26.7.2011   

HU

Az Európai Unió Hivatalos Lapja

C 220/1

1.

2011. február 24-én az Európai Bizottság európai parlamenti és tanácsi irányelvjavaslatot fogadott el a 89/666/EGK, a 2005/56/EK és a 2009/101/EK irányelvnek a központi nyilvántartások, a kereskedelmi nyilvántartások és a cégjegyzékek összekapcsolása tekintetében történő módosításáról (3) (a „javaslat”), majd ezt követően konzultált az európai adatvédelmi biztossal.

2.

Az európai adatvédelmi biztosnak örömére szolgál, hogy a 45/2001/EK rendelet 28. cikkének (2) bekezdésében előírtak szerint konzultáltak vele, és hogy a javaslat preambulumában említést tettek erről a véleményről.

3.

A javaslat célja az európai gazdasági térségbeli cégnyilvántartások körében a határokon átnyúló együttműködés és információcsere egyszerűsítése és fokozása, és ezáltal az átláthatóság, valamint a határokon keresztül elérhető információk megbízhatóságának növelése. A cégnyilvántartásokkal kapcsolatos hatékony igazgatási együttműködési eljárások döntő fontosságúak az egységes európai piacba vetett bizalom növelése érdekében, ami a fogyasztók, hitelezők és más üzleti partnerek számára biztonságosabb üzleti környezet megteremtésével, az adminisztratív terhek csökkentésével és a jogbiztonság fokozásával biztosítható. Az európai cégnyilvántartásokkal kapcsolatos igazgatási együttműködési eljárások megerősítése különösen fontos a határokon átnyúló egyesülésekre és a székhelyáthelyezésekre irányuló eljárásokban, valamint a külföldi fióktelepek nyilvántartásának frissítési folyamataiban, amennyiben az együttműködési mechanizmusok jelenleg hiányoznak vagy korlátozottak.

4.

Ezért a javaslat célja három meglévő irányelv módosítása a következők szerint:

5.

Minden tagállamban van cégnyilvántartás; a cégnyilvántartások nemzeti, regionális vagy helyi szinten szerveződhetnek. 1968-ban közös szabályokat fogadtak el az üzleti információk közlésére (nyilvántartásba vétel és közzététel) vonatkozó minimumkövetelmények megállapításáról (7). 2007. január 1. óta a tagállamoknak elektronikus cégnyilvántartást is fenn kell tartaniuk (8), és lehetővé kell tenniük, hogy harmadik felek is online hozzáférhessenek a nyilvántartás tartalmához.

6.

Egyes európai jogi eszközökben kifejezett követelményként jelenik meg az együttműködés a különböző tagállamok cégnyilvántartásai között – egyrészt a tőkeegyesítő társaságok határokon átnyúló egyesüléseinek (9) megkönnyítése, másrészt az európai részvénytársaságok (SE) (10) és az európai szövetkezetek (SCE) (11) határokon átnyúló székhelyáthelyezéseinek elősegítése érdekében.

7.

1992-ben önkéntes együttműködési mechanizmust hoztak létre az európai cégnyilvántartások között. Mára az ún. európai cégjegyzék (EBR) (12) 19 tagállam és hat másik európai joghatóság hivatalos cégjegyzékét kapcsolja össze. 2006 és 2009 között az EBR részt vett a BRITE nevű kutatási projektben (13), amelynek célja technológiai platform kifejlesztése volt a cégnyilvántartások kölcsönös átjárhatóságához egész Európában. A javaslatot kísérő hatásvizsgálat azonban kifejti, hogy az EBR-nek komoly kihívásokkal kell szembenéznie a bővítés, a finanszírozás és az irányítás terén: a hatásvizsgálat szerint a jelenlegi együttműködési mechanizmus – legalábbis mai formájában – nem elegendő a felhasználók számára.

8.

A javaslatot kísérő indokolás megjegyzi, hogy az európai igazságügyi portál (14) lesz a jogi információk, jogi és közigazgatási intézmények, nyilvántartások, adatbázisok és egyéb szolgáltatások hozzáférési kulcspontja az EU-ban. Megerősíti továbbá, hogy a javaslat kiegészíti az e-igazságszolgáltatási projektet, és hozzájárul ahhoz, hogy harmadik felek a portálon keresztül könnyebben hozzáférhessenek az üzleti információkhoz.

9.

A hatásvizsgálat szerint a lehetséges szinergiákkal kapcsolatos másik ide tartozó projekt a belső piaci információs rendszer (IMI) (15). Az IMI olyan elektronikus eszköz, amelyet a szolgáltatási irányelv (2006/123/EK irányelv) és a szakmai képesítések elismeréséről szóló irányelv (2005/36/EK irányelv) tekintetében a közigazgatási intézmények közötti napi szintű igazgatási együttműködés támogatására terveztek. Az IMI jelenleg folyamatosan bővül, és a hatásvizsgálat szerint más irányelvek végrehajtását is támogatni tudná – többek között a társasági jog területén is.

10.

A javaslat 3. cikke számos vonatkozásban módosítja a 2009/101/EK irányelvet. Ezek közül két módosítás adatvédelmi szempontból igen jelentős.

11.

A 2009/101/EK irányelv 2. cikkének jelenleg hatályos szövege már most is kötelezően előírja, hogy bizonyos minimális információkat minden tagállam cégnyilvántartásában közzé kell tenni úgy, hogy harmadik személyek megbizonyosodhassanak a társaságokra vonatkozó adatokról. Ahogy a fenti 1.2. pontban már említettük, a tagállamoknak is elektronikus cégnyilvántartást kell fenntartaniuk, és lehetővé kell tenniük, hogy harmadik felek is online hozzáférhessenek a nyilvántartás tartalmához.

12.

A 2. cikk a társaságokra vonatkozó tizenegy alapadatot sorol fel, amelynek nyilvános közzététele kötelező; ezek közé tartoznak a következők:

13.

Adatvédelmi szempontból fontos, hogy a 2. cikk kötelezővé teszi a következő közzétételét: azon személyek „kijelölése, megbízásuk megszűnése és személyes adatai” (kiemelés tőlünk), akik i. jogosultak a társaság képviseletére és/vagy ii. más módon részt vesznek a társaság „ügyvezetésében, felügyeletében, illetve ellenőrzésében”.

14.

A javaslat változatlanul hagyja a 2. cikk szerint kötelezően közlendő információk listáját. Az sem új követelmény, hogy minden tagállamnak elektronikus úton nyilvánosan elérhetővé kell tennie ezeket az információkat. A javaslat újdonsága abban áll, hogy azok az információk, amelyek eddig széttagoltan – gyakran helyi nyelven vagy helyi weboldalakon keresztül – voltak elérhetők, most már a közös európai platformon/hozzáférési ponton keresztül többnyelvű környezetben könnyen elérhetők lesznek.

15.

Ezért a javaslat szerint az irányelv egy új 3a. cikkel egészülne ki, amely a következőképpen rendelkezik: „A tagállamoknak biztosítaniuk kell, hogy azokat a 2. cikkben említett okiratokat és adatokat, amelyeket nyilvántartásukban rögzítettek, elektronikus úton bármely kérelmező elérheti az összes tagállamból hozzáférhető egységes európai elektronikus platformon keresztül.” A javaslat minden további részletet a felhatalmazáson alapuló jogi aktusokra hagy.

16.

A javaslat szerint a 2009/101/EK irányelv egy új 4a. cikkel is kiegészülne, miszerint „a tagállamok meghozzák a szükséges intézkedéseket annak biztosításához, hogy a (cégnyilvántartások) interoperábilisak legyenek és elektronikus hálózatot képezzenek”. A javaslat minden további részletet ebben az esetben is a felhatalmazáson alapuló jogi aktusokra hagy.

17.

Az adatvédelmi aggályokkal kapcsolatban a javaslat szerint mindhárom irányelv szövege kifejezett adatvédelmi cikkel egészülne ki, amely előírná, hogy „a személyes adatok ezen irányelvvel összefüggésben végzett feldolgozására a 95/46/EK európai parlamenti és tanácsi irányelv vonatkozik”.

18.

Az európai adatvédelmi biztos osztja a Bizottság véleményét, hogy i. az információs és kommunikációs technológiák használata segítheti a cégnyilvántartásokkal kapcsolatos együttműködés hatékonyságának növelését, és ii. a cégnyilvántartásokban található információk fokozott elérhetősége nagyobb átláthatóságot eredményezhet. Ezért támogatja a javaslat célkitűzéseit. Észrevételeit e konstruktív megközelítés fényében kell értékelni.

19.

Az európai adatvédelmi biztos ugyanakkor hangsúlyozza, hogy a személyes adatok fokozott elérhetősége a személyes adatokkal kapcsolatos kockázatot is növeli. Például, bár egy társaság képviselőjének pontos azonosítását megkönnyítheti, ha lakcímét közzéteszik, a közzétételnek az adott képviselő személyes adatok védelméhez való joga szempontjából negatív hatása is lehet. Különösen igaz ez az interneten digitális formában több nyelven, valamint egy könnyen hozzáférhető európai platformon/hozzáférési ponton keresztül széles körben elérhető személyes adatok esetében.

20.

Nem sokkal ezelőtt a cégnyilvántartásokból származó személyes adatokat (pl. az igazgató neve, lakcíme és aláírási mintája) még nyomtatott formában és helyi nyelven tették közzé, gyakran csupán azt követően, hogy a kérelmező személyesen felkereste a helyi nyilvántartó hivatalt. Fontos, hogy felismerjük: ez a helyzet minőségileg különbözik az adatok országos elektronikus hozzáférési ponton keresztül, digitális formában történő nyilvános közzétételétől. A személyes adatok könnyen hozzáférhető összeurópai platformon/hozzáférési pontokon keresztül történő nyilvános közzététele továbbviszi ezt a lépést, és tovább fokozza az információk hozzáférhetőségét, valamint az érintett egyének személyes adatainak védelmével kapcsolatos kockázatokat.

21.

A fennálló adatvédelmi kockázatok között (az adatok közös elektronikus hozzáférési ponton keresztül, digitális formában történő könnyű elérhetősége miatt) található a személyazonossággal való visszaélés és más bűncselekmények, valamint annak kockázata, hogy a közzétett információt a társaságok – az érintett egyénekkel kapcsolatos profilalkotást követően – eredetileg nem jelzett kereskedelmi célokra jogellenesen megszerezhetik és felhasználhatják. Megfelelő biztosítékok nélkül az információkat eladhatják másoknak, vagy összekapcsolhatják más információkkal, és újra eladhatják a kormányoknak az eredetihez nem kapcsolódó és fel nem fedett, megfelelő jogalap nélküli célokra (például adóvégrehajtási vagy más büntetőjogi vagy közigazgatási nyomozás/vizsgálat céljára) történő felhasználásra (16).

22.

Ezért gondosan fel kell mérni, milyen személyes adatokat kellene a közös európai platformon/hozzáférési ponton keresztül elérhetővé tenni, és milyen kiegészítő adatvédelmi biztosítékokat – beleértve a keresési, illetve letöltési kapacitások és az adatbányászat korlátozására irányuló technikai intézkedéseket – kellene alkalmazni.

23.

A fenti 2.1. és 2.2. szakaszban említettek szerint a 2009/101/EK irányelv javasolt 3a. és 4a. cikke igen általános, és számos kulcsfontosságú kérdést a felhatalmazáson alapuló jogi aktusokra hagy.

24.

Bár az európai adatvédelmi biztos elismeri, hogy szükség van rugalmasságra, így felhatalmazáson alapuló jogi aktusokra is, hangsúlyozza, hogy a szükséges adatvédelmi biztosítékok olyan alapvető elemek, amelyeket közvetlenül az irányelvjavaslat szövegében egyértelműen és kifejezetten kell rögzíteni. Ezáltal nem tekinthetők „nem alapvető fontosságú elemeknek”, amelyek az Európai Unió működéséről szóló szerződés 290. cikke szerint elfogadott, felhatalmazáson alapuló jogi aktusokban később rögzíthetők.

25.

Ezért az európai adatvédelmi biztos ajánlja, hogy a javaslat adatvédelmi rendelkezéseit konkrétabban fogalmazzák meg, és azok ne csupán hivatkozzanak a 95/46/EK irányelvre (lásd a 3.4–3.13. szakaszt). Ezt követően a konkrét biztosítékok megvalósításával kapcsolatos kiegészítő rendelkezéseket lehet – az európai adatvédelmi biztossal és adott esetben a nemzeti adatvédelmi hatóságokkal folytatott konzultáció alapján – felhatalmazáson alapuló jogi aktusokban rögzíteni (lásd alább a 3.5., 3.6., 3.8., 3.9., 3.10., 3.12. és a 3.13. szakaszt).

26.

Amellett, hogy a javaslat nem tér ki a legfontosabb adatvédelmi biztosítékokra, több más vonatkozásban is igencsak tágan értelmezhető rendelkezéseket tartalmaz. Alapvető elemek meghatározását is felhatalmazáson alapuló jogi aktusokra hagyja, nevezetesen azt, hogy hogyan kívánja megvalósítani i. a cégnyilvántartások javasolt összekapcsolását és ii. az adatok tervezett nyilvános közzétételét.

27.

Az, hogy a javaslat pontosítsa ezeket az alapvető elemeket, a megfelelő adatvédelmi biztosítékok elfogadásának szükséges előfeltétele. Ezért az európai adatvédelmi biztos javasolja, hogy a szóban forgó alapvető elemeket magában az irányelvjavaslatban rögzítsék (lásd a 3.4. és 3.5. szakaszt).

28.

Pillanatnyilag a javaslat felhatalmazáson alapuló jogi aktusokra hagyja az elektronikus hálózat irányításával, igazgatásával, működtetésével és képviseletével kapcsolatos szabályok megállapítását (17).

29.

Bár a hatásvizsgálat és az indokolás bizonyos szinergiákat állapít meg a belső piaci információs rendszerrel és az e-igazságügyi portállal, az irányelvjavaslat szövege nyitva hagy különböző lehetőségeket e szinergiák – vagy közülük bármelyik – megvalósulására, beleértve az európai cégjegyzék átalakítását, bizonyos adatcserék esetében a belső piaci információs rendszer használatát, illetve az e-igazságügyi portál mint az információnak a cégnyilvántartásoktól a nagyközönségig történő eljutását szolgáló platform/hozzáférési pont használatát.

30.

Más lehetőségek sincsenek kizárva, pl. ajánlati felhívás az elektronikus hálózat megtervezésére és működtetésére, vagy a Bizottság közvetlen szerepvállalása a rendszer tervezésében és működtetésében. A tagállamok képviselőit szintén be lehet vonni az elektronikus hálózat irányítási struktúrájába.

31.

Ezenfelül, bár a javaslat jelenlegi formájában „egységes európai elektronikus platformot” irányoz elő (kiemelés tőlünk), nem kizárt, hogy a szöveget a jogalkotási eljárás során tovább módosítják egy decentralizáltabb struktúra irányába.

32.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy bár a jelenlegi javaslat nem kifejezetten a cégnyilvántartásoknak más adatbázisokkal (pl. ingatlan-nyilvántartás, anyakönyv) történő összekapcsolásával foglalkozik, ez műszakilag kétségkívül lehetséges, sőt egyes tagállamokban már folyamatban is van (18).

33.

Az egyik vagy másik említett lehetőség választásával az elektronikus hálózat és a nyilvános közzétételhez használt elektronikus eszköz irányításának teljesen eltérő struktúrája jöhet létre. Ez viszont a részt vevő felek eltérő szerepét és kötelezettségeit vonja maga után, ami adatvédelmi szempontból szintén eltérő szerepekhez és kötelezettségekhez vezet.

34.

Ezzel kapcsolatban az európai adatvédelmi biztos hangsúlyozza, hogy minden olyan helyzetben, amikor személyes adatokat dolgoznak fel, nagyon fontos annak meghatározása, hogy ki az „adatkezelő”. Ezt a 29. cikk alapján létrehozott adatvédelmi munkacsoport is hangsúlyozta az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 1/2010. sz. véleményében (19). Az elsődleges ok, amiért az adatkezelő világos és egyértelmű azonosítása annyira fontos, az, hogy ez meghatározza, ki felel az adatvédelmi szabályok betartásáért, és abból a szempontból is releváns, hogy melyik lesz az alkalmazandó jog (20).

35.

Ahogy a 29. cikk alapján létrehozott munkacsoport véleménye kimondja: „Ha nem kellően egyértelmű, hogy kitől mit várnak el – pl. senki sem felelős, vagy sok lehetséges adatkezelő van –, akkor nyilvánvalóan fennáll annak a veszélye, hogy nem sok minden történik, ha bármi is történik egyáltalán, és hogy a jogi rendelkezések hatástalanok maradnak.”

36.

Az európai adatvédelmi biztos hangsúlyozza, hogy a pontos fogalmazásra különösen olyan helyzetekben van szükség, amikor sok szereplő működik együtt. Sokszor ez a helyzet a közcélokra használt uniós információs rendszerekkel, ezek esetében ugyanis az adatfeldolgozás célját az uniós jog meghatározza.

37.

Ezért az európai adatvédelmi biztos ajánlja, hogy közvetlenül a javaslat szövegében, továbbá konkrétan, világosan és egyértelműen rögzítsék:

38.

Adatvédelmi szempontból ezeknek a pontosításoknak konkrétaknak és egyértelműeknek is kell lenniük annak érdekében, hogy maga az irányelvjavaslat alapján megállapítható legyen, hogy egy adott szereplő „adatkezelőnek” vagy „adatfeldolgozónak” minősül-e.

39.

Általában – ahogyan ez a jelenlegi javaslat egészéből is kitűnik – a javaslatnak kifejezetten hozzá kell segítenie annak megállapításához, hogy a cégnyilvántartások kezelői, valamint a rendszer üzemeltetője/üzemeltetői – tekintettel saját tevékenységükre – adatkezelőnek minősülnek-e. Ugyanakkor – figyelembe véve, hogy a javaslat jelenleg nem írja le az irányítási struktúrát, és nem határozza meg, hogy ki lesz az elektronikus rendszer üzemeltetője – nem zárható ki, hogy a rendszert a gyakorlatban üzemeltető szervezet vagy szervezetek nem is adatkezelőként, hanem inkább adatfeldolgozóként járnak majd el. Ez különösen akkor fordulhat elő, ha ezt a tevékenységet kiszervezik harmadik félhez, aki szigorúan utasítások alapján jár el. Mindenesetre úgy tűnik, hogy több adatkezelő marad – tagállamonként legalább egy: azok a szervezetek, akik a cégnyilvántartásokat fenntartják. Az sem változtat ezen, hogy más (magán)szervezetek is részt vehetnek a tevékenységben üzemeltetői, „terjesztői” vagy más minőségben. Az egyértelműség és a jogbiztonság érdekében ezt mindenképpen rögzíteni kell az irányelvjavaslatban.

40.

Végül, de nem utolsósorban a javaslatnak konkrétabban és átfogóbban le kell írnia a fenti szerepekből következő kötelezettségeket. A javaslatba bele kell foglalni például a működtető szerepét annak biztosításában, hogy a rendszert adatvédelmi szempontból kedvezően tervezzék meg, valamint a működtetőnek az adatvédelmi kérdésekkel kapcsolatos koordináló szerepét.

41.

Az európai adatvédelmi biztos megjegyzi, hogy ezek a pontosítások annak megállapításánál is lényegesek lesznek, hogy melyik adatvédelmi felügyeleti hatóságok illetékesek, és mely személyesadat-feldolgozások tekintetében.

42.

Úgy tűnik, az elektronikus hálózat a jelenlegi formájában nem teheti automatikusan elérhetővé az egyes cégnyilvántartásokban található összes információt bármely más tagállam valamennyi cégnyilvántartása számára. A javaslat csupán a cégnyilvántartások összekapcsolását és átjárhatóságát írja elő, és azokról a feltételekről rendelkezik, amelyekkel a jövőbeli információcsere és az információkhoz való hozzáférés lehetővé válik. A jogbiztonság érdekében a javaslatnak pontosítania kell, hogy ez az értelmezés helyes-e.

43.

Ezenfelül a javaslat nem határozza meg, hogy az összekapcsolt cégnyilvántartásokon keresztül milyen adatáramlásokra/igazgatási együttműködési eljárásokra kerülhet sor (21). Az európai adatvédelmi biztos megérti, hogy bizonyos rugalmasságra szükség lehet annak érdekében, hogy a rendszer megfelelhessen a jövőben felmerülő igényeknek. Ennek fényében alapvető fontosságúnak tartja, hogy a javaslat meghatározza azon adatáramlások és igazgatási együttműködési eljárások keretrendszerét, amelyek az elektronikus hálózat használata során a jövőben előfordulhatnak. Ez különösen annak biztosításához fontos, hogy i. minden adatcsere biztos jogi alapokon nyugodjon, és ii. megfelelő adatvédelmi biztosítékok álljanak rendelkezésre.

44.

Az európai adatvédelmi biztos szerint az elektronikus hálózat segítségével történő bármilyen adatcserének és más adatfeldolgozó tevékenységnek (pl. személyes adatoknak a közös platformon/hozzáférési ponton keresztül történő nyilvános közzététele) biztos jogi alapok szerint elfogadott, kötelező erejű uniós jogi aktuson kell alapulnia. Ezt egyértelműen ki kell mondani az irányelvjavaslatban (22).

45.

Mindezek mellett a javaslat úgy rendelkezik, hogy felhatalmazáson alapuló jogi aktusok döntsenek a következő kérdésekről (23):

46.

Az első és második francia bekezdés tekintetében az európai adatvédelmi biztos úgy véli, hogy bizonyos alapvető biztosítékokról magában az irányelvjavaslatban kellene rendelkezni (lásd alább a 3.12. és 3.13. szakaszt). Ezt követően a további részletek már felhatalmazáson alapuló jogi aktusokban is megállapíthatók.

47.

Az automatizált adatcserével kapcsolatban az európai adatvédelmi biztos örömére szolgál, hogy a javaslat előírja, a felhatalmazáson alapuló jogi aktusok rendelkezzenek a következőről: „az okiratok és az adatok tárolására és visszakeresésére vonatkozó formátum, tartalom és korlátok standardjainak meghatározása, ami lehetővé teszi az adatcserét”.

48.

Ezzel kapcsolatosan a pontosítás érdekében az európai adatvédelmi biztos javasolja, hogy maga az irányelvjavaslat egyértelműen határozza meg, hogy az elektronikus hálózat lehetővé tesz i. konkrét eseti kézi adatcserét a cégnyilvántartások között (ahogyan egy uniós jogszabály pl. az egyesülés és a székhelyáthelyezés esetében lehetővé teszi); és ii. automatikus adattovábbításokat (ahogyan egy uniós jogszabály pl. a külföldi fióktelepek nyilvántartásában szereplő információk frissítésének esetében lehetővé teszi).

49.

A további pontosítás céljából az európai adatvédelmi biztos szintén javasolja, hogy a 2009/101/EK irányelv szóban forgó 4a. cikke (3) bekezdése i) pontjának tervezett szövegét módosítsák annak biztosítása érdekében, hogy i. a felhatalmazáson alapuló jogi aktusok átfogóan fedjék le a kézi és az automatizált adatcserét egyaránt, ii. hatályuk a személyes adatokat esetlegesen érintő összes adatfeldolgozási műveletre (nem csak az adatok tárolására és az adatlekérdezésekre) kiterjedjen, és iii. a felhatalmazáson alapuló jogi aktusok speciális adatvédelmi rendelkezései is biztosítsák a vonatkozó adatvédelmi biztosítékok gyakorlati alkalmazását.

50.

Szemléltetés céljából a 4a. cikk (3) bekezdése i) pontjának szövegét például a következőképpen lehetne módosítani:

51.

Előzetes megjegyzésként az európai adatvédelmi biztos hangsúlyozza, hogy bár a társaságok képviselőinek (és a társaságok irányításában részt vevő más személyeknek) neve (és más adatai, pl. lakcíme) kétségtelenül a legnyilvánvalóbb személyes adatnak minősül, amely az elektronikus hálózat útján feldolgozható, illetve közös elektronikus platformon/hozzáférési ponton keresztül nyilvánosan közzétehető, ez semmiképpen sem az egyetlen személyes adat, amely a cégnyilvántartásokban szerepel.

52.

Először is a 2009/101/EK irányelv 2. cikkében felsorolt egyes dokumentumok (pl. létesítő okirat, alapszabály és pénzügyi beszámolók) más egyének személyes adatait is tartalmazhatják. Ezen adatok közé tartozik például számos személy – többek között a társaságot alapító magánszemélyek, a társaságok részvényesei, jogi képviselői, könyvelői, munkavállalói vagy közjegyzői – neve, címe, azonosítószámai és születési dátuma, sőt aláírási mintája is.

53.

Másodszor, a magánszemély (pl. igazgató) nevéhez köthető cégadatok szintén az adott személyre vonatkozó személyes adatnak tekinthetők. Ha például a cégnyilvántartásból származó adatok tanúsága szerint egy adott személy tagja egy felszámolás alatt álló társaság igazgatótanácsának, ez az információ a szóban forgó személy szempontjából is releváns.

54.

Annak pontosítása érdekében, hogy milyen személyes adatok feldolgozására kerül sor, és annak biztosítása céljából, hogy a feldolgozott személyes adatok köre arányos legyen a javaslat célkitűzéseivel, az európai adatvédelmi biztos a jelen 3.7. szakasz további részében kifejtett pontosításokat javasolja.

55.

A 2009/101/EK irányelv 2. cikke nem határozza meg, hogy az érintett egyének (társaságok képviselői és a vállalatirányításban részt vevő más személyek) milyen „adatait” kell közzétenni.

56.

Ráadásul a javaslat különböző nyelvi változatai jelentősen eltérnek a „személyek adatai” kifejezés fordításában. Például a kifejezés franciául így hangzik: „l’identité des personnes” (személyazonosító adatok); olaszul „le generalità delle persone” (személyes adatok, pl. kereszt- és vezetéknév), magyarul „személyek adatai” (a magánszemélyre vonatkozó adatok), hollandul „de identiteit van de personen” (személyazonosító adatok), és románul „identitatea persoanelor” (személyazonosító adatok).

57.

Emellett egyes tagállamokban a társaságok igazgatói és/vagy más magánszemélyek (pl. egyes részvényesek) lakcímét rutinszerűen nyilvánosan elérhetővé teszik az interneten. Más tagállamokban a cégnyilvántartás, ahová benyújtják az adatokat, titoktartási megfontolásból – a személyazonossággal való visszaélés veszélyét is beleértve – bizalmasan kezeli ezt az információt.

58.

Az európai adatvédelmi biztos a 2009/101/EK irányelv 2. cikkének módosítását javasolja annak pontosítása érdekében, hogy az érintett magánszemélyek (társaságok képviselői és a vállalatirányításban részt vevő más személyek) nevén kívül – ha egyáltalán szükséges – milyen személyes adatokat kell közzétenni. Ennek során gondosan figyelembe kell venni az átláthatóság követelményét és a szóban forgó személyek pontos azonosíthatóságának szükségességét, ugyanakkor egyensúlyba kell állítani más, ezekkel versengő szempontokkal, ilyen pl. az érintett személyek magánéletének védelme (24).

59.

Amennyiben az eltérő nemzeti gyakorlatok miatt nem születik megállapodás, a 2. cikket legalább annyiban módosítani kellene, hogy előírja: „az érintett személyek teljes nevét, valamint – ha a nemzeti jogszabály kifejezetten kötelezővé teszi – az azonosításukhoz szükséges további adatokat” kell közzétenni. Így már egyértelmű lesz, hogy az egyes tagállamokra hárul a nemzeti jogszabályokban annak eldöntése, hogy a néven kívül milyen „adatokat” kell közzétenni – ha egyáltalán szükséges –, és hogy a további személyes adatok közzététele csak akkor kötelező-e, ha ez az érintett magánszemélyek azonosításához elengedhetetlen.

60.

Egy másik lehetőség szerint, és figyelembe véve, hogy a 2. cikk az európai cégnyilvántartások tartalmának teljes harmonizálása helyett inkább a „minimális információkat” sorolja fel, a „személyek adatai” kifejezést egyszerűen fel kellene cserélni a „személyek teljes neve” kifejezéssel. Ezután már azt is az egyes tagállamok dönthetnék el, hogy milyen további információkat kívánnak közzétenni, ha ez egyáltalán szükséges.

61.

A 2009/101/EK irányelv 2. cikke kötelezővé teszi olyan személyek adatainak közzétételét, akik részt vesznek a társaság „ügyvezetésében, felügyeletében, illetve ellenőrzésében”. E tág megfogalmazás alapján nem teljesen egyértelmű, hogy a részvényesekre vonatkozó adatok közzététele is kötelező-e: különösen azon részvényesek adatai, akik i. egy bizonyos küszöbértéket meghaladó jelentős, befolyást vagy többségi befolyást biztosító részesedéssel rendelkeznek, vagy ii. aranyrészvények jogcímén speciális szerződéses megállapodással vagy más módon tényleges ellenőrzést/befolyást szereztek a társaság felett.

62.

Az európai adatvédelmi biztos megérti, hogy a tág megfogalmazásra a korlátolt felelősségű társaságok esetében a különböző tagállamokban jelenleg létező sokféle vállalatirányítási struktúra lefedése miatt van szükség. Ennek fényében adatvédelmi szempontból alapvető fontosságú a jogbiztonság azon személyek kategóriáival kapcsolatban, akiknek adatai közzétehetők. Ezért az adatvédelmi biztos a 2009/101/EK irányelv 2. cikkének módosítását ajánlja annak pontosítása érdekében, hogy a részvényesekre vonatkozóan milyen személyes adatokat kell közzétenni, ha egyáltalán szükséges. Ennek során a Schecke-ügyben említett arányossági elemzést (lásd fentebb) is el kell végezni.

63.

Bár a javaslat nem írja elő, hogy a 2009/101/EK irányelv 2. cikkében rögzített minimumkövetelményeken felül is kötelező a személyes adatok cseréje vagy közzététele, nem is zárja ki, hogy a tagállamok – szabad választásuk szerint – előírhatják, hogy cégnyilvántartásaik további személyes adatokat is feldolgozzanak vagy közzétegyenek, és ezeket az adatokat a közös európai platformon/hozzáférési ponton keresztül is elérhetővé tegyék, illetve más tagállamok cégnyilvántartásaival cseréljenek ilyen adatokat.

64.

A „feketelisták” tekintetében ez különösen érzékeny kérdés. Néhány országban az elektronikus nyilvántartás ténylegesen valamiféle „feketelistaként” is funkcionál, és egy elektronikus portálon keresztül bármely harmadik fél tevékenységüktől eltiltott vállalati képviselőkkel kapcsolatos információkat kereshet benne.

65.

E kérdés megoldásához az európai adatvédelmi biztos azt ajánlja, pontosítsák a javaslatban, hogy a tagállamok adott esetben saját jogszabályaik alapján – ha így döntenek – több információt is közzétehetnek-e a közös portálon keresztül, illetve cserélhetnek-e egymással, és ha igen, milyen mértékben. Ebben az esetben a szigorú arányossági értékelésnek (lásd a fent említett Schecke-ügyet) a nemzeti jogszabályokon kell alapulnia, és szempontként a belső piac célkitűzéseit is figyelembe kell vennie.

66.

Ezenfelül az európai adatvédelmi biztos javasolja, hogy ezeket a hatásköröket a nemzeti adatvédelmi hatóságok – például konzultációs – szerepéhez kössék.

67.

Végül az európai adatvédelmi biztos hangsúlyozza, hogy amennyiben egy európai rendszer kifejezetten kötelezővé tenné az említett „feketelistákat”, ezt kimondottan rögzíteni kell az irányelvjavaslatban (25).

68.

Az európai adatvédelmi biztos ajánlja, hogy az irányelvjavaslat kifejezetten rendelkezzen arról, hogy minden olyan esetben, amikor személyes adatokat közzétesznek vagy cégnyilvántartások között megosztanak, megfelelő biztosítékokat léptessenek életbe különösen az adatok megszerzése, az adatbányászat, az adatok kombinálása és a túlzott keresés ellen, biztosítva ezzel azt, hogy az átláthatóság céljából elérhetővé tett személyes adatokkal ne éljenek vissza további, a jelenlegihez nem kapcsolódó célokból (26).

69.

Az európai adatvédelmi biztos kifejezetten hangsúlyozza, hogy a beépített adatvédelem elvét követve szükség van a technológiai és szervezeti intézkedések áttekintésére (lásd a 3.14. szakaszt alább). Az említett biztosítékok gyakorlati megvalósítása felhatalmazáson alapuló jogi aktusokra hagyható. Az elveket azonban magában az irányelvjavaslatban kell rögzíteni.

70.

Az európai adatvédelmi biztos ajánlja, hogy az irányelvjavaslat tartalmazzon egy speciális rendelkezést, amely előírja, hogy a 95/46/EK irányelv 10. és 11. cikke (és adott esetben a 45/2001/EK rendelet ezeknek megfelelő rendelkezései) szerinti információkat ténylegesen és minden részletre kiterjedően bocsássák az érintettek rendelkezésére. Ezenkívül az irányelvjavaslat – a megállapodás szerinti irányítási struktúrától és a különböző részt vevő felek szerepétől és kötelezettségeitől függően – kifejezetten előírhatja, hogy a rendszer működtetőjének a weboldalán keresztül, sőt a cégnyilvántartások „nevében” is aktív szerepet kell vállalnia az érintettek értesítésében és tájékoztatásában. A további részletes szabályok szükség esetén felhatalmazáson alapuló jogi aktusokba foglalhatók, vagy adatvédelmi politikában is meg lehet azokat határozni.

71.

A javaslatnak legalább meg kell említenie azt a követelményt, hogy egy olyan rendszer módozatait kell kidolgozni (felhatalmazáson alapuló jogi aktusokban), amely lehetővé teszi, hogy az érintettek éljenek a jogaikkal. Meg kell továbbá említeni egy adatvédelmi modul kiépítésének lehetőségét, és a beépített adatvédelmi megoldások lehetőségét a hozzáférési jogokkal kapcsolatosan a hatóságok közötti együttműködésben, valamint adott esetben „az érintettek felhatalmazását”.

72.

Figyelemmel arra, hogy a Bizottság, illetve más uniós intézmény/szerv is dolgozhat fel személyes adatokat az elektronikus hálózatban (pl. a hálózat üzemeltetőjeként, vagy személyes adatok lekérdezése útján), a 45/2001/EK rendeletre is utalni kell a szövegben.

73.

Pontosítani kell azt is, hogy a cégnyilvántartásokra és a tagállamokban saját nemzeti jogszabályaik szerint eljáró egyéb felekre a 95/46/EK irányelv, míg a Bizottságra és más uniós intézményekre és szervekre a 45/2001/EK rendelet alkalmazandó.

74.

Azzal kapcsolatban, ha egy unióbeli cégnyilvántartás kezelője egy olyan harmadik országban található cégnyilvántartás kezelőjének továbbít személyes adatokat, amely a személyes adatok tekintetében nem biztosít megfelelő szintű védelmet, az európai adatvédelmi biztos elsősorban azt hangsúlyozza, hogy különbséget kell tenni két helyzet között:

75.

Az első esetre vonatkozóan a 95/46/EK irányelv 26. cikke (1) bekezdésének f) pontja – bizonyos feltételekkel – lehetővé tesz egy kivételt: amikor „a továbbítást [közhitelű] nyilvántartásból végzik”. Ha például az egyik európai ország cégnyilvántartásának kezelője egy konkrét személyesadat-állományt (pl. külföldi fióktelepek nyilvántartásával kapcsolatban) harmadik ország cégnyilvántartása kezelőjének kíván továbbítani, és a szóban forgó adatok már nyilvánosan elérhetők, a továbbítást mindenképpen lehetővé kell tenni még akkor is, ha az adott harmadik ország nem biztosít megfelelő szintű adatvédelmet.

76.

A második esetre vonatkozóan az európai adatvédelmi biztos ajánlja, hogy a javaslat tegye egyértelművé, hogy nyilvánosan nem elérhető adatok megfelelő védelmet nem biztosító országban letelepedett jogi vagy magánszemélyeknek csak akkor továbbíthatók, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében. Ilyen garanciát jelenthetnek elsősorban a 95/46/EK irányelv 26. cikkének (2) bekezdésében említett megfelelő szerződési feltételek (27). Amennyiben a harmadik országokba irányuló említett adattovábbításokban szisztematikusan két vagy több uniós országbeli cégnyilvántartás között megosztott adatok szerepelnek, vagy ha az uniós szintű fellépés más okból kívánatos, a szerződési feltételek tárgyalása uniós szinten is történhet (26. cikk (4) bekezdés).

77.

Az európai adatvédelmi biztos hangsúlyozza, hogy egyéb eltéréseket, köztük a 26. cikk (1) bekezdésének d) pontjában foglalt eltérést, miszerint „a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő”, nem szabad az elektronikus hálózat segítségével történő, harmadik országokba irányuló szisztematikus adattovábbítások indokolására használni.

78.

Az európai adatvédelmi biztos ajánlja, hogy a javaslat kifejezetten említse meg az elszámoltathatóság elvét, és törekedjen annak megvalósítására (28), valamint megfelelő belső mechanizmusok és ellenőrző rendszerek világos keretét hozza létre, hogy biztosítsák az adatvédelmi szabályok betartását, és igazolják is azt; ez a keret a következőkből áll:

79.

A beépített adatvédelemmel (29) kapcsolatban a javaslatnak kifejezetten meg kellene említenie ezt az elvet, és ennek a kötelezettségnek konkrét intézkedések formáját kellene öltenie. A javaslatban ki kell mondani, hogy az elektronikus hálózatot biztonságosan és szakszerűen kell kiépíteni, hogy már alapértelmezésben sokféle adatvédelmi garancia legyen beleépítve. Néhány lehetséges példa a beépített adatvédelemmel kapcsolatos biztosítékokra:

80.

Az európai adatvédelmi biztos támogatja a javaslat célkitűzéseit. Észrevételeit e konstruktív megközelítés fényében kell értékelni.

81.

Az európai adatvédelmi biztos hangsúlyozza, hogy a szükséges adatvédelmi biztosítékokat világosan és konkrétan, közvetlenül az irányelv szövegében kell meghatározni, mivel azokat alapvető elemeknek tartja. Ezután a konkrét biztosítékok megvalósításával kapcsolatos kiegészítő rendelkezéseket felhatalmazáson alapuló jogi aktusokban lehet rögzíteni.

82.

Az irányítás, a szerepek, hatáskörök és kötelezettségek kérdésével az irányelvjavaslatban kell foglalkozni. Ezért az irányelvjavaslatnak meg kell határoznia:

83.

Az elektronikus hálózat segítségével történő bármilyen adatfeldolgozó tevékenységnek kötelező erejű jogi eszközön, például biztos jogi alapok szerint elfogadott, konkrét uniós aktuson kell alapulnia. Ezt egyértelműen rögzíteni kell az irányelvjavaslatban.

84.

Az alkalmazandó joggal kapcsolatos rendelkezéseket pontosítani kell, és a szövegben hivatkozni kell a 45/2001/EK rendeletre.

85.

A harmadik országokba irányuló személyesadat-továbbításokra vonatkozóan a javaslatnak egyértelművé kell tennie, hogy – főszabály szerint, és a 95/46/EK irányelv 26. cikke (1) bekezdésének f) pontja szerinti eseteket kivéve – megfelelő védelmet nem biztosító országban letelepedett jogi vagy magánszemélyeknek csak akkor továbbíthatók adatok, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében. Ilyen garanciát jelenthetnek elsősorban a 95/46/EK irányelv 26. cikke szerinti megfelelő szerződési feltételek.

86.

Ezenfelül a Bizottságnak alaposan fel kell mérnie, milyen technikai és szervezeti intézkedéseket kellene tenni annak biztosítására, hogy a magánélet védelme és az adatvédelem „be legyen építve” az elektronikus hálózat architektúrájába („beépített adatvédelem”), és megfelelő kontrollokat vezessenek be, hogy biztosítsák az adatvédelmi szabályok betartását, és igazolják is azt („elszámoltathatóság”).

87.

Az európai adatvédelmi biztos egyéb ajánlásai: