A Bizottság jelentése a belső piaci információs rendszer adatvédelmi helyzetéről /* COM/2010/0170 végleges */
[pic] | EURÓPAI BIZOTTSÁG | Brüsszel, 2010.4.22. COM(2010)170 végleges A BIZOTTSÁG JELENTÉSE a belső piaci információs rendszer adatvédelmi helyzetéről A BIZOTTSÁG JELENTÉSE a belső piaci információs rendszer adatvédelmi helyzetéről ÖSSZEFOGLALÓ A Bizottság a belső piaci információs (IMI) rendszeren belül a személyes jogok és szabadságok biztosítását a személyes adatok (a továbbiakban „adatvédelem”) tekintetében kielégítőnek találja. Az IMI biztonságos, internet alapú, többnyelvű információcsere-rendszer, amely a tagállamok számára az igazgatási együttműködéssel kapcsolatos feladataik ellátásában nyújt segítséget. A Bizottság az IMI-re vonatkozó adatvédelmi iránymutatásokról szóló ajánlás végrehajtását is kielégítőnek találja. A tagállamok adatvédelmi problémákról egyelőre nem számoltak be. Ez indokolja azt az európai adatvédelmi biztossal is egyeztetett fokozatos megközelítést, amelyet az IMI jogi keretének a technikai fejleményekkel, illetve azzal összhangban történő kiépítése során alkalmaznak, hogy a rendszer alkalmazását a belső piaci jog egyéb területeire is kiterjesztik. A Bizottság 2010 folyamán megvizsgálja annak lehetőségét, hogy az IMI alkalmazását a belső piac egyéb területeire is kiterjesszék, és hogy további tapasztalatokat szerezzenek a rendszer gyakorlati alkalmazását illetően a szolgáltatások területén. A Bizottság 2011 első negyedévében személyzeti munkadokumentumot tesz közzé az IMI rendszer 2001. évi működéséről és fejlődéséről, az adatvédelmi vonatkozásokat is ideértve. A JELENTÉS TÁRGYA Ez a jelentés, amelyet a belső piaci információs rendszerre vonatkozó adatvédelmi iránymutatásokról szóló bizottsági ajánlás[1] („az ajánlás”) írt elő, az ajánlásnak a tagállamok és a Bizottság által történő végrehajtását vizsgálja felül, és értékeli az IMI adatvédelmi helyzetét. A jelentés kitér továbbá az ajánlásban nem szereplő újabb témákra is, ideértve különösen az új szolgáltatási irányelv kérdését. A Bizottság a jelentés elkészítése során figyelembe vette a tagállamok által egy 2009 novemberében elindított ad hoc konzultáció[2] során, illetve az IMI-koordinátorokkal való rendszeres kapcsolattartás és az IMAC-IMI (belső piac — IMI bizottság) ülésein részt vevő tagállami képviselők útján kapott visszajelzéseket. AZ IMI FEJLőDÉSE 2009 FOLYAMÁN A 2009. év kulcsszereppel bírt az IMI fejlődésében. Az IMI szakképesítésekre vonatkozó jogszabályok kapcsán történő alkalmazását húsz újabb szakmára terjesztették ki, és a legtöbb erőforrás bevonására az IMI-nek a szolgáltatási irányelv alkalmazási körére történő kiterjesztése kapcsán került sor[3]. A nemzeti IMI-koordinátorok részt vettek a szolgáltatási irányelvvel kapcsolatos információcserére irányuló kísérleti projektben (amely valós és fiktív eseteket vizsgált), illetve a brüsszeli képzéseken[4]. A Bizottság kiadta a szoftver új verzióját (1.7), amelyben az illetékes hatóságok maguk regisztrálhatnak. Az év végére a Bizottság egy időközi 2.0 verziót is kiadott, amely a riasztási mechanizmus tekintetében külön informatikai alkalmazást tartalmazott[5]. Ez az új szoftververzió 2010 első negyedévében vált teljesen működőképessé. A Bizottság és a tagállamok közös erőfeszítéseinek köszönhetően 2010. január végére 4 508 illetékes hatóság regisztrált az IMI-ben, és közülük 3 698 rendelkezett hozzáféréssel a szolgáltatásokkal kapcsolatos új területhez, habár arra számítanak, hogy számuk az elkövetkező hónapokban jelentősen megnő. A naponta bejelentkező különféle felhasználók átlagos száma 2009 januárjában még csak 40 volt, míg decemberben már 180. A negyedévenként és jogalkotási területenként elküldött kérések összes száma 2009-ben [pic] A szakképesítések területén a rendszer megérett, és páratlan sikere is azt igazolja, hogy az IMI potenciálisan az EU-n belül az igazgatási együttműködés fontos eszköze lehet. Negyedévenként átlagosan 350 kérést küldtek. A 2009-ben a szakképesítések területén küldött kérések több mint 90 %-a az EU-15-ből, vagyis a 2004 előtt csatlakozott tagállamokból érkezett, ami megfelel a munkaerő-piaci migráció irányának. Az összes kérés 32 %-ának címzettje Lengyelország és Románia volt. Ezekkel a számadatokkal kapcsolatosan fontos megjegyezni, hogy a kérések 56 %-ára egy héten belül válasz érkezett. A szakképesítésekről szóló irányelv szerinti kérések feldolgozásához szükséges idő 2009-ben Átvett kérések | Összes % | Megválaszolt kérések | Összes % | 3 napon belül | 741 | 57.0 % | 518 | 43,0 % | 1 héten belül | 216 | 73.7 % | 167 | 56,8 % | 2 héten belül | 166 | 86.5 % | 170 | 71,0 % | 4 héten belül | 120 | 95.7 % | 164 | 84,6 % | 8 héten belül | 35 | 98.4 % | 106 | 93,4 % | Több mint 8 héten belül | 21 | 100.0 % | 80 | 100,0 % | Összesen: | 1299 | 1205 | (* Az átvett, illetve a megválaszolt kérések száma közötti eltérés a visszavont vagy 2009 végén még megválaszolatlan kérések számával indokolható) AZ IMI ADATVÉDELMI HELYZETÉNEK FEJLESZTÉSE, FOKOZATOS MEGKÖZELÍTÉS Az IMI az úgynevezett „Privacy by design” (beépített adatvédelem) megközelítést alkalmazza, ami azt jelenti, hogy az adatvédelemnek való megfelelés az információkat tároló rendszereknek eleve szerves összetevője. Az adatvédelmi szempontok a rendszer napi használata során is érvényesülnek, és ezeket a képzési anyagokban is szerepeltetik, és így ez a megközelítés meghaladja a pusztán formális vagy elméleti védelem szintjét. A megközelítés láthatólag kifizetődő, hiszen az IMI kapcsán egyetlen tagállam sem számolt be adatvédelmi incidensekről, és az adatalanyok sem éltek panasszal. A Bizottság az elmúlt két év folyamán párbeszédet folytatott az adatvédelmi hatóságokkal és az európai adatvédelmi biztossal (EDPS). A fokozatos megközelítés vezérelve az volt, hogy mivel a rendszer nagyfokú technikai és eljárási adatvédelmet biztosít, és a Bizottság azt egyértelműen fejleszteni kívánja a továbbiakban is, az IMI jogi keretének követnie kell a technikai fejleményeket, illetve a rendszernek a belső piacra vonatkozó jogszabályok egyéb területein való alkalmazását. A rendszerrel kapcsolatos kevés tapasztalat alapján a fokozatos megközelítés lehetővé tette, hogy a Bizottság minden olyan aggállyal foglalkozzon, amit az EDPS 2007. december 12-i véleményében közétett, és hogy az IMI adatvédelmi kérdéseit illetően három jogalkotási szöveget fogadjon el: a) A belső piaci információs rendszernek (IMI) a személyes adatok védelme tekintetében történő végrehajtásáról szóló, 2007. december 12-i bizottsági határozat[6] b) A a belső piaci információs rendszerre (IMI) vonatkozó adatvédelmi iránymutatásokról szóló, 2009. március 26-i bizottsági ajánlás[7] c) A belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv VI. fejezete alapján a tagállamok közötti, elektronikus úton történő információcserével kapcsolatos gyakorlati intézkedések megállapításáról szóló, 2009. október 2.-i bizottsági határozat[8]. E jelentés 6. szakasza foglalkozik a további kérdésekkel és a jövőbeli intézkedések tartalmával és időszerűségével, ideértve egy jogalkotási eszköz esetleges elfogadását is. A BIZOTTSÁGI AJÁNLÁS VÉGREHAJTÁSA Tagállami fejlesztések Kapcsolat az adatvédelmi hatóságokkal Az ajánlás ösztönzi „ a nemzeti IMI-koordinátorokat a nemzeti adatvédelmi hatóságokkal történő kapcsolatfelvételre az iránymutatások nemzeti jog szerinti legmegfelelőbb alkalmazásával kapcsolatos tájékoztatás és segítségnyújtás érdekében .” A Bizottságnak benyújtott jelentésében a legtöbb tagállam úgy nyilatkozott, hogy konzultált nemzeti adatvédelmi hatóságaival. Ezek a konzultációk bizonyosságot jelentettek az IMI felhasználói számára azt illetően, hogy a személyes adatok IMI-n belüli megosztására az adatvédelmi jogszabályokkal összhangban kerül sor, ugyanakkor pedig ilyen módon a nemzeti szabályozók működőképes kapcsolatot építhetnek ki a közigazgatás azon képviselőivel, akik kiemelten fontosnak tartják az adatvédelem kérdését, és elkötelezettek aziránt, hogy ezt a valóban európai projektet sikerre vigyék. Adatvédelmi nyilatkozatok Az EDPS javaslatára az ajánlás arra is ösztönzi az IMI-koordinátorokat, hogy az adatvédelmi nyilatkozatok tartalmát vitassák meg a helyi adatvédelmi hatóságokkal. Az ajánlás ebben a kérdésben nem lehetett túl részletes, mivel a kérdést az adatvédelmi irányelv már teljes mértékben harmonizálta, és a tagállamok egyes rendelkezések végrehajtását illetően bizonyos mértékű mérlegelési jogkörrel rendelkeznek. A tagállami jelentések megerősítik, hogy az adatvédelmi nyilatkozatok tartalmát és formátumát illetően a nemzeti gyakorlatok eltérőek. A tagállamok némi többséggel arra az álláspontra helyezkedtek, hogy a megfelelő formátumról és az egyének számára nyújtandó tájékoztatás tartalmáról az egyes illetékes hatóságoknak kell dönteni helyi szinten, a helyi jogszabályoknak megfelelően. Ehhez képest bizonyos tagállamokban az egész tagállam tekintetében kiigazítható modelleket javasolnak[9]. Tudatosság és képzés Az ajánlás egyik legfontosabb eredménye az, hogy az IMI szereplői és felhasználói körében megnőtt az adatvédelemmel kapcsolatos tudatosság, mivel megismerkedhettek az általános adatvédelmi elvekkel, emellett pedig gyakorlati javaslatokat is kaptak arra, hogyan garantálhatnak magas szintű adatvédelmet az IMI-ben. Az ajánlásnak köszönhetően az illetékes hatóságoknak szánt, az IMI-vel kapcsolatos képzési anyagokban az adatvédelmi iránymutatásokra is hivatkoznak. A Bizottság fejlesztései Az IMI biztonsági terve Az adatbiztonságot és a titoktartást az Európai Bizottság informatikai rendszereinek biztonságára vonatkozó szabályokról szóló, 2006. augusztus 16-i bizottsági határozat[10] szabályozza. Ezt a határozatot a 2009-ben elfogadott végrehajtási szabályokkal, továbbá a nemzetközi szabványoknak nagyjából megfelelő, legújabb iránymutatásokkal és szabványokkal frissítették. Az IMI biztonsági intézkedéseit megfelelően felülvizsgálták és frissítették, és 2009 folyamán átfogó biztonsági tervet készítettek, amelyet 2010 folyamán felülvizsgálnak. Technikai fejlesztések Ha az információcsere érzékeny adatokat érint, a képernyőn figyelmeztetés jelenik meg az információ érzékeny minősítéséről, illetve arról, hogy az adatkezelő ezt az információt csak akkor kérheti ki, ha az elengedhetetlenül szükséges, és közvetlenül kapcsolódik a szakmai tevékenység gyakorlásához vagy egy adott szolgáltatás ellátásához. Az adatvédelmi megfontolásokat az új riasztási mechanizmus kialakítása és végrehajtása során is teljes mértékben figyelembe vették (lásd az alábbi 5.2.3.2. szakaszt). Az IMI weboldalát is fejlesztették, és így a felhasználók könnyebben megtalálhatják a szükséges dokumentumokat. Az adatvédelemre vonatkozó részt[11] frissítették, és kiegészítették minden adatvédelmi vonatkozású jogi szöveggel, az EDPS-szel való levelezéssel és a rendszerben használt kérdéscsoportokkal. Az EDPS javaslatára az átláthatóság érdekében azonosították az érzékeny adatokat érintő kérdéseket. A szolgáltatási irányelv új jogalkotási területe Az IMI felhasználása a szolgáltatási irányelv vonatkozásában A szolgáltatási irányelv kifejezetten nem utal az IMI-re (általánosságban azonban utal egy elektronikus információcsere-rendszerre). Formálisan elő kellett tehát írni, hogy erre a célra az IMI-t használják. Erre a Bizottság által a szolgáltatási irányelvben előírt eljárás útján elfogadott határozat[12] („komitológiai határozat”) útján került sor. Ez a komitológiai határozat gyakorlati rendszert határoz meg az IMI-n belül a szolgáltatásokkal kapcsolatos információcserére. Hozzájárul a rendszer által biztosított magas szintű adatvédelemhez, fokozza az átláthatóságot és a pontosságot a 2008/49/EK határozat, illetve az ajánlásban szereplő adatvédelmi iránymutatások általános szabályai tekintetében. A további adatvédelmi biztosítékokról szükség esetén később kell határozni, a rendszerrel kapcsolatos tapasztalatok alapján[13]. A riasztási mechanizmus adatvédelmet elősegítő kialakítása A riasztási mechanizmus a szolgáltatási irányelv 29. cikkének (3) bekezdésében és 32. cikkében előírt figyelmeztető mechanizmus, amely a termékekre vonatkozó RAPEX rendszert egészíti ki. Célja az, hogy a címzettek számára kiküszöbölje a szolgáltatásokkal kapcsolatos kockázatokat. A tagállamok a riasztási mechanizmus használatával eleget tesznek az információcserére vonatkozó jogi kötelezettségnek, ezért ez adatvédelmi szempontból teljes mértékben jogszerű. A Bizottság mindazonáltal tisztában van az ilyen rendszerek adatvédelmi vonatkozásaival. A rendszer kialakításában éppen ezért nagyfokú gondosságot tanúsított, biztosítva az adatvédelem elősegítését, és arra ösztönzi a tagállamokat – amelyek a riasztások küldése vagy fogadása során adatvédelmi felelősséggel bírnak –, hogy ügyeljenek a szabályok megfelelő alkalmazására. A riasztási mechanizmus számtalan adatvédelmi biztosítékot tartalmaz, melyek az IMI rendszer általános jellemzői, emellett pedig egyedi biztosítékokról is rendelkezik, amelyek célja a következők biztosítása: a) Az adatokhoz való hozzáférést csak bizonyos illetékes hatóságoknak / felhasználóknak engedélyezik Az IMI átfogó megközelítésével összhangban a riasztási mechanizmus szerinti információhoz való hozzáférést kizárólag a feltétlenül szükséges mértékre korlátozzák. Az illetékes hatóságok és az IMI felhasználói csak akkor férnek hozzá a riasztásokhoz, ha a tagállamok számukra nem csupán általában az IMI-hez, hanem a riasztásokra vonatkozó egyedi alkalmazáshoz is hozzáférést engedélyeztek. Az illetékes hatóságok és az IMI felhasználói alapesetben nem küldhetnek és fogadhatnak riasztásokat. Ezt a funkciót külön kell aktiválni. b) Szükségtelen riasztásokat nem küldenek A riasztás küldésének a feltétele egy ellenőrző lista kitöltése, amivel biztosítható a kritériumok teljesülése, pl. hogy egy szolgáltatási tevékenységgel kapcsolatosan valóban olyan súlyosabb események vagy körülmények merültek fel, amelyek komoly károkat okozhatnak. Amennyiben a kezdeményező hatóság nem ellenőrzi valamennyi feltétel teljesülését, a rendszer a riasztás küldését nem teszi lehetővé. A riasztást továbbá nem közvetlenül küldik ki a többi tagállamnak, hanem először ugyanazon tagállam riasztási koordinátorának küldik el. Ez a riasztási koordinátor még egyszer megvizsgálja, hogy a riasztást valóban el kell-e küldeni a többi tagállam számára. c) A riasztásokat csak annyi címzettnek küldik ki, amennyi a jogszabályban előírt tájékoztatási követelmények teljesítéséhez szükséges Ha riasztást küldenek más tagállamoknak, a kezdeményező hatóságnak és a riasztási koordinátornak értékelnie kell, hogy azt mely tagállamoknak kell megkapnia. Ha az a tagállam, ahol a szolgáltatást nyújtják, riasztást kíván küldeni, ezt alapesetben csak a szolgáltatásnyújtó székhelye szerinti tagállam és a Bizottság kapja meg. Ez az alapbeállítás biztosítja, hogy ha a címzettek listáját további tagállamokkal egészítik ki, erről eseti alapon szülessen döntés, a címzettek feltétlenül szükséges körét figyelembe véve. Emellett ha más tagállamoknak küldenek riasztást, ezt a címzett tagállamban nem kapja meg minden illetékes hatóság, hanem az a riasztással kapcsolatos leveleket fogadó postafiókra érkezik (ami általában a nemzeti riasztási koordinátoré). A címzett ezt követően dönt arról, hogy a tagállamban mely illetékes hatóságokat érinti az ügy, és melyeket kell bevonni. d) A Bizottság a szolgáltatási irányelvben előírt riasztások fogadása során személyes adatokhoz nem fér hozzá A szolgáltatási irányelv értelmében valamennyi riasztást meg kell küldeni a Bizottságnak, azonban a tagállamokkal ellentétben a Bizottság személyes adatokhoz nem fér hozzá. A Bizottság tehát a riasztásokat személyes adatok nélkül kapja meg. e) Az óvintézkedések ellenére elküldött megalapozatlan riasztások gyorsan visszavonhatók, a helytelen adatok pedig helyesbíthetők vagy törölhetők Az IMI rendszer lehetővé teszi, hogy a megalapozatlan riasztást küldő illetékes hatóság azt azonnal visszavonja, és láthatatlanná tegye valamennyi IMI-felhasználó előtt. Ha a riasztás indokolt volt, ám egyes információkat helyesbíteni kell, a kezdeményező illetékes hatóság ezt bármikor megteheti. Az IMI rendszer továbbá azt is lehetővé teszi, hogy más illetékes hatóságok, akik megkapták a riasztást, jelezzék, hogy a riasztásban szereplő egyes információk nem helytállóak. f) A riasztásokat a kockázat elmúltával azonnal lezárják; az adatok más felhasználók számára azonnal láthatatlanná válnak, a személyes adatokat pedig a lezárást követően hat hónappal törlik Amint a riasztást kiváltó kockázat elmúlt, a riasztást le kell zárni. Az IMI rendszer lehetővé teszi, hogy a létesítmény helye szerinti tagállam lezárja a riasztást, és erről a felelős hatóságok e-mailben emlékeztetőt kapnak. A riasztás lezárását követően láthatatlanná válik. A lezárást követően legkésőbb hat hónappal valamennyi személyes adatot automatikusan törölnek és eltávolítanak a rendszerből. TOVÁBBI MEGFONTOLÁSRA SZÁNT KÉRDÉSEK Habár az IMI adatvédelmi helyzetéről a legtöbb tagállam kedvezően nyilatkozott, egyes tagállamok felvetettek bizonyos kérdéseket, amelyekkel e jelentés ezen szakaszában foglalkozunk. Az adatbiztonságra és a titoktartásra vonatkozó szabályok A személyes adatok feldolgozására az IMI-ben közös feldolgozás (a Bizottság és a tagállamok), közös adatkezelés (különböző felhasználók és szereplők) és közös felügyelet (a nemzeti adatvédelmi hatóságok és az EDPS) útján kerülhet sor. Ilyen bonyolult forgatókönyv esetén nem mindig könnyű a feladatokat kiosztani. A dán és a német adatvédelmi hatóságok álláspontja az, hogy mivel a területükön található illetékes hatóságoknak eleget kell tenniük bizonyos nemzeti követelményeknek (pl. szigorúbb hitelesítési mechanizmus, lásd a következő szakaszt), ragaszkodni kell ahhoz, hogy az IMI eleget tegyen ezeknek a nemzeti követelményeknek, máskülönben a rendszer nem alkalmazható. Az illetékes hatóságok ezeket a kéréseket továbbították a Bizottságnak, amely a rendszer biztonságáért felel. A Bizottság szerint az IMI biztonságos rendszer, és egy valóban európai szintű hálózat, mint amilyen az IMI is, működésképtelen lenne, ha minden tagállam ragaszkodna ahhoz, hogy a hálózat megfeleljen saját nemzeti biztonsági szabványainak. Az adatvédelemről szóló irányelvet – majdnem húsz évvel ezelőtt – két célból fogadták el: egyrészt meg kívánták védeni az adatvédelemhez való alapvető jogot, másrészt pedig garantálni kívánták a személyes adatok szabad áramlását a tagállamok között, illetve a tagállamok és az uniós intézmények között[14]. A Bizottság tehát kitart amellett, hogy mivel az IMI rendszerben magas szintű adatvédelmi garanciák találhatók, és figyelembe véve az Európai Unióról szóló szerződés 4. cikkének (3) bekezdését, a nemzeti adatvédelmi hatóságok nem gátolhatják meg, hogy a rendszert az illetékes nemzeti hatóságok felhasználják. Szigorúbb hitelesítési rendszer megvalósítása az IMI-ben Az IMI hitelesítési rendszere az egytényezős hitelesítés fejlettebb változata, ugyanis a felhasználónév és a jelszó mellett PIN-kódot is előír. A rendszerbe való belépéskor a felhasználónak meg kell adnia a PIN-kód karaktereinek véletlenszerűen kiválasztott csoportját. A német és a dán adatvédelmi hatóságok némi aggodalomnak adtak hangot az IMI hitelesítési rendszerét illetően. A Bizottság úgy véli, hogy a jelenlegi hitelesítési mechanizmus megfelelő, figyelembe véve annak korszerűségét és végrehajtási költségeit, azonban egyetért azzal, hogy hosszú távon szigorúbb hitelesítés szükséges. Mivel a tagállamok eltérő hitelesítési rendszereket vezettek be, és ezek nem mindig átjárhatók, az IMI szigorúbb hitelesítésének kérdésében azt a megoldást részesítik előnyben, hogy a tagállami szinten kezelt elektronikus identitások „middleware” (összekötő szoftver) útján legyenek átjárhatók. Az egyik lehetőség a STORK projekt, ezt jelenleg egy olyan konzorcium fejleszti, amelyben néhány tagállam is részt vesz, és ezt a versenyképességi és innovációs keretprogram információs és kommunikációs technológiára vonatkozó politika támogatási programjából finanszírozzák. A Bizottság az elkövetkező hónapokban szorosan figyelemmel kíséri az eredményeket, mivel ezek mindenképpen szükségesek annak eldöntéséhez, hogy a projektet felhasználják-e az IMI-ben. Az adatbiztonsággal kapcsolatosan a 7.2. szakasz tartalmaz további információkat. Az adatok megőrzése Az IMI adatmegőrzési politikája igen szigorú[15], és már több szereplő és felhasználó is jelezte, hogy felülvizsgálatra szorul. A személyes adatok rendszerből való gyors törlése nem mindig szolgálja az adatalany érdekeit, mert az elképzelhető, hogy hosszabb ideig megőriztetné az adatait az IMI-ben, pl. egy bírósági eljárás miatt. Az Európai Bíróság nemrégi ítéletében[16] kimondta, hogy az információhoz való hozzáférés joga[17] nem csak a mostani adatokra, hanem a korábban tárolt adatokra is vonatkozik. A Bíróság úgy tekinti tehát, hogy ha a hozzáférést az adatok törlésével korlátozzák, ez jogellenes lehet, kivéve ha igazolható, hogy a további adatmegőrzés túlzott terhet róna az adatkezelőre. A Bizottság szerint az, hogy a személyes adatokat hosszabb ideig tárolják az IMI-ben, nem minősül túlzott tehernek, és ezért hosszabb megőrzési időszakot kíván mérlegelni, ideértve akár egy átmeneti időszakot is, amikor az adatokat a végleges törlés előtt zárolják vagy valamennyi felhasználó előtt láthatatlanná teszik. A zárolás lehetséges következményeit – kitérve arra is, hogy ki férhetett hozzá a zárolt adatokhoz és milyen célból – gondosan elemzik majd. Ez jól példázza, hogy az IMI működésére vonatkozóan egy jogilag kötelező dokumentumban előírt szabályokkal kapcsolatos döntés gondos mérlegelést igényel. Elengedhetetlen, hogy a Bizottság és a tagállamok a megfelelő adatvédelem biztosítása és az adatvédelmi hatóságoknak a folyamatba való bevonása mellett a rendszerrel kapcsolatosan elegendő tapasztalatot szerezzenek, mivel így elkerülhető az, hogy értelmetlen vagy akár kontraproduktív adatvédelmi szabályokat vezessenek meg. Az IMI nemzeti szintű felhasználása A szolgáltatási irányelv hollandiai átültetése során arról rendelkeztek, hogy az IMI-t nemzeti célokra, vagyis a holland közigazgatáson belüli információcserére is felhasználják. Az Európai Bizottság támogatja ezt a megközelítést, hiszen ez igazolja, hogy az IMI a közigazgatási szervek között is alkalmazható. A tagállamok azonban nemzeti szinten csak három feltétel teljesülése esetén használhatják az IMI-t: a) a személyes adatok bizottsági szervereken történő feldolgozását és adatok ugyanott történő megőrzését a nemzeti jog jogszerűnek ismeri el, b) a rendszert a rendelkezésre bocsátott formában használják, változatlan kérdéscsoportokkal és funkciókkal, és c) a tagállam teljes mértékben felelősséget vállal minden kérdést illetően (adatvédelmi vagy más kérdések) a rendszer nemzeti célokra történő felhasználásával kapcsolatosan. Ezért ha a tagállamok nemzeti szinten kívánják alkalmazni az IMI-t, tanácsos, hogy először nemzeti adatvédelmi hatóságaikkal konzultáljanak, majd vegyék fel a kapcsolatot a Bizottsággal a kérdés megvitatása céljából, biztosítva, hogy ezzel az adatvédelmi jogszabályok szempontjából nem merülnek fel újabb problémák. A jogilag kötelező közösségi jogszabályok egyedi adatvédelmi biztosítékai Az EDPS 2007. december 12-i véleményében és a Bizottsággal folytatott levélváltásában arra szólított fel, hogy az uniós jogszabályokba egyedi, jogilag kötelező adatvédelmi biztosítékokat kell beépíteni, mivel az IMI-t a szolgáltatási, illetve a szakképesítésekről szóló irányelv alkalmazási körén túl is bevezetik. A német adatvédelmi hatóságok hasonló nézeteknek adtak hangot. Az új Bizottság 2010-ben ismét megvizsgálja az egységes piac működését és azt, hogy az IMI hogyan járulhat hozzá a belső piaci jogszabályok tagállami végrehajtásának fejlesztéséhez. Megvizsgálja tehát, hogy az IMI alkalmazása mely egyéb szakpolitikai területek számára lehet még előnyös. Máris számos adatvédelmi intézkedés van hatályban, és a tagállami visszajelzések kedvezőek. A Bizottság úgy véli tehát, hogy nem lenne bölcs dolog jogalkotási javaslatot tenni egyrészt anélkül, hogy meghatároznák a IMI alkalmazási körét, másrészt azt megelőzően, hogy a rendszer szolgáltatásokkal kapcsolatos alkalmazásának tanulságai levonhatók. A jövőbeli javaslatoknak követniük kell ezeket a fejleményeket, hogy az IMI és az adatvédelem számára szilárd, tartós alapot lehessen biztosítani. A Bizottság időközben – az alábbiak szerint – a tagállamokkal és az EDPS-szel szoros együttműködésben továbbra is fejleszti az IMI adatvédelmi helyzetét. JÖVőBELI FEJLESZTÉSEK Technikai fejlesztések A szoftver későbbi verziójában automatikus emlékeztetőkről és a válasz elfogadásával kapcsolatos sürgősségi listákról (amelyek biztosítják, hogy a kérések csak a szükséges ideig maradjanak megválaszolatlanul) gondoskodnak. Ami az adatok helyesbítésére, zárolására vagy törlésére vonatkozó online eljárást illeti, a Bizottság – figyelembe véve, hogy eddig ilyen kérés nem érkezett és nem is igen várható a jövőben – úgy véli, hogy helyénvalóbb egy kevésbé szigorú eljárásról rendelkezni, amelyet a Bizottság adatvédelmi tisztviselőjének és az EDPS-nek a segítségével megfelelően dokumentálnak. Adatbiztonság A Bizottság a nemrég elfogadott új iránymutatásokkal és szabványokkal összhangban 2010 folyamán új kockázatértékelést végez az IMI kapcsán, és ennek megfelelően frissíti a biztonsági tervet, meghatározza a rendszer megvizsgálandó részeit, a lehetséges kockázatokat, illetve a szükséges infrastruktúrát és szoftveres teendőket. Ha a kockázatértékelés alapján további biztonsági intézkedések bevezetése szükséges, ezeket az intézkedéseket fokozatosan beépítik a jövőbeli szoftververziókba. 2011 elején továbbá külső ellenőrzésre is sor kerül, amely főképpen a rendszer teljesítményére és stabilitására összpontosít, emellett azonban adatvédelmi és biztonsági kérdésekre is kitérhet. A szakképesítésekről szóló irányelv felülvizsgálata A szakképesítésekről szóló irányelv felülvizsgálatára 2010 és 2011 folyamán kerül sor; ennek keretében értékelik az igazgatási együttműködést és az IMI alkalmazását, ideértve az adatvédelmi kérdéseket is. KÖVETKEZTETÉSEK A Bizottság kielégítőnek találja az ajánlás végrehajtását és az IMI adatvédelmi helyzetét. Mindenesetre folytatja a rendszer továbbfejlesztését, különösen a technikai és az adatbiztonsági kérdéseket illetően. A Bizottság emellett meg kívánja vizsgálni annak lehetőségét, hogy az IMI-t a belső piac más területeire is kiterjesszék, felhasználva ugyanakkor a szolgáltatásokkal kapcsolatosan szerzett további gyakorlati tapasztalatokat. Az uniós jogszabályokra irányuló jövőbeli javaslatokban figyelembe veszik ezeket a fejleményeket és gondolatokat, hogy ezzel az IMI és az adatvédelem számára szilárd, tartós alapot lehessen biztosítani. 2011 első negyedévében személyzeti munkadokumentumot tesznek közzé az IMI rendszer 2010. évi működéséről és fejlődéséről. Ez a jelentés az adatvédelemmel is foglalkozik majd. [1] C(2009) 2041 végleges. HL L 100., 2009.4.18., 12–28. o. [2] A felmérésre tizenhét tagállam válaszolt. A felmérésben az alábbi kérdéseket tették fel:- Felvette Ön a kapcsolatot a nemzeti adatvédelmi hatósággal? A hatóság kifejtette álláspontját az iránymutatás nemzeti végrehajtását illetően?- Létrehozott Ön általános adatvédelmi politikát valamennyi IMI-felhasználó vonatkozásában, vagy pedig ezt az illetékes hatóságok helyi szinten rendezik?- Az Ön tagállamának illetékes hatóságai tapasztaltak problémákat az adatvédelem kapcsán az IMI-kérések küldése vagy megválaszolása során?- Beszámoltak az Ön tagállamának illetékes hatóságai a bűnügyi nyilvántartás kezelésével kapcsolatos problémákról?- Kaptak az Ön tagállamának illetékes hatóságai hozzáférésre, törlésre vagy helyesbítésre vonatkozó kérelmet az adatalanytól?- Ismerik az Ön tagállamának illetékes hatóságai annak lehetőségét, hogy a rendszerből a személyes adatok korábban is törölhetők? Élnek ezzel a lehetőséggel?- Szerepel az adatvédelem kérdése az Önöknél az IMI-vel kapcsolatosan megrendezett képzéseken? [3] Az Európai Parlament és a Tanács 2006/123/EK irányelve (2006. december 12.) a belső piaci szolgáltatásokról, HL 376., 2006.12.27., 36–68. o. [4] A Bizottság 2009-ben három egy-egy napos képzést szervezett Brüsszelben az IMI-koordinátoroknak, és ezeken alkalmanként kb. hatvanan vettek részt. A tagállamok ezzel egyidejűleg több mint 100 képzést szerveztek az illetékes hatóságoknak helyi, regionális és nemzeti szinten. [5] Lásd a szolgáltatási irányelv 32. cikkét. [6] C(2007) 6306, HL L 13., 2008.1.16., 13–23. o. [7] C(2009) 2041 végleges, HL L 100., 2009.4.18., 12–28. o. [8] C(2009) 7493, HL L 263., 2009.10.7., 32–34. o. [9] A nemzeti adatvédelmi hatóság technikai támogatása mellett kidolgozott nemzeti modellre jó példa a spanyol IMI-csapat által készített adatvédelmi nyilatkozat ( cláusula de privacidad ):http://www.mpt.es/documentacion/sistema_IMI/documentos/protec_datos/ClausulaIMI_ES/document_es/Clausula_IMI.pdf. [10] C(2006)3602. [11] http://ec.europa.eu/internal_market/imi-net/data_protection_en.html [12] A Bizottság határozata (2009. október 2.) a belső piaci szolgáltatásokról szóló 2006/123/EK európai parlamenti és tanácsi irányelv VI. fejezete alapján a tagállamok közötti, elektronikus úton történő információcserével kapcsolatos gyakorlati intézkedések megállapításáról. [13] Lásd az ajánlás 13. fejezetét, „Folyamatban lévő munkák” alszakasz, d) pont. [14] Ezt az elvet az adatvédelmi irányelv 1. cikkének (2) bekezdése, továbbá az adatvédelmi rendelet 1. cikkének (1) bekezdése és (13) preambulumbekezdése egyértelműen megállapítja: „A cél az, hogy egyaránt biztosított legyen az egyének alapvető jogainak és szabadságainak védelmére vonatkozó szabályok tényleges érvényesülése és a személyes adatok szabad áramlása a tagállamok, valamint a közösségi intézmények és szervek között, illetve a közösségi intézmények és a közösségi szervek között a hatáskörük gyakorlásával kapcsolatos célokkal összefüggésben”. [15] A személyes adatok néhány kattintással korábban is törölhetők, viszont a tájékoztatás iránti kérés lezártát követően hat hónappal ezeket minden esetben automatikusan törlik. [16] A C-553/07. számú Rotterdam kontra Rijkeboer ügy. [17] Lásd a 95/46/EK irányelv 12. cikkének a) pontját.