29.12.2010   

HU

Az Európai Unió Hivatalos Lapja

C 355/10

1.

2010. június 15-én a Bizottság tanácsi határozatra irányuló javaslatot fogadott el az Európai Unió és az Amerikai Egyesült Államok között az Európai Unióból származó pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program (TFTP) céljából történő feldolgozásáról és az Amerikai Egyesült Államok részére való átadásáról szóló megállapodás megkötéséről (a továbbiakban: a „javaslat”). A javaslatot (az Amerikai Egyesült Államokkal kötendő megállapodás tervezetének szövegével együtt) elküldték az Európai Adatvédelmi Biztosnak konzultáció céljából. Az Európai Adatvédelmi Biztos üdvözli a konzultációt és azt javasolja, hogy a javaslat preambulumát egészítsék ki az erre a véleményre történő hivatkozással.

2.

A Bizottság javaslatának kiváltó oka a SWIFT (3) architektúrájában bekövetkezett változások voltak, amelyek 2010. január 1-jétől biztosítják, hogy az Európai Gazdasági Térségen és Svájcon belüli SWIFT pénzügyi ügyletekre vonatkozó üzenetek az európai zónán belül maradnak – amely különbözik a transzatlanti zónától –, és a továbbiakban nem tükröződnek az USA operatív központjában.

3.

Ezzel a javaslattal a Bizottság olyan nemzetközi megállapodást irányoz elő az EU és az USA között, amely az Európai Unió működéséről szóló szerződés 216. cikke (nemzetközi megállapodások), 82. cikke (igazságügyi együttműködés) és 87. cikke (rendőrségi együttműködés) alapján előírná olyan fontos pénzügyi üzenetadatoknak az Egyesült Államok Pénzügyminisztériumához történő továbbítását, amelyek az Egyesült Államok Pénzügyminisztériumának a terrorizmus finanszírozásának felderítését célzó programjához szükségesek.

4.

Hivatkozva az Európai Parlament 2010. február 11-i határozatára, amellyel nem járul hozzá a 2009. november 30-án aláírt ideiglenes megállapodáshoz, az új tervezet különösen a személyes adatok védelmével kapcsolatos aggodalmakkal kíván foglalkozni, ami olyan alapjog, amely a Lisszaboni Szerződés hatálybalépése után még nagyobb jelentőséget kapott az Európai Unió jogi keretrendszerében.

5.

A javaslat azzal is kiemeli az adatvédelem fontosságát, hogy kifejezetten említi a Szerződések és más nemzetközi okmányok vonatkozó cikkeit, továbbá alapvető jogként ismeri el az adatvédelmet. Nem irányozza azonban elő az EUMSz. 16. cikkét jogalapnak, annak ellenére, hogy a javasolt megállapodás 1. cikkének (1) bekezdése egyik fő célként a magas szintű adatvédelmet emeli ki. Ezzel kapcsolatban az Európai Adatvédelmi Biztos emlékeztet arra, hogy ez a megállapodás nemcsak a személyes adatok cseréjére, hanem ezen adatok védelmére is vonatkozik. Az EUMSz. 16. cikke ezért nem kevésbé fontos jogalap, mint az EUMSz. 82. és 87. cikke a bűnüldözési együttműködésre vonatkozóan, amelyeket jogalapnak választottak.

6.

A javaslatra az EUMSz. 218. cikkének (6) bekezdésében foglalt eljárás vonatkozik. Ezen eljárás szerint a Tanács csak az Európai Parlament hozzájárulásának megszerzését követően fogadhat el határozatot a megállapodás megkötésének engedélyezéséről. Ez a javaslat tehát döntő fontosságú „teszt ügy” az új lisszaboni eljárásoknak a személyes adatok védelméről szóló nemzetközi megállapodásokra történő alkalmazása terén. Amennyiben biztosítják az adatvédelmi elvek és biztosítékok megfelelő rögzítését a megállapodásban, azzal kikövezik az utat más tárgyalások sikeréhez.

7.

Ezzel kapcsolatban az Európai Adatvédelmi Biztos kiemeli az Európai Unió és az Amerikai Egyesült Államok közötti, bűnügyekben folytatott rendőrségi és igazságügyi együttműködés keretében a személyes adatok bűncselekmények – a terrorizmust is beleértve – megakadályozása, kivizsgálása, felderítése, illetve büntetőeljárás alá vonása céljából történő átadása és feldolgozása során ezen adatok védelméről szóló megállapodással kapcsolatos tárgyalások fontosságát. A Bizottság 2010. május 26-án fogadta el a tárgyalások megkezdésére vonatkozó megbízás tervezetét. A megbízástervezet ismertetése során a Bizottság kiemelte a személyes adatok védelméről szóló szilárd megállapodás szükségességét. (4)

8.

Ebben az összefüggésben az Európai Adatvédelmi Biztos azt javasolja, hogy a jelenlegi javaslatba illesszenek be egy erős utalást az USA-val az említett általános transzatlanti adatvédelmi keretrendszerről folytatott tárgyalásokra. Biztosítani kell, hogy ezek a normák a TFTP II megállapodásra is alkalmazandók legyenek. Az Európai Adatvédelmi Biztos javasolja e követelménynek a jelenlegi megállapodásba történő beillesztését, vagy legalább azt, hogy állapodjanak meg az Egyesült Államok kormányával arról, hogy egy jövőbeli adatvédelmi megállapodás foglalkozzon a jelenlegi javaslatban előirányzott adatcserékkel.

9.

Végül az Európai Adatvédelmi Biztos aktívan közreműködik a 29. cikk alapján létrehozott adatvédelmi munkacsoport és a rendőrségi és igazságügyi munkacsoport álláspontjának kialakításában. Az ezen álláspontokban rögzített vagy rögzítendő pontok mellett ez a vélemény az európai adatvédelmi biztos korábbi észrevételeire építve elemzi a jelenlegi javaslatot az ideiglenes megállapodással és az Egyesült Államokkal jelenleg folyó tárgyalásokkal kapcsolatban egyaránt.

10.

Az európai adatvédelmi biztos elismeri, hogy ez a javaslat egyes elemeiben lényeges javulást mutat az ideiglenes TFTP I megállapodáshoz képest; ilyenek például:

11.

Ezenkívül a javaslat – az Európai Parlament és az európai adatvédelmi hatóságok kérései nyomán – számos rendelkezést tartalmaz (14–18. cikk) az adatfeldolgozás által érintett személyek jogaival, például a tájékoztatáshoz való joggal, a hozzáférési joggal, az adathelyesbítéshez, adattörléshez vagy adatzároláshoz való joggal, valamint a jogorvoslathoz való joggal kapcsolatban. Még mindig nem egyértelmű azonban, hogy a nem amerikai állampolgárok vagy nem amerikai illetőségű személyek konkrétan hogyan érvényesíthetik ezeket a rendelkezéseket és eljárásokat (lásd a II.2.3. pontot alább).

12.

Az Európai Adatvédelmi Biztos teljes mértékben osztja a javaslat 1.1. cikkében foglalt nézetet, miszerint a magánélet és a személyes adatok védelmét teljes körűen tiszteletben kell tartani. Ezzel kapcsolatban az Európai Adatvédelmi Biztos rámutat arra, hogy még mindig vannak nyitott kérdések, amelyekkel foglalkozni kell, és kulcsfontosságú elemek, amelyeken javítani kell annak érdekében, hogy megfeleljenek a személyes adatok védelméről szóló uniós jogi keretben rögzített feltételeknek.

13.

Az Európai Adatvédelmi Biztos tisztában van azzal, hogy a terrorizmus és a terrorizmus finanszírozása elleni harchoz szükség lehet a személyes adatok védelméhez való jog és a banktitokkal kapcsolatos rendelkezések korlátozására. Számos uniós jogi aktus (6) esetében már ez a helyzet; olyan jogi aktusokról van szó, amelyek a pénzügyi rendszerrel a pénzmosás és a terrorizmus finanszírozása céljából történő visszaélés ellen tartalmaznak intézkedéseket. Ezek a jogi aktusok – a 95/46/EK irányelvvel összhangban – egyedi rendelkezéseket is tartalmaznak, amelyek engedélyezik az adatcserét harmadik országok hatóságaival, valamint biztosítékokat tartalmaznak a személyes adatok védelme érdekében.

14.

Továbbá az EU és az USA közötti, a kölcsönös jogi segítségnyújtásról szóló megállapodás kifejezetten engedélyezi a bankszámlákkal és a pénzügyi tranzakciókkal kapcsolatos adatok cseréjét a bűnüldöző hatóságok között, és rögzíti az ilyen adatcserére vonatkozó feltételeket és korlátokat. Nemzetközi szinten is az úgynevezett Egmont-elvek (7) rögzítik a pénzügyi tranzakciókra vonatkozó adatok pénzügyi hírszerző egységek közötti nemzetközi cseréjének alapját, ugyanakkor korlátozásokat és biztosítékokat állapítanak meg a kicserélt adatok felhasználására vonatkozóan. Ezenkívül az USA és az Europol, illetve az Eurojust között már léteznek okmányok az adatok cseréjére vonatkozóan, amelyek egyidejűleg biztosítják az adatok cseréjét és a személyes adatok védelmét.

15.

Ebben az összefüggésben a Bizottság javaslata kiemeli a TFTP program hasznosságát, amelyet az Egyesült Államok Pénzügyminisztériuma és a prominens személy jelentései is rögzítenek. A magánéletbe való beavatkozás igazolására vonatkozóan az emberi jogok és alapvető szabadságok védelméről szóló egyezmény 8. cikkében rögzített feltétel azonban nem „hasznos”, hanem „szükséges”.

16.

Az Európai Adatvédelmi Biztos szerint elégséges módon bizonyítani kell, hogy a szóban forgó megállapodás – figyelemmel a már meglévő okmányokra – valódi hozzáadott értéket képvisel, illetve – másképpen kifejezve – mennyire szükséges a megállapodás olyan eredmények eléréséhez, amelyek a magánéletet kevésbé sértő eszközök használatával (azaz a meglévő uniós és nemzetközi keretben már rögzített eszközökkel) nem lennének elérhetők. Az Európai Adatvédelmi Biztos szerint ezt a hozzáadott értéket mint a pénzügyi adatok cseréjéről az Egyesült Államokkal kötendő bármilyen megállapodás előfeltételét minden kétséget kizáróan meg kell állapítani, figyelembe véve a megállapodás magánéletet sértő jellegét is (lásd még a 18–22. pontot az arányosságról).

17.

Az Európai Adatvédelmi Biztosnak nem áll módjában megítélni a megállapodás szükségességét. Mindazonáltal, még ha a megállapodás szükségességét igazolják is, maradnak olyan további pontok, amelyekre a tárgyalóknak oda kell figyelniük.

18.

A továbbított személyes adatok mennyiségének és tárolási idejének értékelése során az arányosság is fő kritérium. A javaslat 4. cikke megszabja az Egyesült Államok részéről benyújtható kérelmek hatókörét. A javaslat azonban még mindig arról rendelkezik, hogy a személyes adatokat együttesen továbbítják az amerikai hatóságoknak, majd elvileg 5 évig őrzik meg őket, függetlenül attól, hogy ezeket az adatokat lehívták-e, vagy az adatok bizonyítottan kapcsolódnak-e egy adott nyomozáshoz vagy büntetőeljáráshoz.

19.

Az Európai Parlament és az európai adatvédelmi hatóságok kérése ellenére a javaslat még mindig azon a koncepción alapszik, hogy a személyes adatokat együttesen továbbítják az Egyesült Államok Pénzügyminisztériumának. Ezzel kapcsolatban fontos tisztázni, hogy önmagában az a tény, hogy a jelenlegi SWIFT rendszer nem teszi lehetővé a célzott keresést, még nem tekinthető elégséges indoknak az együttes adattovábbítás jogszerűségének igazolásához az uniós adatvédelmi jogszabályok szerint.

20.

Ezért az Európai Adatvédelmi Biztos véleménye szerint megoldást kell találni arra, hogy az együttes adattovábbítás helyett olyan mechanizmust alkalmazzanak, amely lehetővé teszi a pénzügyi tranzakciók adatainak az EU-ban történő szűrését, és biztosítsák, hogy csak a vonatkozó és szükséges adatokat küldjék meg az amerikai hatóságoknak. Ha nem lehet azonnal ilyen megoldást találni, a megállapodásban mindenképpen szigorúan meg kell határozni egy rövid átmeneti időszakot, amelyet követően az együttes adattovábbítás már nem megengedett.

21.

A tárolási idővel kapcsolatban az Európai Adatvédelmi Biztos elismeri, hogy a javaslat – helyesen – maximális megőrzési időt és olyan mechanizmusokat állapít meg, amelyek biztosítják, hogy törlik a személyes adatokat, amikor már nincs szükség azokra. A javaslat 6. cikkének a le nem hívott adatokra vonatkozó rendelkezései azonban, úgy tűnik, ezzel ellentétes irányúak. Először is a „le nem hívott adatok” kifejezés nem magától értetődő, ezért pontosításra szorul. Másodszor, nem bizonyított, hogy milyen okok miatt kell a le nem hívott adatokat 5 évig őrizni.

22.

Az Európai Adatvédelmi Biztos teljes mértékben elismeri, hogy biztosítani kell a meghatározott terrorizmus-ellenes nyomozáshoz vagy büntetőeljáráshoz szükséges személyes adatokhoz való hozzáférést, továbbá ezen adatok feldolgozását és a szükséges ideig való megőrzését, ami egyes esetekben 5 éven túli megőrzést is jelenthet, mivel előfordulhat, hogy a személyes adatok hosszan tartó nyomozáshoz vagy bírósági eljáráshoz szükségesek. Feltéve azonban, hogy a le nem hívott adatok olyan adatok, amelyeket együttesen továbbítottak, és nem nyitották meg, illetve nem használták fel őket egy meghatározott büntetőeljárás vagy nyomozás során, az ilyen adatokra engedélyezett megőrzési időnek sokkal korlátozottabbnak kellene lennie. Ebből a szempontból hasznos kiemelni, hogy a Német Szövetségi Alkotmánybíróság megállapította, hogy a távközlési adatok megőrzése esetén már 6 hónapos tárolási idő is igen hosszú, ezért megfelelő indoklást igényel. (8) Az Alkotmánybíróság megítélése szerint ez a 6 hónapos időszak a maximális időtartam olyan adatok megőrzésére, amelyek nem kapcsolódnak egy adott nyomozáshoz.

23.

A tárgyalási megbízás szerint egy igazságügyi hatóságnak kell fogadnia az Egyesült Államok Pénzügyminisztériumától érkező megkereséseket, ellenőriznie kell a megállapodásnak való megfelelőségüket, és – indokolt esetben – arra kell köteleznie a szolgáltatót, hogy az adatokat ún. „push” rendszer alapján továbbítsa. Az Európai Parlament és az Európai Adatvédelmi Biztos egyaránt üdvözölte ezt a megközelítést, amely – a tagállamok nemzeti alkotmányaival és jogrendszereivel összhangban – döntő fontosságú garanciát jelent a jogszerű és kiegyensúlyozott adattovábbítás, valamint a független ellenőrzés biztosítására.

24.

A javaslat azonban az Europolra bízza ezt a feladatot, amely a két vagy több tagállamot érintő szervezett bűnözés, terrorizmus és más súlyos bűncselekmények megelőzésével és az ellenük folytatott küzdelemmel foglalkozó uniós ügynökség. (9) Az Europol nyilvánvalóan nem igazságügyi hatóság.

25.

Sőt, az Europolnak konkrét érdeke fűződik a személyes adatoknak a javasolt megállapodás alapján történő cseréjéhez. A javaslat 10. cikke felhatalmazza az Europolt, hogy a TFTP révén szerzett fontos információkat kérjen, amennyiben indokolt azt feltételeznie, hogy egy természetes vagy jogi személy terrorizmussal összefüggésbe hozható. Az Europolnak ez a jogköre, amely az Europol feladatainak teljesítéséhez fontos lehet, és amely jó kapcsolatokat kíván meg az Egyesült Államok Pénzügyminisztériumával, nehezen egyeztethető össze az Europol független ellenőrzési feladatával.

26.

Az Európai Adatvédelmi Biztos azon tűnődik, hogy a jelenlegi jogi keret mennyire bízza az Europolra – különösen az Europol jogalapjának a Lisszaboni Szerződéssel megállapított rendes eljárás szerinti változtatása nélkül – azt a feladatot és jogkört, hogy egy harmadik országtól érkező adminisztratív megkeresés teljesítését „kötelezővé” tegye (4. cikk (5) bekezdés) egy magáncég számára, amely ennélfogva „felhatalmazást kap és köteles” átadni az adatokat a harmadik országnak. Ezzel kapcsolatban hasznos megjegyezni, hogy a hatályos uniós jogszabályok szerint nem magától értetődő, hogy az Europolnak egy magáncéggel szemben hozott határozata az Európai Bíróság bírói ellenőrzésének hatálya alá tartozna.

27.

Ebben az összefüggésben az Európai Adatvédelmi Biztos megismétli álláspontját, amely szerint az Egyesült Államok Pénzügyminisztériumától érkező megkeresések értékelésének feladatát – a tárgyalási megbízásra és a jelenlegi uniós jogi keretre is figyelemmel – igazságügyi hatóságnak kell ellátnia.

28.

Amint az e vélemény bevezető részében már szerepel, a javaslat meghatározza az adatfeldolgozás által érintett személyek számos jogát, mint például a tájékoztatáshoz való jogot, a hozzáférési jogot, az adathelyesbítéshez, adattörléshez vagy adatzároláshoz való jogot, valamint a jogorvoslathoz való jogot. Fontos viszont egyrészről e rendelkezések egyes elemeinek javítása, másrészről e rendelkezések tényleges végrehajthatóságának biztosítása.

29.

A személy saját személyes adataihoz való hozzáférési jogával kapcsolatban a megállapodás számos korlátozást ír elő. Az Európai Adatvédelmi Biztos elismeri, hogy – különösen a terrorizmus elleni küzdelemmel összefüggésben – az érintettek jogai korlátozhatók, amennyire az szükséges. A javaslatnak azonban egyértelművé kell tennie, hogy bár a személy saját adatainak ugyanazon személy felé történő felfedése a 15. cikk (2) bekezdésében említett körülmények fennállása esetén valóban korlátozható, ezen adatoknak az európai nemzeti adatvédelmi hatóságok felé történő felfedését minden esetben lehetővé kell tenni annak érdekében, hogy ezek a hatóságok hatékonyan el tudják látni felügyeleti feladatukat. Az adatvédelmi hatóságokra feladataik végzése során természetesen titoktartási kötelezettség vonatkozik, és ezek a hatóságok mindaddig nem fedik fel az adatokat az érintett személynek, amíg a kivétel feltételei fennállnak.

30.

Az adathelyesbítési joggal kapcsolatban a 17. cikk (2) bekezdése kimondja, hogy „az egyes Felek – amennyiben lehetséges – értesítik a másik Felet, amennyiben tudomásukra jut, hogy az e megállapodás keretében továbbított vagy szerzett fontos információ nem helytálló vagy nem megbízható”. Az Európai Adatvédelmi Biztos úgy véli, hogy a nem helytálló vagy nem megbízható adatok helyesbítésének kötelezettsége alapvető garancia nemcsak az érintett számára, hanem a bűnüldöző hatóságok intézkedéseinek hatékonysága érdekében is. Ezzel kapcsolatban az adatokat cserélő hatóságoknak mechanizmusokat kell bevezetniük annak biztosítására, hogy ez a helyesbítés mindig lehetséges legyen, a javaslatból pedig törölni kell az „amennyiben lehetséges” szöveget.

31.

Az Európai Adatvédelmi Biztos legfőbb aggodalma azonban az említett jogok konkrét érvényesíthetőségével kapcsolatos. Egyfelől a jogbiztonság és átláthatóság miatt a javaslatnak részletesebben meg kell határoznia, milyen konkrét eljárásokat vehetnek igénybe az érintettek a megállapodásban elismert jogaik érvényesítésére az Európai Unióban és az Egyesült Államokban egyaránt.

32.

Másfelől a 20. cikk (1) bekezdése kifejezetten és egyértelműen kimondja, hogy a megállapodás „nem keletkeztet semmilyen jogot vagy előnyt magánszemély, illetve magánjogi vagy közjogi jogalany részére, nem ruház rájuk ilyen jogokat vagy előnyöket”. Az Európai Adatvédelmi Biztos megjegyzi, hogy úgy tűnik, ez a rendelkezés semmissé teszi vagy legalábbis megkérdőjelezi a megállapodás azon rendelkezéseinek kötelező érvényét, amelyek az érintettek részére olyan jogokat biztosítanak, amelyeket az Egyesült Államok jogszabályai még nem ismernek el, és amelyek az Egyesült Államok joga szerint még nem végrehajthatóak, különösen ha az érintett nem amerikai állampolgár vagy állandó lakos az Egyesült Államokban. Az Egyesült Államok adatvédelmi törvénye például minősített hozzáférési jogot biztosít a személyes adatokhoz, ami erősebb, mint az Egyesült Államoknak az információs szabadságról szóló törvényében a nagyközönség számára biztosított általános hozzáférési jog. Az Egyesült Államok adatvédelmi törvénye azonban egyértelműen kimondja, hogy csak az a személy kérheti a róla nyilvántartott saját adataihoz való hozzáférést, aki „az Egyesült Államok állampolgára, vagy jogszerűen állandó lakóhellyel rendelkező külföldi állampolgár” (10).

33.

Az Európai Adatvédelmi Biztos ezért a 20. cikk (1) bekezdése jelenlegi szövegének felülvizsgálatát javasolja annak biztosítása érdekében, hogy a javaslatban szereplő jogokat pontosan rögzítsék, és azok ténylegesen érvényesíthetőek legyenek az Egyesült Államok területén is.

34.

A javaslat 12. cikke a megállapodásban szereplő feltételek és biztosítékok figyelemmel kísérésének különböző szintjeit rögzíti. „Független ellenőrök” végzik az Egyesült Államok Pénzügyminisztériuma által végrehajtott keresések egyidejű és visszamenőleges felügyeletét. Továbbá „az Európai Bizottság által kinevezett független személy” folyamatosan ellenőrzi az első szintű felügyeletet, beleértve annak függetlenségét is. Pontosítani kell, melyek e független személy feladatai, hogyan garantálják, hogy valóban el tudja látni azokat, és kinek tartozik jelentéstételi kötelezettséggel.

35.

A 13. cikk mechanizmust állapít meg a közös felülvizsgálatra, amelyet 6 hónap elteltével, majd rendszeres időközönként kell elvégezni. Ezt a közös felülvizsgálatot közös EU–USA küldöttség végzi el, amelyben az Európai Unió részéről két adatvédelmi hatóság képviselői vesznek részt, a közös felülvizsgálat eredménye pedig egy jelentés, amelyet a Bizottság beterjeszt az Európai Parlament és a Tanács elé.

36.

Az Európai Adatvédelmi Biztos kiemeli, hogy a független felügyelet a személyes adatok védelméhez való jog kulcsfontosságú eleme, amit az EUMSz. 16. cikke és az Európai Unió Alapjogi Chartájának 8. cikke is megerősít. A közelmúltban a Bíróság a Bizottság kontra Németország ügyben hozott 2010. március 9-i ítéletében szigorú kritériumokat állapított meg a függetlenségre vonatkozóan (11). Nyilvánvaló, hogy ugyanazok a szigorú kritériumok nem alkalmazhatók harmadik országokkal szemben, de az is egyértelmű, hogy a személyes adatok védelme csak akkor lehet megfelelő (12), ha elégséges biztosítékok garantálják a független ellenőrzést. Ez a feltétel az olyan országokkal kötött nemzetközi megállapodásokra is vonatkozik, amelyek jogrendszere nem írja elő a független hatóság által végzett ellenőrzés szükségességét.

37.

Ebben az összefüggésben döntő fontosságú, hogy a megállapodásban pontosan meghatározzák legalább az ellenőrzés és a közös felülvizsgálat módozatait, valamint az ellenőrzésben részt vevő személyek jogkörét és függetlenségének garanciáit – ahelyett, hogy „közösen végzett koordinációt” írnak elő, vagy az említetteket a felek egy későbbi szakban határozzák meg. Különösen fontos annak biztosítása, hogy az Európai Bizottság által kijelölt személy és az európai adatvédelmi hatóságok képviselői egyaránt olyan helyzetben legyenek, hogy függetlenül tudjanak eljárni, és hatékonyan tudják elvégezni felügyeleti feladataikat.

38.

A javaslatnak továbbá nemcsak rögzítenie kell az első közös felülvizsgálat időpontját, amelyre 6 hónap elteltével kerül sor, hanem a további felülvizsgálat időrendjét is meg kell határoznia, például azt, hogy ezt követően évente végeznek felülvizsgálatot. Az Európai Adatvédelmi Biztos emellett javasolja, hogy állapítsanak meg kapcsolatot a közös felülvizsgálatok eredménye és a megállapodás időtartama között.

39.

Ezzel kapcsolatban az Európai Adatvédelmi Biztos kiemeli, hogy kívánatos megszüntetési záradék beépítése – hosszabb távon az esetleges célzottabb megoldások lehetőségére is figyelemmel. A megszüntetési záradék jó ösztönző lehet annak biztosítására, hogy a szükséges erőfeszítéseket megteszik az ilyen megoldások kidolgozására, ami azt jelentené, hogy a jövőben nem lenne ok az együttes adatküldésre az Egyesült Államok Pénzügyminisztériuma részére.

40.

Az ellenőrzés és a közös felülvizsgálat hatékonyságának javítása érdekében információk és vonatkozó adatok szükségesek a hozzáférési és jogorvoslati kérelmek számáról, a lehetséges utókövetésről (törlés, helyesbítés, stb.), valamint az érintettek jogait korlátozó határozatok számáról. Ugyanígy – a felülvizsgálatot illetően – információkra van szükség nemcsak azon üzenetek mennyiségéről, amelyekhez az Egyesült Államok Pénzügyminisztériuma „hozzáfért”, hanem az Egyesült Államok Pénzügyminisztériumának „megküldött” üzenetek mennyiségéről is, és ezekről jelentést kell készíteni. Ezt meg kell határozni a megállapodásban.

41.

Továbbá e javaslat semmiképpen nem korlátozhatja az európai adatvédelmi hatóságok hatáskörét és illetékességét. Ezzel kapcsolatban az Európai Adatvédelmi Biztos megjegyzi, hogy a javaslat visszalépés az ideiglenes TFTP-megállapodáshoz képest. Valóban, míg a korábbi megállapodás preambulumában az áll, hogy „ez a megállapodás nem tér el a tagállamok adatvédelmi hatóságainak azon meglévő hatáskörétől, hogy az egyéneknek személyes adataik feldolgozása tekintetében védelmet biztosítanak”, a mostani javaslatban a következők állnak: „az illetékes adatvédelmi hatóságok felügyelete e megállapodás különös rendelkezéseinek megfelelően”. Az Európai Adatvédelmi Biztos azért azt javasolja, hogy a javaslat egyértelműen mondja ki, hogy a megállapodás nem tér el az európai adatvédelmi hatóságok hatáskörétől, és nem korlátozza azt.

42.

Az Európai Adatvédelmi Biztos elismeri, hogy ez a javaslat bizonyos lényeges javításokat tartalmaz az ideiglenes TFTP I megállapodáshoz képest, mint például a SEPA-adatok kizárása, a terrorizmus behatároltabb meghatározása, valamint az érintettek jogainak részletesebb szabályozása.

43.

Az Európai Adatvédelmi Biztos megjegyzi azonban, hogy az új TFTP-megállapodás jogosságára vonatkozó vizsgálatot illetően egy alapvető előfeltételnek teljesülnie kell. A megállapodás szükségességét a már meglévő uniós és nemzetközi okmányokkal összefüggésben kell megállapítani.

44.

Az Európai Adatvédelmi Biztos rámutat, hogy ha ez teljesül is, még mindig vannak nyitott kérdések, amelyekkel foglalkozni kell, és kulcsfontosságú elemek, amelyeken javítani kell annak érdekében, hogy megfeleljenek a személyes adatok védelméről szóló uniós jogi keretben rögzített feltételeknek, mint például: