esetekben, amikor az önszabályozás és az európai magatartási kódex előmozdításáról vagy a magánélet védelmét erősítő technológiák fejlesztéséről van szó.

12.

Több érv szól azon bizottsági következtetés támogatása mellett, miszerint jelen körülmények között és rövid távon nincs szükség az irányelv módosítására irányuló javaslatok előirányozására.

13.

A Bizottság lényegében két érvet szolgáltat a következtetés támogatására. Először is azt, hogy nem aknázták ki teljes mértékben az irányelvben rejlő lehetőségeket. A tagállami joghatóságokban még mindig számottevő mértékben lehetne javítani az irányelv végrehajtásán. Másodszor pedig megállapítja, hogy bár az irányelv mozgásteret biztosít a tagállamok számára, nincs bizonyíték arra, hogy az e mozgástéren belüli eltérések valódi problémát jelentenek a belső piacra nézve.

14.

E két érv alapján a Bizottság a következő módon fogalmazza meg következtetését. A bizalom biztosítására hangsúlyt helyezve elmagyarázza, hogy az irányelvnek miként kellene működnie, azután pedig megállapítja, hogy az irányelv kapcsolódási pontot teremt, technológia-semleges, és továbbra is egységes és megfelelő válaszokat ad a problémákra (7).

15.

Az európai adatvédelmi biztos üdvözli e következtetés megfogalmazásának módját, de azon a véleményen van, hogy a következtetést tovább lehetne erősíteni azáltal, hogy azt a következő két további érvvel támasztanák alá:

16.

Az Európai Unió Alapjogi Chartájának 8. cikke elismeri, többek között az egyének személyes adataik gépi feldolgozása során való védelméről szóló, 1981. január 28-i 108. Európa tanácsi egyezmény pedig meghatározza a természetes személyek személyes adataik védelméhez fűződő alapvető jogát. Az irányelv azáltal, hogy konkretizálja az egyezményben foglalt jogokat és szabadságokat, valamint kiegészíti azokat, lényegében az ezen alapvető jog fő elemeit tartalmazó keretet jelent (8).

17.

Az alapvető jogok célja, hogy a demokratikus társadalomban minden körülmények között megvédjék a polgárokat. Nem volna helyénvaló, ha a társadalomban végbemenő fejlődés vagy a hatalmon lévő kormányok politikai preferenciái okán könnyen meg lehetne változtatni az alapvető jogok fő elemeit. Például a terrorista szervezetek által a társadalomra jelentett fenyegetés egyes esetekben különböző eredményekhez vezethet, mert esetleg jelentősebb mértékben kell beavatkozni a személyek alapvető jogaiba, de semmilyen körülmények között sem sértheti magának a jognak az alapvető elemeit, és nem foszthatja meg a magánszemélyt jogainak gyakorlásától, illetve nem korlátozhatja őt indokolatlanul abban.

18.

Az irányelv második jellemzője, hogy célul tűzi ki a belső piaci szabad információáramlás előmozdítását. Egy egyre jobban fejlődő, belső határok nélküli belső piacon ez a második célkitűzés is alapvető jelentőségűnek tekinthető. E belső piac létrejötte és működése biztosításának egyik fő eszközét a nemzeti jog alapvető rendelkezéseinek harmonizációja jelenti. Az irányelv a tagállamok közötti, egymás nemzeti jogrendszerébe vetett kölcsönös bizalom megtestesítője. A változtatásokat ezen okokból kifolyólag is kellőképpen mérlegelni kell. A változtatások kihatással lehetnek a kölcsönös bizalomra.

19.

Az irányelv harmadik jellemzője, hogy az egy olyan általános keretnek tekintendő, amelyre konkrét jogi eszközök épülnek. E konkrét eszközök magukban foglalják az általános keret végrehajtási intézkedéseit, valamint a konkrét ágazatok konkrét kereteit. Az elektronikus hírközlési adatvédelmi irányelv (2002/58/EK) (9) ilyen konkrét keretet jelent. Amennyiben lehetséges, a társadalom fejlődésében végbemenő változásoknak a végrehajtási intézkedések vagy a konkrét jogi keretek változását kell eredményezniük, nem pedig azon általános keret változását, amelyre épülnek.

20.

Az európai adatvédelmi biztos szerint a következtetés, miszerint jelenleg nincs szükség az irányelv módosítására, a felelősségteljes igazgatás és jogalkotási politika általános elveinek logikus következménye is. Jogalkotási javaslatokat csak abban az esetben kell benyújtani, ha kellő mértékben bizonyított szükségességük és arányosságuk, tekintet nélkül arra, hogy új közösségi fellépési területekre vagy meglévő jogalkotási intézkedések módosítására vonatkoznak-e. Nem kell jogalkotási javaslatot benyújtani akkor, ha ugyanazt az eredményt egyéb, kevésbé széles körű eszközök alkalmazásával is el lehetne érni.

21.

A jelenlegi körülmények között nem bizonyított az irányelv módosításának szükségessége és arányossága. Az európai adatvédelmi biztos emlékeztet arra, hogy az irányelv általános keretet biztosít a közösségi jog szerinti adatvédelemhez. Az irányelvnek biztosítania kell egyrészt a személyes adatok feldolgozása tekintetében az egyének jogainak és szabadságainak – különösen a magánélethez való jognak – a védelmét, másrészt pedig a személyes adatok belső piacon belüli szabad áramlását.

22.

Ezt az általános keretet nem kell módosítani mindaddig, amíg azt a tagállamok teljes körűen végre nem hajtották, kivéve, ha egyértelművé válik, hogy az irányelv célkitűzései nem teljesíthetők a jelenlegi keretek között. Az európai adatvédelmi biztos véleménye szerint a Bizottság – a jelenlegi körülmények között – megfelelően bizonyította, hogy az irányelvben rejlő lehetőségeket nem aknázták ki teljes mértékben (lásd e vélemény III. fejezetét). Arra pedig nincs bizonyíték, hogy a célkitűzések ne lennének teljesíthetők a jelenlegi keretek között.

23.

A jövőben is biztosítani kell, hogy az adatvédelmi elvek hatékony védelmet nyújtsanak a természetes személyek számára, szem előtt tartva azt a dinamikus környezetet, amelyben az irányelv működik (lásd a vélemény 5. pontját), valamint a vélemény 6. pontjában kifejtett következő perspektívákat: a végrehajtás javítása, a technológiával való kapcsolat, a magánélet globális szintű védelme és a joghatóság, az adatvédelem és bűnüldözés, valamint a reformszerződés. Az irányelv jövőbeli módosításának mértékét az adatvédelmi elvek teljes körű alkalmazásának eme szükségessége határozza meg. Az európai adatvédelmi biztos újból emlékeztet arra, hogy az irányelv módosítása hosszú távon elkerülhetetlennek tűnik.

24.

Ami a jövőbeli intézkedések tartalmát illeti, az európai adatvédelmi biztos már ebben a szakaszban is szolgál néhány olyan elemmel, amelyet alapvető fontosságúnak ítél a jövőbeli uniós adatvédelmi rendszerekben. Ezen elemek magukban foglalják az alábbiakat:

25.

Az új technológiák által jelentett kihívások kapcsán a közlemény megemlíti a 2002/58/EK irányelv folyamatban lévő felülvizsgálatát, valamint azt, hogy az olyan új technológiák, mint például az internet és a rádiófrekvenciás azonosítás (RFID) által felvetett adatvédelmi kérdések megválaszolásához esetleg specifikusabb szabályokra lehet szükség (10). Az európai adatvédelmi biztos üdvözli ezt a felülvizsgálatot és a további intézkedéseket, bár véleménye szerint ezeknek nem kizárólag a technológiai fejlődéshez kellene kapcsolódniuk, hanem a dinamikus környezet teljes egészét kellene figyelembe venniük, és hosszú távon a 95/46/EK irányelvre is ki kellene terjedniük. Továbbá, ebben az összefüggésben nagyobb mértékű összpontosításra van szükség. A közlemény sajnálatos módon nyitva hagyja az ezzel kapcsolatos kérdéseket:

Az európai adatvédelmi biztos javasolja, hogy a Bizottság határozza meg közelebbről ezeket az elemeket.

26.

Bármely jövőbeli módosítást az irányelv jelenlegi rendelkezései teljes körű végrehajtásának kell megelőznie. A teljes körű végrehajtás az irányelv jogi követelményeinek való megfeleléssel kezdődik. A közlemény említést tesz arról (11), hogy néhány tagállam nem ültette át az irányelv számos fontos rendelkezését, és e tekintetben különösen rámutat a felügyelő hatóságok függetlenségére vonatkozó rendelkezésekre. A Bizottság feladata, hogy ellenőrizze a megfelelést, valamint hogy alkalmazza az EK-Szerződés 226. cikke szerinti hatáskörét, amennyiben erre megítélése szerint szükség van.

27.

A közlemény néhány rendelkezéssel kapcsolatban – különösen azokkal kapcsolatban, amelyek az EK-Szerződés 226. cikke értelmében hivatalos jogsértési eljáráshoz vezethetnek – értelmező közlemény kibocsátását tervezi.

28.

Ezen túlmenően az irányelv egyéb mechanizmusokat vezet be a végrehajtás javítására. Különösen a 29. cikk alapján létrehozott munkacsoport 30. cikkben felsorolt feladatai szolgálnak e célra. Arra hivatottak, hogy a tagállamokban az adatvédelem olyan – magas és harmonizált – szintjén serkentsék a végrehajtást, amely túlmutat az irányelv kötelezettségeinek teljesítéséhez szigorúan szükséges mértéken. A munkacsoport e szerep gyakorlása közben az évek során számos véleményt és egyéb dokumentumot fogalmazott meg.

29.

Az európai adatvédelmi biztos véleménye szerint az irányelv teljes körű végrehajtása az alábbi két elemet foglalja magában:

Az európai adatvédelmi biztos hangsúlyozza, hogy a különböző jogi következmények, valamint a kapcsolódó felelősségi körök miatt egyértelműen meg kell különböztetni egymástól a két elemet. A gyakorlatban kialakult szabály a következő: a Bizottság teljes körű felelősséget vállal az első elemért, míg a munkacsoport a második elem tekintetében az elsődleges szereplő.

30.

Egy másik, pontosabb különbségtétel az irányelv jobb végrehajtásának megvalósítására rendelkezésre álló eszközökhöz kapcsolódik. Ezek közé tartoznak a következők:

31.

Az európai adatvédelmi biztos javasolja a Bizottságnak, hogy szakpolitikái e közlemény alapján való kidolgozása során tegye egyértelművé, miként fogja felhasználni ezeket a különböző eszközöket. A Bizottságnak ebben az összefüggésben továbbá egyértelmű különbséget kell tennie a saját és a munkacsoport feladatai között. Ettől függetlenül önmagától értetődő az, hogy a Bizottság és a munkacsoport közötti jó együttműködés minden körülmények között feltétele a sikernek.

32.

A kiindulási pont az, hogy az irányelv rendelkezéseinek megfogalmazása technológiai szempontból semleges. A közlemény a technológiai semlegességre helyezett hangsúlyt több technológiai fejlesztéssel kapcsolja össze, úgymint az internettel, a harmadik országbeli szolgáltatásokhoz való hozzáféréssel, a rádiófrekvenciás azonosítással, valamint a hang- és képadatok automatikus felismeréssel való párosításával. A közlemény a tevékenységek két típusát különbözteti meg. Első típus: az adatvédelmi elvek változó technológiai környezetben való alkalmazására vonatkozó konkrét iránymutatás, amelyben jelentős szerepet játszik a munkacsoport és annak internettel foglalkozó almunkacsoportja (13). Második típus: maga a Bizottság javasolhat ágazat-specifikus jogszabályokat.

33.

Az európai adatvédelmi biztos fontos első lépésként üdvözöli ezt a megközelítést. Hosszú távon azonban egyéb és még fontosabb lépésekre lehet szükség. E közlemény apropója kiindulópontként szolgálhatna egy ilyen hosszú távú megközelítéshez. Az európai adatvédelmi biztos azt javasolja, hogy a jelen közleményt nyomon követő intézkedésként kezdődjön meg e megközelítés megvitatása. A megközelítés lehetséges elemeiként a következő pontokat lehet megemlíteni.

34.

Először is, a technológiával való kapcsolat kétoldalú. Egyrészt a megjelenő új technológiák szükségessé tehetik az adatvédelem jogi keretének módosítását. Másrészt az egyének személyes adatai hatékony védelmének szükségessége egy mind távolabbra mutató következményként új korlátozásokat vagy megfelelő biztosítékokat követelhet meg bizonyos technológiák alkalmazását illetően. Ugyanakkor az új technológiákat is lehetne hatékonyan alkalmazni, valamint azokra a magánélet védelmét erősítő módon támaszkodni.

35.

Másodszor, néhány egyedi korlátra lehet szükség akkor, amikor az új technológiákat kormányzati intézmények használják közfeladataik ellátása során. Jó példát jelentenek erre a hágai program végrehajtásához kapcsolódóan a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségen belül zajló, az interoperabilitásról és hozzáférésről folytatott megbeszélések (14).

36.

Harmadszor, megfigyelhető a biometrikus anyagok – mint például (de nem kizárólag) a DNS-anyagok – jóval szélesebb körű használata felé mutató tendencia. Az ezen anyagokból nyert személyes adatok használata által jelentett sajátos kihívások befolyásolhatják az adatvédelemre vonatkozó jogszabályokat.

37.

Negyedszer, el kell ismerni azt, hogy maga a társadalom is változik, és egyre több, a bekamerázott társadalomra jellemző elemre tesz szert (15). E fejlemény kapcsán sarkalatos vitára van szükség. Ebben a vitában a központi kérdés az lenne, hogy elkerülhetetlen fejleményről van-e szó, hogy az európai jogalkotónak feladata-e beavatkozni ebbe a fejleménybe és feladata-e korlátozni azt, hogy az európai jogalkotó hozhat-e hatékony intézkedéseket, és ha igen, milyen módon stb.

38.

A közlemény korlátozott figyelmet szentel a magánélet globális szintű védelme és a joghatóság perspektívájának. Ebben az összefüggésben az egyetlen szándék az, hogy a Bizottság továbbra is nyomon kövesse a nemzetközi színteret, és hozzájáruljon ahhoz, hogy így biztosítsa a tagállamok kötelezettségvállalásai és az irányelvből eredő kötelezettségeik közötti koherenciát. Emellett a közlemény felsorol számos, a nemzetközi adattovábbítás követelményeinek egyszerűsítése érdekében végrehajtott tevékenységet (lásd a vélemény III. fejezetét).

39.

Az európai adatvédelmi biztos sajnálatát fejezi ki amiatt, hogy e perspektíva nem kapott hangsúlyosabb szerepet a közleményben.

40.

Az irányelv IV. fejezete (25. és 26. cikk) az általános adatvédelmi szabályokon túl különleges rendszert vezet be a harmadik országokba irányuló adattovábbításra. Ezt a különleges rendszert azzal a szándékkal dolgozták ki az évek során, hogy méltányos egyensúlyt teremtsenek azon egyének védelme, akiknek az adatait harmadik országokba kell továbbítani, valamint többek között a nemzetközi kereskedelem szükségletei és a globális telekommunikációs hálózatok valósága között. A megfelelőségre vonatkozó megállapítások, az általános szerződési feltételek, a kötelező erejű vállalati szabályok stb. révén a Bizottság és a munkacsoport (16), de például a Nemzetközi Kereskedelmi Kamara is nagy erőfeszítéseket tett e rendszer működőképessé tétele érdekében.

41.

A rendszer internetre való alkalmazhatósága tekintetében különleges jelentőségű a Bíróság által a Lindqvist-ügyben (17) hozott ítélet. A Bíróság rámutat az interneten található információk helyfüggetlen jellegére, és úgy határoz, hogy az adatok internetes oldalra való feltöltése mint olyan nem minősül harmadik országba irányuló adattovábbításnak, még akkor sem, ha ezáltal az említett adatok harmadik országbeli személyek számára a hozzáféréshez szükséges technikai eszközök segítségével hozzáférhetővé válnak.

42.

Ez a rendszer az Európai Unió területi korlátainak logikus és szükséges következményeként egy olyan hálózatosított társadalomban, ahol a fizikai határok jelentőségüket vesztik, nem biztosít teljes körű védelmet az európai adatalanyok számára (lásd a vélemény 6. pontjában említett példákat): az interneten található információ helyfüggetlen jellegű, az európai jogalkotó hatásköre viszont nem helyfüggetlen.

43.

A kihívás abban áll majd, hogy olyan gyakorlati megoldásokat találjanak, amelyek az európai adatalanyok védelmének szükségességét összeegyeztetik az Európai Unió és tagállamai területi korlátaival. Az európai adatvédelmi biztos „A szabadságon, a biztonságon és a jog érvényesülésén alapuló térség külső dimenziójára vonatkozó stratégia” című bizottsági közleményhez fűzött észrevételeiben már ösztönözte a Bizottságot arra, hogy vállaljon proaktív szerepet a személyes adatok védelmének nemzetközi szintű előmozdításában azáltal, hogy támogatja az Európai Unió és a harmadik országok közötti kétoldalú és többoldalú megközelítéseket, valamint az egyéb nemzetközi szervezetekkel való együttműködést (18).

44.

E gyakorlati megoldások magukban foglalják a következőket:

45.

E megoldások közül egyik sem új. Szükség van ugyanakkor egy olyan elképzelésre, amely megmutatja, hogy miként lehet ezeket a módszereket a lehető leghatékonyabb módon, eredményesen felhasználni, valamint hogy miként lehet biztosítani, hogy az Európai Unióban alapvető jognak minősülő adatvédelmi előírások egy globális, hálózatosított társadalomban is hatékonyan működjenek. Az európai adatvédelmi biztos felkéri a Bizottságot, hogy a legfontosabb érdekelt felekkel együtt kezdjen el kidolgozni egy ilyen elképzelést.

46.

A közlemény különös figyelmet fordít a közérdek által támasztott – különösen a biztonságra vonatkozó – követelményekre. Elmagyarázza az irányelv 3. cikkének (2) bekezdését és e rendelkezésnek a Bíróság által a PNR-ítéletben (19) adott értelmezését, valamint az irányelv 13. cikkét, többek között az Emberi Jogok Európai Bíróságának ítélkezési gyakorlatához kapcsolódóan. A közlemény továbbá hangsúlyozza, hogy a Bizottság a biztonság fenntartását biztosító intézkedések és az alku tárgyát nem képező alapvető jogok közötti egyensúly megteremtésekor biztosítja, hogy az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke szerint védi a személyes adatokat. Ez a kiindulási pont az Amerikai Egyesült Államokkal folytatott transzatlanti párbeszédre is vonatkozik.

47.

Az európai adatvédelmi biztos szerint fontos, hogy a Bizottság az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben biztosított egyértelmű módon ismételje meg az Uniónak az alapvető jogok tiszteletben tartására vonatkozó, az EUSz. 6. cikke szerinti kötelezettségeit. Ez a kijelentés annál is inkább fontosabb most, hogy az Európai Tanács úgy határozott, hogy az Európai Unió Alapjogi Chartája a reformszerződés értelmében jogilag kötelező erejű lesz. A Charta 8. cikke kimondja, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

48.

Közismert tény, hogy a bűnüldözés által támasztott azon igény, hogy a bűncselekmények leküzdéséhez – nem is beszélve a terrorizmus elleni küzdelemről – egyre növekvő mértékben használjanak fel személyes adatokat, azzal a kockázattal jár, hogy a polgárok védelmének szintje gyengül, és akár az emberi jogok és alapvető szabadságok védelméről szóló európai egyezményben és/vagy az Európa Tanács 108. egyezményében (20) biztosított szint alá is csökkenhet. Ez az aggodalom képezte az európai adatvédelmi biztosnak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló tanácsi kerethatározati javaslatra vonatkozó, 2007. április 27-án kibocsátott harmadik véleményének egyik fő elemét.

49.

Ebben az összefüggésben alapvető fontosságú, hogy a bűnüldözés által támasztott igényekkel kapcsolatban is az irányelv által biztosított védelmi szint jelentse a polgárok védelmének alapját. Az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény és a 108. egyezmény minimális szintű védelmet biztosít, de nem biztosítja a szükséges pontosságot. A polgárok megfelelő szintű védelmének biztosítása érdekében ezeken túl kiegészítő intézkedésekre volt szükség. Ez a szükség jelentette az irányelv 1995-ös elfogadásához vezető egyik fő húzóerőt (21).

50.

Ugyanilyen fontos, hogy ez a védelmi szint hatékonyan biztosítva legyen minden olyan helyzetben, amikor személyes adatot dolgoznak fel bűnüldözési céllal. Habár ez a közlemény nem foglalkozik a harmadik pillér körébe tartozó adatfeldolgozással, mégis joggal foglalkozik azokkal a helyzetekkel, amikor kereskedelmi céllal gyűjtött (és feldolgozott) adatokat bűnüldözési célokra használnak fel. Ezek a helyzetek egyre gyakrabban fordulnak elő, lévén, hogy a rendőrségi munka egyre nagyobb mértékben támaszkodik a harmadik felek birtokában lévő információk elérhetőségére. A 2006/24/EK irányelv (22) jelenti a legjobb példát erre a tendenciára: ez az irányelv arra kötelezi az elektronikus hírközlési szolgáltatókat, hogy bűnüldözési célokból (hosszabb ideig) tárolják a kereskedelmi céllal gyűjtött (és tárolt) adatokat. Az európai adatvédelmi biztos szerint teljes mértékben biztosítani kell, hogy az irányelv alkalmazási körén belül gyűjtött és feldolgozott személyes adatok megfelelő védelemben részesüljenek, amikor azokat közérdekű célokra, és különösen a biztonság érdekében, valamint a terrorizmus elleni harc céljából használják fel. Néhány esetben azonban ez utóbbi célok az irányelv alkalmazási körén kívül eshetnek.

51.

Ezek az észrevételek a Bizottsághoz intézett következő javaslatokhoz vezetnek:

52.

A Bizottság a közleményben érinti az alkotmányszerződés által az adatvédelem területére gyakorolt – rendkívül nagy – hatást. A szerződés – amely alatt már a reformszerződés értendő – valóban alapvető jelentőségű lesz ezen a területen. A szerződés a pillérstruktúra végét jelenti, az adatvédelemre vonatkozó rendelkezést (jelenleg az EK-Szerződés 286. cikke) egyértelművé teszik, az Európai Unió Alapjogi Chartája pedig, amelynek 8. cikke adatvédelmi rendelkezést tartalmaz, jogilag kötelező erejű eszközzé válik.

53.

A kormányközi konferencia (KK) felhatalmazása különös figyelmet fordít az adatvédelemre. A 19. pont f) alpontja alapvetően három megállapítást tesz. Először is, az adatvédelemre vonatkozó általános szabályok nem érintik a KKBP-címben (a jelenlegi második pillér) elfogadott külön szabályokat; másodszor, nyilatkozatot fogadnak el a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén (a jelenlegi harmadik pillér) megvalósuló adatvédelemről; és harmadszor, a vonatkozó jegyzőkönyvekben külön rendelkezéseket fogadnak el az egyes tagállamok helyzetéről (ez az elem főként az Egyesült Királyságnak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés tekintetében fennálló különleges helyzetéhez kapcsolódik).

54.

A második elem (a nyilatkozat) az, amelyet a kormányközi konferencián majd pontosítani kell. Az irányelvben foglalt adatvédelmi elvek lehető legszélesebb körű alkalmazásának biztosítása érdekében kellőképpen figyelembe kell venni a pillérstruktúra felszámolásának következményeit és az irányelvnek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre való esetleges alkalmazhatóságát. Az e kérdéssel kapcsolatos további részletek megvitatására nem ez a megfelelő hely. Az európai adatvédelmi biztos a kormányközi konferencia elnökségéhez címzett levelében javaslatokat terjesztett elő a nyilatkozatra vonatkozóan (25).

55.

A közlemény az irányelv jövőbeli jobb végrehajtására használható számos eszközre és intézkedésre utal. Az európai adatvédelmi biztos észrevételeket kíván tenni ezekkel kapcsolatban, miközben a közleményben nem említett egyéb kiegészítő eszközöket is feltár.

56.

Egyes esetekben uniós szinten egyedi jogalkotásra lehet szükség. Ezen belül, az irányelvben megfogalmazott elveknek a technológiák által felvetett kérdésekhez való hozzáigazításához ágazati jogszabályok bizonyulhatnak szükségesnek, ahogyan az a magánélet távközlési ágazatban megvalósuló védelméről szóló irányelvekben is történt. Az olyan területeken, mint például az RFID-technológia, gondosan mérlegelni kell az egyedi jogszabályok alkalmazását.

57.

A közleményben említett eszközök közül a leghatásosabb a jogsértési eljárás. A közlemény egy aggodalomra okot adó konkrét területet határoz meg, nevezetesen az adatvédelmi hatóságok függetlenségének és hatáskörének kérdését, más területeket pedig csak nagy vonalakban említ meg. Az európai adatvédelmi biztos osztja azt a véleményt, hogy a jogsértési eljárások alapvető és elkerülhetetlen eszközt jelentenek, ha a tagállamok nem rendelkeznek az irányelv teljes körű végrehajtásáról, figyelembe véve különösen azt a tényt, hogy már csaknem kilenc év telt el az irányelv végrehajtására megállapított határidő lejárta óta, valamint azt, hogy már a munkaprogramban megállapított strukturált párbeszédre is sor került. Mindazonáltal a mai napig egyetlen eljárás sem indult a Bíróságon a 95/46/EK irányelv megsértése miatt.

58.

A valamennyi olyan esetről készült összehasonlító elemzés (26), ahol fennáll a hibás vagy nem teljes átültetés gyanúja, valamint az értelmező közlemény minden bizonnyal javíthatja a Szerződések őreként fellépő Bizottság szerepének koherenciáját. Mindazonáltal ezen eszközök kidolgozása – ami némi időbe és erőfeszítésbe kerülhet – nem késleltetheti a jogsértési eljárásokat azokon a területeken, ahol a Bizottság már egyértelműen megállapította a helytelen átültetést vagy gyakorlatot.

59.

A európai adatvédelmi biztos ezért arra ösztönzi a Bizottságot, hogy – amennyiben szükséges – jogsértési eljárások révén törekedjen az irányelv jobb végrehajtására. Az európai adatvédelmi biztos ebben az összefüggésben élni fog a Bíróságon való beavatkozásra vonatkozó hatáskörével annak érdekében, hogy adott esetben beavatkozzon a 95/46/EK irányelv végrehajtásához vagy a személyes adatok védelmének területén elfogadott egyéb jogi eszközökhöz kapcsolódó jogsértési eljárásokba.

60.

A közlemény néhány rendelkezéssel kapcsolatban egy olyan értelmező közleményre is utal, amelyben a Bizottság pontosítani fogja az irányelv azon rendelkezéseire vonatkozó értelmezését, amelyek végrehajtása problematikusnak bizonyult, és így jogsértési eljárásokat eredményezhet. Az európai adatvédelmi biztos üdvözli, hogy a Bizottság ebben az összefüggésben figyelembe veszi a munkacsoport által az értelmezés kapcsán végzett munkát. Valóban alapvető fontosságú, hogy a soron következő értelmező közlemény megfogalmazásakor kellőképpen figyelembe vegyék a munkacsoport álláspontját, és megfelelően konzultáljanak a munkacsoporttal annak érdekében, hogy annak tapasztalatát hasznosítsák az irányelv nemzeti szintű alkalmazása során.

61.

Ezen túlmenően az európai adatvédelmi biztos megerősíti, készen áll arra, hogy a személyes adatok védelméhez kapcsolódó valamennyi kérdésben tanácsot adjon a Bizottságnak. Ez azon eszközökre is vonatkozik, amelyek nem kötelező erejűek, de ennek ellenére céljuk a személyes adatok védelmének területére vonatkozó közösségi politika meghatározása – ilyen eszközök például a bizottsági közlemények. A közlemények esetében az európai adatvédelmi biztossal még az értelmező közlemény elfogadása előtt kell konzultálni annak érdekében, hogy ez a tanácsadó szerep hatékony lehessen (27). A WP29 és az európai adatvédelmi biztos tanácsadó szerepe egyaránt hozzáadott értéket nyújt e közleményhez, miközben megőrzi a Bizottság függetlenségét abban, hogy önállóan dönthessen az irányelv végrehajtásához kapcsolódó jogsértési eljárások hivatalos megindításáról.

62.

Az európai adatvédelmi biztos üdvözli, hogy a közlemény csak korlátozott számú cikkel foglalkozik, így lehetővé téve az érzékenyebb kérdésekre való összpontosítást. E tekintetben az európai adatvédelmi biztos felhívja a Bizottság figyelmét a következő, az értelmező közleményben különleges figyelmet érdemlő kérdésekre:

63.

Az egyéb, nem kötelező erejű eszközöknek proaktív módon kell fejleszteniük az adatvédelem elveinek való megfelelést, különösen az új technológiai környezetekben. Az intézkedéseknek „a magánélet megtervezett védelme” („privacy by design”) elnevezésű koncepcióra kell épülniük, biztosítva, hogy az új technológiák szerkezetének kidolgozására és kialakítására az adatvédelmi elvek megfelelő figyelembevétele mellett kerüljön sor. A magánélet védelmét tiszteletben tartó technológiai termékek előmozdításának kulcsfontosságú szerepet kell játszania egy olyan környezetben, ahol a helyfüggetlen számítástechnika gyors fejlődést mutat.

64.

Ehhez szorosan kapcsolódik annak szükséges volta, hogy kibővítsék az adatvédelmi jogszabályok érvényesítésében érdekelt felek körét. Egyrészről, az európai adatvédelmi biztos határozottan támogatja a hatásköreiket és a 29. cikk alapján létrehozott munkacsoporton belüli koordinációs lehetőségeket teljes mértékben kihasználó adatvédelmi hatóságok által az irányelvben megfogalmazott elvek érvényesítésében játszott alapvető szerepet. Az irányelv hatékonyabb érvényesítése egyike a londoni kezdeményezésben megfogalmazott célkitűzéseknek is.

65.

Másrészről, az európai adatvédelmi biztos hangsúlyozza azt, hogy az adatvédelmi elvek magánfelek általi érvényesítését önszabályozás és verseny révén kellene előmozdítani. Az ipart ösztönözni kellene az adatvédelmi elvek végrehajtására és arra, hogy versenyezzen a magánélet védelmét tiszteletben tartó termékek és szolgáltatások fejlesztése terén, hogy ezáltal – az adatvédelmet fontosnak tartó fogyasztók elvárásainak való jobb megfelelés révén – növelhesse piaci szerepét. Ebben az összefüggésben jó példát jelenthetnek az adatvédelmi bizalompecsétek, amelyeket tanúsítási eljárásnak alávetett termékek és szolgáltatások kaphatnak meg (29).

66.

Az európai adatvédelmi biztos fel szeretné hívni a Bizottság figyelmét azon egyéb eszközökre is, amelyek annak ellenére, hogy a közlemény nem említi őket, hasznosnak bizonyulhatnak az irányelv jobb végrehajtása szempontjából. Az adatvédelmi hatóságokat az adatvédelmi jogszabályok jobb érvényesítésében segítő ilyen eszközök például a következők:

67.

Az európai adatvédelmi biztos utolsó pontként olyan egyéb eszközökre utal, amelyek a közleményben nem szerepelnek, de amelyeket figyelembe lehetne venni az irányelv jövőbeli módosításakor, vagy amelyeket fel lehetne venni egyéb horizontális jogszabályokba – ezek közül is különösen a következőkre:

68.

Több intézményi szereplő rendelkezik az irányelv végrehajtásához kapcsolódó feladatokkal. Az irányelv 28. cikke értelmében a tagállami felügyelő hatóságok felelnek az irányelvet átültető nemzeti rendelkezések tagállami alkalmazásának ellenőrzéséért. A 29. cikk létrehozza a felügyelő hatóságok munkacsoportját, a 30. cikk pedig felsorolja annak feladatait. A 31. cikk értelmében az intézkedések közösségi szinten való végrehajtása tekintetében a Bizottságot a tagállamok kormányainak képviselőiből álló bizottság (komitológiai bizottság) segíti.

69.

A különböző szereplők feladatai jobb meghatározásának szükségessége különösen igaz a munkacsoport (tevékenységei) tekintetében. A 30. cikk (1) bekezdése felsorolja a munkacsoport négy feladatát, amelyek úgy foglalhatók össze, mint az irányelv nemzeti szinten való alkalmazásának vizsgálata az egységesség jegyében, valamint véleménynyilvánítás az alábbi közösségi szintű fejleményekről: a védelem szintje, jogalkotási javaslatok és eljárási szabályzat. Ez a lista érzékelteti, hogy a munkacsoport széles körű felelősséggel rendelkezik az adatvédelem területén, ugyancsak ezt szemléltetik a munkacsoport által az évek során készített dokumentumok.

70.

A közlemény szerint a munkacsoport „nagyon fontos tényező a jobb és koherensebb végrehajtás biztosításához”. Az európai adatvédelmi biztos teljes mértékben osztja ezt a megállapítást, ugyanakkor a feladatok néhány konkrét elemének pontosítását is szükségesnek tartja.

71.

Először is, a közlemény a munkacsoport által nyújtott hozzájárulás javítására szólít fel, lévén, hogy a nemzeti hatóságoknak törekedniük kell arra, hogy nemzeti gyakorlataikat a közös irányvonalhoz igazítsák (30). Az európai adatvédelmi biztos üdvözli e kijelentés szándékát, de óva int a feladatok összecserélésétől. Az EK-Szerződés 211. cikke értelmében a Bizottság feladata, hogy ellenőrizze, a tagállamok – a felügyelő hatóságokat is beleértve – teljesítik-e kötelezettségeiket. A munkacsoport mint független tanácsadó szerv nem tartozhat felelősséggel az általa adott vélemények nemzeti hatóságok általi alkalmazásáért.

72.

Másodszor, a Bizottságnak tisztában kell lennie azzal, hogy a munkacsoporton belül különböző szerepei vannak, hiszen nem csak tagja a munkacsoportnak, de annak titkárságát is ő biztosítja. Titkársági feladatainak ellátása során úgy kell támogatnia a munkacsoportot, hogy az független módon végezhesse munkáját. Ez lényegében két dolgot jelent: a Bizottságnak biztosítania kell a szükséges forrásokat, a titkárságnak pedig a munkacsoport tevékenységeinek tartalmát, körét és eredményének jellegét tekintve a munkacsoport és annak elnöke utasításait követve kell működnie. Általánosabban fogalmazva: a Bizottság egyéb, a közösségi jog szerinti feladatainak ellátása során végzett tevékenységei nem akadályozhatják őt abban, hogy ellássa titkársági feladatait.

73.

Harmadszor, habár a munkacsoport prioritásainak kijelölése magára a munkacsoportra van bízva, a Bizottság jelezheti, hogy mit vár el a munkacsoporttól, valamint hogy megítélése szerint miként lehet a legjobban felhasználni a rendelkezésre álló forrásokat.

74.

Negyedszer, az európai adatvédelmi biztos sajnálatát fejezi ki amiatt, hogy a közlemény nem ad egyértelmű útmutatást a szerepek Bizottság és munkacsoport közötti felosztására vonatkozóan. Az európai adatvédelmi biztos felkéri a Bizottságot, hogy nyújtson be a munkacsoporthoz egy ilyen útmutatást tartalmazó dokumentumot. Az európai adatvédelmi biztos a következő pontok felvételét javasolja e dokumentumba:

75.

Az európai adatvédelmi biztos osztja a Bizottság fő következtetését, miszerint az irányelvet rövid távon nem kell módosítani. Ezt a következtetést meg lehetne erősíteni azáltal, hogy azt az irányelv jellegére és az Unió jogalkotási politikájára is alapoznák.

76.

Az európai adatvédelmi biztos a következőkből indul ki:

77.

A jövőbeli változtatások fő elemei a következők:

78.

Az európai adatvédelmi biztos javasolja, hogy a Bizottság határozza meg közelebbről a következőket: a közlemény 3. fejezetében említett tevékenységekre vonatkozó ütemterv; az irányelv alkalmazásáról szóló következő jelentésre vonatkozó határidő; az előirányzott tevékenységek végrehajtásának értékelésére vonatkozó megbízás; a hosszú távon követendő útra vonatkozó utalások.

79.

Az európai adatvédelmi biztos fontos első lépésként üdvözli a technológiára vonatkozó megközelítést, és azt javasolja, hogy kezdődjön meg a hosszú távú megközelítésről szóló megbeszélés, amelybe többek között a bekamerázott társadalom fejlődéséről szóló sarkalatos vita is beletartozik. Az európai adatvédelmi biztos üdvözli továbbá a 2002/58/EK irányelv folyamatban lévő felülvizsgálatát, valamint az olyan új technológiák, mint például az internet és a rádiófrekvenciás azonosítás (RFID) által felvetett adatvédelmi kérdések megválaszolását lehetővé tévő specifikusabb szabályok esetleges szükségességét. Ezen intézkedéseknek a dinamikus környezet teljes egészét kellene figyelembe venniük, és hosszú távon a 95/46/EK irányelvre is ki kellene terjedniük.

80.

Az európai adatvédelmi biztos sajnálatát fejezi ki amiatt, hogy a magánélet globális szintű védelmének és a joghatóságnak a perspektívája korlátozott szerepet játszik a közleményben, és olyan gyakorlati megoldásokra hív fel, amelyek az európai adatalanyok védelmének szükségességét összeegyeztetik az Európai Unió és tagállamai területi korlátaival, mint például: az adatvédelem globális keretének továbbfejlesztése; a harmadik országokba irányuló adattovábbításra vonatkozó különleges rendszer továbbfejlesztése; a joghatóságról szóló nemzetközi megállapodások vagy harmadik országokkal kötött hasonló megállapodások; a globális megfelelést célzó mechanizmusokba való beruházások, mint például a kötelező erejű vállalati szabályok multinacionális vállalatok általi alkalmazása.

Az európai adatvédelmi biztos felkéri a Bizottságot, hogy a legfontosabb érdekelt felekkel együtt kezdjen el kidolgozni egy erre a perspektívára vonatkozó elképzelést.

81.

Az európai adatvédelmi biztos a bűnüldözés tekintetében a következő javaslatokat teszi a Bizottságnak:

82.

Az irányelv teljes körű végrehajtása azt jelenti, hogy 1. biztosítani kell, hogy a tagállamok teljes mértékben megfeleljenek az európai jog szerinti kötelezettségeiknek és 2. teljes körűen alkalmazni kell azokat az egyéb, nem kötelező erejű eszközöket, amelyek hozzájárulhatnak az adatvédelem magas és harmonizált szintjéhez. Az európai adatvédelmi biztos arra kéri a Bizottságot, hogy egyértelműen jelezze, miként fogja felhasználni a különböző eszközöket, valamint azt is, hogy milyen módon különbözteti meg saját feladatait a munkacsoport feladataitól.

83.

Ami ezen eszközöket illeti:

84.

Az európai adatvédelmi biztos felkéri a Bizottságot, hogy nyújtson be egy olyan dokumentumot a munkacsoportnak, amely egyértelmű útmutatást ad a szerepeknek a Bizottság és a munkacsoport közötti felosztására vonatkozóan és az alábbi elemeket is tartalmazza:

85.

Az irányelvben foglalt adatvédelmi elvek lehető legszélesebb körű alkalmazásának biztosítása érdekében kellőképpen figyelembe kell venni a reformszerződés következményeit. Az európai adatvédelmi biztos a kormányközi konferencia elnökségéhez címzett levelében javaslatokat terjesztett elő.