1.4.2011   

HU

Az Európai Unió Hivatalos Lapja

C 101/20

1.

2010. szeptember 30-án a Bizottság elfogadta az Európai Hálózat- és Információbiztonsági Ügynökségről (ENISA) szóló európai parlamenti és tanácsi rendeletre irányuló javaslatot (3).

2.

Az ENISA-t a 460/2004/EK rendelet (4) hozta létre 2004 márciusában, kezdetben ötéves időtartamra. 2008-ban az 1007/2008/EK rendelet (5) 2012 márciusáig meghosszabbította az Ügynökség megbízatási idejét.

3.

A 460/2004/EK rendelet 1. cikkének (1) bekezdéséből következően az Ügynökség az Unión belüli magas szintű és hatékony hálózat- és információbiztonság biztosítása, valamint a belső piac zavartalan működésének elősegítése céljából jött létre.

4.

A Bizottság javaslata az Ügynökség modernizálására, hatáskörének megerősítésére, valamint egy új, öt évre szóló megbízatásra irányul, ami lehetővé teszi az Ügynökség működésének folytonosságát 2012 márciusát követően (6).

5.

A javasolt rendelet jogalapját az EUMSz. 114. cikke (7) képezi, amely az Unióra ruházza az azon intézkedések elfogadására vonatkozó hatáskört, amelyek célja a belső piac megteremtésének és működésének biztosítása. Az EUMSz 114. cikke a korábbi EK-Szerződés 95. cikkének helyébe lép, amelyen az ENISA-val kapcsolatos előző rendeletek alapultak (8).

6.

A javaslathoz csatolt indokolás arra hivatkozik, hogy a Lisszaboni Szerződés hatálybalépésével a bűnmegelőzés és a bűnözés elleni küzdelem megosztott hatáskörbe került. Ez lehetőséget teremtett arra, hogy az ENISA platformként szolgáljon a számítástechnikai bűnözés hálózat- és információbiztonsági vonatkozásaiban, illetőleg a bűnüldöző hatóságokkal, valamint a „kibervédelemmel” és a magánélet védelmével foglalkozó szervekkel való tapasztalatcserében és a bevált gyakorlati megoldások egymással való megosztásában.

7.

Számtalan lehetőség közül a Bizottság amellett döntött, hogy javasolja az ENISA feladatainak kibővítését, valamint azt, hogy a bűnüldöző és adatvédelmi hatóságokat teljes körű tagként vegyék fel az érdekeltek állandó csoportjába. A feladatok új felsorolása nem tartalmazza az üzemeltetési feladatokat, hanem aktualizálja és újrafogalmazza a jelenlegi feladatokat.

8.

2010. október 1-jén a 45/2001/EK rendelet 28. cikke (2) bekezdésének megfelelően a javaslatot továbbították az európai adatvédelmi biztoshoz konzultáció céljából. Az európai adatvédelmi biztos örvendetesnek tartja, hogy ebben az ügyben konzultáltak vele, és azt tanácsolja, hogy a javaslat preambulumbekezdéseiben hivatkozzanak erre a konzultációra, ahogy az rendszerint történik a jogalkotási szövegekben, amelyekről a 45/2001/EK rendeletnek megfelelően konzultálnak az európai adatvédelmi biztossal.

9.

A javaslat elfogadását megelőzően informálisan egyeztettek az európai adatvédelmi biztossal, aki több informális észrevételt tett. Ezek közül azonban egyet sem vettek tekintetbe a javaslat végleges változatának elkészítésekor.

10.

Az európai adatvédelmi biztos hangsúlyozza, hogy az adatfeldolgozás biztonsága az adatvédelem döntő fontosságú tényezője (9). Ebből a szempontból örvendetesnek tartja a javaslat azzal kapcsolatos célkitűzését, hogy megerősítse az Ügynökség hatáskörét – hogy hatékonyabban elláthassa jelenlegi feladatait és teljesíthesse kötelezettségeit –, ugyanakkor kibővítse tevékenységi körét. Az európai adatvédelmi üdvözli továbbá, hogy az adatvédelmi és bűnüldöző hatóságokat teljes körűen bevonják az érdekeltek csoportjába. Az ENISA megbízatásának meghosszabbítását úgy tekinti, mint ami előmozdítja az információs rendszerekre vonatkozó biztonsági intézkedések európai szintű, szakszerű és egyszerű kezelését.

11.

Összességében kedvező a javaslat értékelése. Több olyan pont is van azonban, amelyek esetében a javasolt rendelet nem egyértelmű vagy hiányos, ami adatvédelmi szempontból aggályokat vet fel. Ezeket a kérdéseket a vélemény következő fejezete tárgyalja és fejti ki.

12.

A javaslat 3. cikkében nagyon általánosan fogalmazzák meg az Ügynökség kibővített feladatait, amelyek a bűnüldöző szervek és az adatvédelmi hatóságok bevonásával kapcsolatosak. Az indokolás világosabban fogalmaz ebben a tekintetben. Úgy említi az ENISA-t, mint amely kapcsolatot tart fenn kibervédelmi bűnüldöző szervekkel, és nem műveleti feladatokat hajt végre a számítástechnikai bűnözés elleni küzdelemben. E feladatok azonban nem szerepelnek a szövegben, illetve a 3. cikk csak általánosságban tesz említést azokról.

13.

A jogbizonytalanság elkerülése érdekében a javasolt rendeletnek világosan és egyértelműen kell fogalmaznia az ENISA feladatait illetően. Mint már fentebb említettük, az adatfeldolgozás biztonsága az adatvédelem döntő fontosságú tényezője. Az ENISA egyre fontosabb szerepet fog játszani e területen. A polgárok, intézmények és szervek számára világosnak kell lennie, hogy az ENISA milyen tevékenységeket végezhet. Ez a szempont még inkább fontosnak számít, amennyiben a személyes adatok feldolgozása is az ENISA kibővített feladatai közé tartozik (lásd a 17–20. pontot alább).

14.

A javaslat 3. cikke (1) bekezdésének k) pontja kimondja, hogy az Ügynökség az Európai Unió más jogalkotási aktusaiban számára kijelölt egyéb feladatokat is ellátja. Az európai adatvédelmi biztosnak aggályai vannak ezzel a tágan értelmezhető ponttal kapcsolatban, mivel potenciális joghézagot teremt, ami kihathat a jogi aktus koherenciájára, és a „funkciók terjeszkedéséhez” vezethet az Ügynökség tekintetében.

15.

A javaslat 3. cikke (1) bekezdésének k) pontjában említett feladatok egyike szerepel a 2002/58/EK irányelvben (10). Ez előírja, hogy a Bizottságnak egyeztetnie kell az Ügynökséggel az adatok megsértésével összefüggő tájékoztatásra alkalmazandó műszaki végrehajtási intézkedésekről. Az európai adatvédelmi biztos azt tanácsolja, hogy az Ügynökség tevékenységét ismertessék részletesebben, ugyanakkor korlátozzák a biztonság területére. Tekintettel arra a lehetséges hatásra, amelyet az ENISA gyakorolhat az e területtel kapcsolatos politika kialakítására, e tevékenységnek egyértelműbb és jelentősebb szerepet kell kapnia a javasolt rendeletben.

16.

Az európai adatvédelmi biztos továbbá javasolja, hogy a (21) preambulumbekezdésben szerepeljen az 1999/5/EK irányelvre (11) történő hivatkozás, tekintettel az ENISA-nak a jelenlegi javaslat 3. cikke (1) bekezdésének c) pontjában említett konkrét feladatára, miszerint segíti a tagállamokat, valamint az európai intézményeket és szerveket a hálózat- és információbiztonságra vonatkozó adatok gyűjtésére, elemzésére és terjesztésére irányuló tevékenységükben. Ennek ösztönöznie kell az ENISA hálózat- és információbiztonsággal kapcsolatos bevált gyakorlatokat és módszereket támogató feladatait, mivel jobban megvilágítja az Ügynökség és a szabványügyi testületek közötti, lehetséges konstruktív együttműködést.

17.

A javaslat nem határozza meg pontosan, hogy az Ügynökségre ruházott feladatok közé tartozhat-e a személyes adatok feldolgozása. Tehát a javaslat nem tartalmaz a személyes adatok feldolgozására vonatkozó konkrét jogalapot a 45/2001/EK rendelet 5. cikkének értelmében.

18.

Ugyanakkor az Ügynökségre ruházott feladatok némelyikével (legalábbis bizonyos mértékig) a személyes adatok feldolgozása is együtt járhat. Nincs kizárva például, hogy a biztonsági események és az adatok megsértésével kapcsolatos esetek vizsgálata, illetve a számítástechnikai bűnözés elleni küzdelemmel kapcsolatos, nem operatív feladatok végzése személyes adatok gyűjtésével és elemzésével is járhat.

19.

A javaslat (9) preambulumbekezdése hivatkozik a 2002/21/EK irányelvben (12) foglalt rendelkezésekre, amelyek értelmében a nemzeti szabályozó hatóságok adott esetben tájékoztatják az Ügynökséget a biztonság megsértésével kapcsolatos eseményekről. Az európai adatvédelmi biztos azt tanácsolja, hogy a javaslat fogalmazzon részletesebben abban a tekintetben, hogy mely értesítéseket kell megküldeni az ENISA-nak, valamint hogyan kell reagálnia ezekre az ENISA-nak. A javaslatnak foglalkoznia kell a személyes adatok feldolgozásának lehetséges vonzataival is, amelyek az értesítések elemzéséből következhetnek.

20.

Az európai adatvédelmi biztos felkéri a jogalkotót annak pontosítására, hogy az ENISA 3. cikkben felsorolt tevékenységei magukban foglalják-e a személyes adatok feldolgozását, és ha igen, melyek ezek a tevékenységek.

21.

Jóllehet az ENISA fontos szerepet játszik az európai hálózat- és információbiztonságról szóló eszmecserében, a javaslatban szinte semmi nem szerepel magára az Ügynökségre vonatkozó biztonsági intézkedések létrehozásáról (akár kapcsolódnak a személyes adatok feldolgozásához, akár nem).

22.

Az európai adatvédelmi biztos azon a véleményen van, hogy az Ügynökség még jobban elő tudja mozdítani az adatfeldolgozás biztonságával kapcsolatos bevált gyakorlatokat, ha magán az Ügynökségen belül határozottan alkalmazzák az ilyen biztonsági intézkedéseket. Ez elő fogja segíteni, hogy az Ügynökséget ne csupán szakértői központként ismerjék el, hanem a biztonság terén elérhető legjobb technikák (BAT) gyakorlati végrehajtása szempontjából referenciapontként is. Ezért a biztonsági módszerek végrehajtásával kapcsolatos kiválóságra való törekvést be kell építeni az Ügynökség döntéshozatali eljárásaira irányadó rendeletbe. Ezért az európai adatvédelmi biztos indítványozza, hogy a javaslatot egészítsék ki egy ilyen vonatkozású rendelkezéssel, például annak előírásával, hogy az Ügynökség alkalmazza az elérhető legjobb technikákat, azaz a leghatékonyabb és legfejlettebb biztonsági eljárásokat, valamint működési módszereket.

23.

Ez a megközelítés lehetővé teszi az Ügynökség számára, hogy tanácsot adjon a szükséges biztonsági intézkedések biztosítására vonatkozó konkrét technikák gyakorlati alkalmasságával kapcsolatban. Ezen túlmenően az elérhető legjobb technikák végrehajtása során előnyben kell részesíteni azokat, amelyek garantálják a biztonságot, ugyanakkor a lehető legkevésbé hatnak ki a magánéletre. Azokat a technikákat kell választani, amelyek jobban összhangban vannak „a beépített adatvédelem” elvével.

24.

Még ha egy kevésbé ambiciózus megközelítést veszünk is alapul, az európai adatvédelmi biztos azt tanácsolja, hogy a rendelet legalább a következő követelményeket tartalmazza: i. egy belső biztonsági politika létrehozása átfogó kockázatértékelés nyomán, valamint a nemzetközi előírások és a tagállamok bevált gyakorlatainak figyelembevételével; ii. biztonsági tisztviselő kinevezése, aki a megfelelő források és hatáskör birtokában felelős a politika végrehajtásáért; iii. a politika jóváhagyása a fennmaradó kockázat szigorú vizsgálatát és az igazgatóság által javasolt ellenőrzéseket követően; továbbá iv. a politika időszakos felülvizsgálata, egyértelműen meghatározva a rendszeres időközöket és a felülvizsgálat célkitűzéseit.

25.

Mint már említettük, az európai adatvédelmi biztos üdvözli az Ügynökség megbízatásának meghosszabbítását, és úgy gondolja, hogy az adatvédelmi hatóságok számára igen előnyös az Ügynökség létezése (az Ügynökségnek pedig a javára szolgál a hatóságok szakértelme). Mivel a biztonság és az adatvédelem között természetes és logikai összefüggés van, az Ügynökséget és az adatvédelmi hatóságokat, felkérik a szoros együttműködésre.

26.

A (24) és a (25) preambulumbekezdés hivatkozást tartalmaz a számítástechnikai bűnözésről szóló, javasolt uniós irányelvre, valamint említést tesz arról, hogy az Ügynökségnek kapcsolatot kell tartania a bűnüldöző szervekkel és az adatvédelmi hatóságokkal is a számítástechnikai bűnözés elleni küzdelem információbiztonsági vonatkozásai tekintetében (13).

27.

A javaslatnak meg kell adnia a konkrét csatornákat és együttműködési mechanizmusokat, amelyek i. biztosítják az Ügynökség és az adatvédelmi hatóságok tevékenységeinek összhangját; valamint ii. lehetővé teszik az Ügynökség és az adatvédelmi hatóságok közötti szoros együttműködést.

28.

Ami az összhangot illeti, a (27) preambulumbekezdés kifejezetten említi, hogy az Ügynökség feladatai nem kerülhetnek összeütközésbe a tagállami adatvédelmi hatóságokkal. Az európai adatvédelmi biztos örvendetesnek tartja ezt a hivatkozást, ugyanakkor megjegyzi, hogy nincs utalás az európai adatvédelmi biztosra és a 29. cikk alapján létrehozott munkacsoportra. Az európai adatvédelmi biztos azt javasolja a jogalkotónak, hogy e két intézmény tekintetében is építsen be a javaslatba egy hasonló, az összeütközés tilalmára vonatkozó rendelkezést. Ez egyértelműbb munkakörnyezetet teremt az összes érintett fél vonatkozásában, és ki kellene alakítania az együttműködési csatornákat és mechanizmusokat, amelyek lehetővé teszik az Ügynökség számára, hogy segítséget nyújtson a különböző adatvédelmi hatóságoknak és a 29. cikk alapján létrehozott munkacsoportnak.

29.

Ilyenformán a szoros együttműködést illetően az európai adatvédelmi biztos üdvözli, hogy a javaslatba bekerült az adatvédelmi hatóságoknak az Érdekeltek Állandó Csoportjában való képviselete, amely csoport tanácsot ad az Ügynökségnek tevékenységei elvégzése során. Az európai adatvédelmi biztos azt tanácsolja, hogy a szöveg kifejezetten említse meg, hogy a nemzeti adatvédelmi hatóságok képviselőit az Ügynökségnek kell kijelölnie a 29. cikk alapján létrehozott munkacsoport javaslata alapján. Az is örvendetes lenne, ha olyan hivatkozás is bekerülne a szövegbe, amely rendelkezik arról, hogy maga az európai adatvédelmi biztos részt vesz azokon az üléseken, ahol az európai adatvédelmi biztossal való együttműködés szempontjából lényeges kérdések megvitatását tervezik. Ezen túlmenően az európai adatvédelmi biztos ajánlja, hogy a szoros együttműködésre irányuló erőfeszítés keretének megteremtése érdekében az Ügynökség (az Érdekeltek Állandó Csoportjának javaslata alapján és az igazgatóság jóváhagyásával) hozzon létre eseti munkacsoportokat azon különféle témák vonatkozásában, ahol az adatvédelem és a biztonság átfedi egymást.

30.

Végül az esetleges félreértések elkerülése érdekében az európai adatvédelmi biztos „a magánélet védelmével foglalkozó hatóságok” kifejezés helyett az „adatvédelmi hatóságok” kifejezés alkalmazását ajánlja; ajánlja továbbá – a 95/46/EK irányelv 28. cikkére és a 45/2001/EK rendelet V. fejezetében szereplő, az európai adatvédelmi biztosra vonatkozó rendelkezésre történő hivatkozással – annak pontosítását, hogy melyek ezek a hatóságok.

31.

Az európai adatvédelmi biztos megjegyzi, hogy ellentmondás fedezhető fel a javasolt rendeletben abban a tekintetben, hogy ki kérhet segítséget az ENISA-tól. A javaslat (7), (15), (16), (18) és (36) preambulumbekezdéséből az következik, hogy az ENISA-nak az a feladata, hogy a tagállami szerveknek és az egész Uniónak segítséget nyújtson. A 2. cikk (1) bekezdése azonban csak a Bizottságot és a tagállamokat említi, míg a 14. cikk a következőkre korlátozza a segítségnyújtás iránti kérésre vonatkozó lehetőséget: i. az Európai Parlament; ii. a Tanács; iii. a Bizottság; valamint iv. a tagállamok illetékes szervei – egyes uniós intézmények, szervek, ügynökségek és hivatalok kivételével.

32.

A javaslat 3. cikke konkrétabban fogalmaz, és a kedvezményezettek típusától függően különböző segítségnyújtási típusokról rendelkezik: i. az információbiztonsági adatok gyűjtése és elemzése (a tagállamok, valamint az európai intézmények és szervek esetében); ii. az európai hálózat- és információbiztonság helyzetének vizsgálata (a tagállamok és az európai intézmények esetében); iii. a kockázatkezelési és biztonsági bevált gyakorlatok alkalmazásának előmozdítása (az Unió egészében és a tagállamokban); iv. hálózat- és információbiztonsági felderítés kialakítása (az európai intézményekben és szerveknél); továbbá v. együttműködés párbeszéd formájában és együttműködés harmadik országokkal (az Unió esetében).

33.

Az európai adatvédelmi biztos felkéri a jogalkotót, hogy oldja fel ezt az ellentmondást, és hangolja össze a fent említett rendelkezéseket. Ezzel kapcsolatban az európai adatvédelmi biztos azt ajánlja, hogy a 14. cikket úgy módosítsák, hogy foglalja magába az összes uniós intézményt, szervet, hivatalt és ügynökséget, valamint fogalmazzanak egyértelműen abból a szempontból, hogy az Unión belüli szervezetek milyen jellegű segítséget kérhetnek (abban az esetben, ha a jogalkotó előirányozza ezt a megkülönböztetést). Ugyanezen vonatkozásban javasolja, hogy bizonyos állami és magánszervezetek kérhessenek segítséget az Ügynökségtől, amennyiben a kért támogatás európai szempontból egyértelmű potenciálról tesz tanúbizonyságot, és összhangban áll az Ügynökség célkitűzéseivel.

34.

Az indokolás a felügyeleti szerep tekintetében megnövelt hatáskört biztosít az igazgatóság számára. Az európai adatvédelmi biztos üdvözli ezt a megerősített szerepet, és azt tanácsolja, hogy bizonyos, az adatvédelmet érintő szempontok kerüljenek be az igazgatóság feladatai közé. Továbbá az európai adatvédelmi biztos tanácsolja, hogy a rendelet egyértelműen határozza meg, ki jogosult a következőkre: i. a 45/2001/EK rendeletnek az Ügynökség általi alkalmazására – többek között az adatvédelmi tisztviselő kinevezésére – vonatkozó intézkedések megállapítása; ii. a biztonsági politika és a későbbi időszakos felülvizsgálatok jóváhagyása; valamint iii. az adatvédelmi hatóságokkal és a bűnüldöző szervekkel való együttműködési protokoll kidolgozása.

35.

Jóllehet ezt már a 45/2001/EK rendelet előírja, az európai adatvédelmi biztos javasolja, hogy a 27. cikkbe foglalják bele az adatvédelmi tisztviselő kinevezését, mivel ennek különös jelentősége van, és együtt kell járnia az adatvédelmi tisztviselő hatáskörére és feladataira vonatkozó végrehajtási szabályok haladéktalan megállapításával. Konkrétabban, a 27. cikk szövege a következő lehetne:

36.

Amennyiben a személyes adatok feldolgozásához külön jogalapra van szükség – amint azt a fenti 17–20. pont tárgyalja –, azon szükséges és megfelelő biztosítékok, korlátozások és feltételek meghatározásáról is rendelkeznie kell, amelyek mellett a feldolgozásra sor kerül.

37.

A javaslat értékelése összességében kedvező, és az európai adatvédelmi biztos üdvözli az Ügynökség megbízatási idejének meghosszabbítását, valamint feladatainak kibővítését az adatvédelmi hatóságoknak és a bűnüldöző szerveknek az érdekeltek állandó csoportjába teljes körű tagként történő felvételével. Az európai adatvédelmi biztos úgy gondolja, hogy az Ügynökség működésének folytonossága előmozdítja az információs rendszerekre vonatkozó biztonsági intézkedések európai szintű, szakszerű és egyszerű kezelését.

38.

Az európai adatvédelmi biztos a jogbizonytalanság elkerülése érdekében azt tanácsolja, hogy a javaslatot pontosítani kell az Ügynökség feladatainak kibővítése tekintetében, különösen a bűnüldöző szervek és az adatvédelmi hatóságok bevonásával kapcsolatban. Az európai adatvédelmi biztos felhívja a figyelmet arra a potenciális joghézagra, amit egy olyan rendelkezésnek a javaslatba történő beépítése idézett elő, amely lehetővé teszi, hogy egy másik uniós jogalkotási aktussal minden további korlátozás nélkül új feladatokat lehessen az Ügynökségre ruházni.

39.

Az európai adatvédelmi biztos felkéri a jogalkotót annak pontosítására, hogy az ENISA tevékenységeihez személyes adatok feldolgozása kapcsolódik-e, és ha igen, melyek ezek a tevékenységek.

40.

Az európai adatvédelmi biztos azt tanácsolja, hogy magára Az Ügynökségre vonatkozóan hozzanak létre egy biztonsági politikát annak érdekében, hogy az Ügynökség még jelentősebb szerepet tölthessen be a biztonsági módszerek végrehajtásával kapcsolatos kiválóság előmozdítójaként, valamint a „beépített adatvédelem” támogatójaként – a személyes adatok védelmével kapcsolatos jogok tekintetében a biztonság területén elérhető legjobb technikák alkalmazásának beépítésével.

41.

Az adatvédelmi hatóságokkal – többek között az európai adatvédelmi biztossal és a 29. cikk alapján létrehozott munkacsoporttal – való együttműködés csatornáit jobban meg kell határozni az összhang és a szoros együttműködés biztosításának céljából.

42.

Az európai adatvédelmi biztos felkéri a jogalkotót, hogy oldja fel az Ügynökség segítségnyújtása iránti kérelem lehetőségét érintő, a 14. cikkben kifejezésre juttatott korlátozásokkal kapcsolatos bizonyos ellentmondásokat. Az európai adatvédelmi biztos elsősorban e korlátozások megszüntetését javasolja, hogy az összes uniós intézmény, szerv, ügynökség és hivatal jogosult legyen segítséget kérni az Ügynökségtől.

43.

Végül az európai adatvédelmi biztos azt ajánlja, hogy az igazgatóság kibővített funkciói közé kerüljenek be bizonyos konkrét szempontok, amelyek még inkább biztosíthatják, hogy az Ügynökségen belül a bevált gyakorlatokat követik a biztonság és az adatvédelem tekintetében. Javasolja többek között, hogy a szövegbe építsék be az adatvédelmi biztos kinevezését és a 45/2001/EK rendelet helyes alkalmazására irányuló intézkedések jóváhagyását.