6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/1

1.

Az Európai Unió elnöksége a 2008. június 12-i EU-csúcstalálkozóra figyelemmel 2008. május 28-án bejelentette a COREPER-nek, hogy az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport (a továbbiakban: HLCG) véglegesítette jelentését. E jelentést (1)2008. június 26-án hozták nyilvánosságra.

2.

A jelentés célja az Egyesült Államokkal a terrorizmus és a súlyos nemzetközi bűnözés elleni küzdelem érdekében való információcsere felé vezető út első lépéseként a magánélet és az adatok védelmére vonatkozó közös alapelvek meghatározása.

3.

A Tanács elnöksége bejelentésében megállapította, hogy szívesen lát a jelentés továbbvitelét szolgáló bármely gondolatot, különösen a jelentésben nevesített további lépésekre vonatkozó ajánlásokra való reakciókat. Az európai adatvédelmi biztos e felkérésre az alábbi vélemény kiadásával válaszol, amely a helyzet jelenlegi állásáról a nyilvánosság elé tárt információkon alapul, és amely nem befolyásolja a kérdés alakulására figyelemmel esetlegesen kialakított bármely további állásfoglalását.

4.

Az európai adatvédelmi biztos megállapítja, hogy a magas szintű kapcsolattartó csoport munkáját olyan keretben végezte, melyre – különösen 2001. szeptember 11-ét követően – az USA és az EU közötti adatcsere nemzetközi megállapodásokon és más típusú jogi eszközökön keresztüli fejlődése volt jellemző. Ezen eszközök között találhatók az Egyesült Államok és az Europol valamint az Eurojust közötti megállapodások, a PNR-megállapodások, és a SWIFT-ügy, mely az EU és az USA tisztviselői között a minimális adatvédelmi garanciák meghatározása érdekében folytatott levélváltáshoz vezetett (2).

5.

Ezenfelül az EU szintén tárgyalásokat folytat és hasonló jogi eszközöket fogad el a személyes adatok harmadik országokkal való cseréjére vonatkozóan. Közelmúltbeli példa erre az Európai Unió és Ausztrália közötti, az Európai Unióból származó utasnyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Ausztrál Vámszolgálat részére történő továbbításáról szóló megállapodás (3).

6.

Ennek alapján úgy tűnik, hogy a harmadik országok bűnüldöző hatóságainak a személyes adatok iránti igénye folyamatosan növekszik, és a hagyományos kormányzati adatbázisokon túl más típusú – különösen a magánszektor által gyűjtött – adatfájlokra is kiterjed.

7.

Az európai adatvédelmi biztos fontos háttér-információként emlékeztet, hogy a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében személyes adatok harmadik országok felé való továbbításának kérdését a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló tanácsi kerethatározat (4) szabályozza, melynek elfogadására valószínűleg 2008 vége előtt sor kerül.

8.

Ez a transzatlanti információcsere csak bővülni fog, és olyan további ágazatokat is érint majd, melyekben személyes adatokat dolgoznak fel. Ilyen körülmények között a transzatlanti bűnüldözésről szóló párbeszéd egyszerre üdvözlendő és érzékeny is. Üdvözlendő abban az értelemben, hogy világosabb keretet adhat a jelenlegi vagy később megvalósuló adatcseréknek. Érzékeny is, mivel egy ilyen keret olyan területen – a bűnüldözés területén – tehet törvényessé tömeges adattovábbításokat, ahol különösen komoly az egyéneket érintő hatás, és ahol ennélfogva szigorú és megbízható biztosítékokra és garanciákra van szükség (5).

9.

E vélemény a következő fejezetben a jelenlegi helyzettel és a lehetséges további lépésekkel foglalkozik. A III. fejezet az információmegosztást lehető tévő eszköz alkalmazási körére és jellegére összpontosít. A vélemény a IV. fejezetben általánosságban elemzi a lehetséges megállapodás tartalmával kapcsolatos jogi kérdéseket. Olyan problémákkal foglalkozik, mint például az Egyesült Államokban biztosított védelem szintjének értékelésére vonatkozó kritériumok, és tárgyalja az uniós szabályozási keret e védelmi szint értékelésére szolgáló referenciamutatóként való felhasználását. E fejezet ezenkívül felsorolja azon alapkövetelményeket, melyeket egy ilyen megállapodásnak tartalmaznia kell. Végül a vélemény V. fejezete a jelentés mellékletét képező, magánéletre vonatkozó elvek elemzését adja.

10.

Az európai adatvédelmi biztos jelenlegi helyzetre vonatkozó értékelése a következő: Az információmegosztás, valamint a magánélet és a személyes adatok védelme közös szabványainak meghatározásában sikerült némi eredményt elérni.

11.

Azonban az EU és az USA közötti bármely típusú megállapodás előkészítése még nem ért véget. További munkára van szükség. Magának a magas szintű kapcsolattartó csoportnak a jelentése is számos lezáratlan kérdést említ, melyek közül kiemelkedik a jogorvoslat kérdése. A bíróság előtti jogorvoslat szükséges alkalmazási körét illetően nem sikerült megegyezni (6). A jelentés 3. fejezete további öt lezáratlan kérdést határozott meg. E véleményből következik továbbá, hogy sok más kérdés sem került még lezárásra, így például az információmegosztásra vonatkozó eszköz alkalmazási körének és jellegének kérdése.

12.

Mivel a jelentés – ahogyan az európai adatvédelmi biztos is – jogilag kötelező megállapodás lehetőségét részesíti előnyben, annál inkább óvatosságra van szükség. További gondos és részletes előkészületekre van szükség, mielőtt megállapodás születhetne.

13.

Végül az európai adatvédelmi biztos szerint az lenne a legmegfelelőbb, ha a megállapodás a Lisszaboni Szerződésen alapulna, természetesen annak hatálybalépésétől függően. A Lisszaboni Szerződés mint jogalap ugyanis nem hagyna jogi bizonytalanságot az EU pilléreit elválasztó határral kapcsolatban. Ezenfelül biztosítva lenne az Európai Parlament teljes mértékű részvétele és az Európai Bíróság általi felülvizsgálat.

14.

Ilyen körülmények között a legjobb lépés egy egy későbbi szakaszban megkötendő esetleges megállapodás felé vezető ütemterv kidolgozása lenne. Az ütemterv az alábbi elemeket tartalmazhatná:

15.

Az európai adatvédelmi biztos szerint a lehetséges eszköz továbbfejlesztésének első lépésében alapvető fontosságú az eszköz alkalmazási körének és jellegének – így az adatvédelmi elveknek is – a pontos meghatározása.

16.

Alkalmazási körét illetően az alábbi fontos kérdésekre kell választ adni:

17.

A jelleg meghatározásának az alábbi kérdésekre kell választ adnia:

18.

Noha a magas szintű kapcsolattartó csoport jelentésében nem adja meg egyértelműen a jövőbeli eszköz alkalmazási körét, a benne említett alapelvekből következtetni lehet arra, hogy a tervek szerint szabályozni fogja a magán- és a köz-szektor szereplői (7), valamint a hatóságok közötti adattovábbítást.

19.

Az európai adatvédelmi biztos érti a jövőbeli eszköz magán- és állami szereplők közötti adattovábbításra való alkalmazhatóságának logikáját. Egy ilyen eszköz kidolgozására az USA részéről a magánszektor szereplőitől kért adatok miatt kerül sor az elmúlt években. Az európai adatvédelmi biztos megállapítja, hogy a magánszektor szereplői a bűnüldözési információk szisztematikus forrásává válnak, mind uniós, mind nemzetközi szinten (8). A SWIFT-ügy – amikor is egy magánvállalatot arra kértek, hogy szisztematikusan továbbítson tömegesen adatokat egy harmadik állam bűnüldöző hatóságainak (9)– ennek ékes példája. A légitársaságoktól való PNR-adatgyűjtés ugyanezt a logikát követi. Az európai PNR-rendszerre vonatkozó kerethatározat-tervezetről szóló véleményében az európai adatvédelmi biztos már megkérdőjelezte e tendencia jogszerűségét (10).

20.

Két másik ok is kérdésessé teszi a jövőbeli eszköznek a magán- és az állami szféra szereplői közötti adattovábbításra való kiterjesztését.

21.

Először is e kiterjesztés nem kívánt hatással járhat az EU területén belül. Az európai adatvédelmi biztosnak komoly fenntartása van amiatt, hogy ha magánvállalatok (pl. pénzintézetek) adatait elvben továbbítani lehet harmadik országoknak, ez erős nyomást fejthet ki annak irányában, hogy az ugyanilyen típusú adatokat az EU-n belül is a bűnüldöző hatóságok rendelkezésére bocsássák. A PNR-rendszer példa egy ilyen nem kívánt fejleményre, mely azzal kezdődött, hogy az USA nagy tömegben gyűjtött az utasokra vonatkozó adatokat, amit az Európán belüli keretre is átültettek (11) anélkül, hogy a rendszer szükségessége vagy arányossága egyértelmű bizonyítást nyert volna.

22.

Másodszor, az EU-PNR-re vonatkozó bizottsági javaslatról szóló véleményében az európai adatvédelmi biztos szintén felvetette a magán- és a közszektor szereplői közötti együttműködés feltételeire alkalmazandó adatvédelmi keret (első vagy harmadik pillér) kérdését: a szabályokat az adatkezelői minőségre (magánszektor) vagy a célra (bűnüldözés) alapozzák-e? Az első és harmadik pillér közötti választóvonal korántsem egyértelmű az olyan helyzetekben, amikor a magánszektor szereplőit személyes adatok bűnüldözési célból való feldolgozására vonatkozó kötelezettségek terhelik. Ebben az összefüggésben fontos, hogy az adatmegőrzési ügyben (12) megfogalmazott közelmúltbeli véleményében Yves Bot főtanácsnok e helyzetek egymástól való elválasztását javasolja, de e javaslatot az alábbiakkal egészíti ki: „Ezt a választóvonal természetesen lehet kritizálni, és az bizonyos szempontból mesterségesnek tűnhet.” Az európai adatvédelmi biztos azt is megállapítja, hogy a Bíróság PNR-ítélete (13) nem ad teljes mértékben választ az alkalmazandó jogi keret kérdésére. Például az a tény, hogy a 95/46/EK irányelv nem terjed ki bizonyos tevékenységekre, nem jelenti automatikusan azt, hogy azon tevékenységeket a harmadik pillér alatt lehet szabályozni. Ennek esetlegesen az alkalmazandó jogra vonatkozó joghézag az eredménye, de az adatalanyok rendelkezésére álló jogi garanciák tekintetében mindenképpen jogbizonytalanságot okoz.

23.

Az európai adatvédelmi biztos ezek alapján hangsúlyozza, hogy biztosítani kell, hogy az általános adatvédelmi elvekkel rendelkező jövőbeli eszköz ne tehesse jogszerűvé a személyes adatoknak a magán- és a közszektor szereplői közötti transzatlanti továbbítását mint olyat. Ezen adattovábbítást csak akkor lehet egy jövőbeli eszközbe belefoglalni, amennyiben

Az európai adatvédelmi biztos ezenfelül rámutat az alkalmazandó adatvédelmi keret körüli bizonytalanságra, és ennélfogva azt kéri, hogy az uniós jogot jelenlegi állapotában semmi esetre sem terjesszék ki a személyes adatoknak a magán- és a közszektor szereplői közötti továbbítására.

24.

Az információcsere pontos alkalmazási köre nem világos. A közös eszköz érdekében folytatott további munka első lépéseként pontosítani kell az ilyen eszköz tervezett alkalmazási körét. Különösen az kérdéses, hogy vajon:

25.

A lehetséges megállapodás céljának meghatározásával kapcsolatban is bizonytalanság merül fel. A bűnüldözési célokat világosan megjelöli a bevezetés és a jelentéshez mellékelt első alapelv, és ezen vélemény IV. fejezete további elemzi azokat. Az európai adatvédelmi biztos már most megállapítja, hogy e nyilatkozatokból úgy tűnik, hogy az adatcsere a harmadik pillér területeire összpontosít, de felmerül a kérdés, hogy ez vajon csupán a szélesebb körű információcsere felé tett első lépés-e. Egyértelműnek tűnik, hogy a jelentésben említett közbiztonsági célok közé tartozik a terrorizmus, a szervezett bűnözés és más bűncselekmények elleni küzdelem. Azonban vajon az is cél, hogy lehetővé tegyék az egyéb közérdekű területekre – így esetleg a közegészségügyi kockázatokra – vonatkozó adatcserét?

26.

Az európai adatvédelmi biztos a cél pontosan meghatározott adatfeldolgozásra való korlátozását ajánlja, és az ilyen célmeghatározáshoz vezető szakpolitikai döntések igazolását javasolja.

27.

E jelentés széles körre kiterjedő jellegét a jövő-munkacsoport által megvitatott átfogó transzatlanti biztonsági térség keretében kell értelmezni (14). E munkacsoport 2008 júniusában kiadott jelentése némi hangsúlyt helyez a belügyi politika külső dimenziójára. Amellett érvel, hogy „Az Európai Uniónak 2014-ig döntést kell hoznia a szabadság, biztonság és jogérvényesülés területén az Egyesült Államokkal folytatandó euroatlanti együttműködési térség kialakítására vonatkozó politikai szándékról.” Az ilyen együttműködés túllépne a szoros értelemben vett biztonságon, és legalább az EK-Szerződés jelenlegi IV. címében tárgyalt kérdésekre – mint a bevándorlás, a vízumpolitika, a menekültügy és a polgári jog terén folytatott együttműködés – is kiterjedne. Fel kell tenni a kérdést, hogy az olyan alapvető adatvédelmi elvekről szóló megállapodás, mint amelyeket a magas szintű kapcsolattartó csoport jelentése is említ, milyen mértékben szolgálhat alapul és kell, hogy alapul szolgáljon egy ilyen széles területen való információcseréhez.

28.

A tervek szerint 2014-re a pilléres rendszer megszűnik, és magán az EU-n belüli adatvédelemre egyetlen jogi alap lesz alkalmazandó (a Lisszaboni Szerződés hatályba lépését követően az Európai Unió működéséről szóló szerződés 16. cikke). Az a tény azonban, hogy az adatvédelem szabályozását uniós szinten harmonizálják, nem jelenti azt, hogy egy harmadik országgal kötött bármely megállapodás lehetőséget adhatna bármely személyes adat bármilyen céllal való továbbítására. Az adatkezelés körülményétől és feltételétől függően eltérő adatvédelmi garanciákra lehet szükség olyan speciális területeken, mint például a bűnüldözés. Az európai adatvédelmi biztos javasolja, hogy egy jövőbeli megállapodás előkészítése során mérlegeljék e különféle szempontok következményeit.

29.

Legalábbis rövid távon lényeges meghatározni, hogy a megállapodást melyik pillér szerint tárgyalják meg. Erre főleg a belső adatvédelmi szabályozási keret miatt van szükség, melyre a megállapodás hatással lesz. Az első pillér szerinti keret lesz-e – lényegében a 95/46/EK irányelv, a harmadik országok részére való adattovábbítás speciális szabályaival – vagy a harmadik pillér szerinti keret, mely a harmadik országok részére való adattovábbítást kevésbé szigorú szabályokhoz köti (15)?

30.

Noha – mint már említettük – a bűnüldözési célok a legfontosabbak, a magas szintű kapcsolattartó csoport jelentése megemlíti a magánszektor szereplőitől való adatgyűjtést, és a célokat is lehet a biztonságon túllépve, tágabban értelmezni, amely kiterjedhet például a bevándorlásra és a határellenőrzésre de akár esetleg a közegészségügyre is. E bizonytalanságokra tekintettel sokkal célszerűbb lenne megvárni az uniós jog pilléreinek a Lisszaboni Szerződésben előirányzott harmonizálását, és azt követően világosan meghatározni a tárgyalások jogi alapját és az európai intézmények – különösen az Európai Parlament és a Bizottság – pontos szerepét.

31.

Egyértelművé kell tenni, hogy a megbeszélések egyetértési megállapodás vagy más, nem kötelező érvényű eszköz kiadásához vezetnek-e, vagy pedig kötelező erejű nemzetközi megállapodás elfogadásához.

32.

Az európai adatvédelmi biztos támogatja a jelentésben előnyben részesített kötelező erejű megállapodást. Az európai adatvédelmi biztos nézete szerint a hivatalos, kötelező erejű megállapodás az EU-n kívülre irányuló bármely adattovábbítás elengedhetetlen előfeltétele, tekintet nélkül az adattovábbítás céljára. Konkrét (és kötelező erejű) jogi keretbe foglalt feltételek és biztosítékok hiányában nem kerülhet sor harmadik országba irányuló adattovábbításra. Más szavakkal, az egyetértési megállapodás vagy más, nem kötelező erejű eszköz hasznos iránymutatásul szolgálhat a tárgyalásokhoz, de nem helyettesítheti a kötelező erejű megállapodást.

33.

Az eszköz rendelkezéseinek kötelező erejűnek kell lenniük mind az Egyesült Államokra, mind az EU-ra és annak tagállamaira nézve.

34.

Közösen elfogadott elvek alapján biztosítani kell továbbá az egyének számára jogaik gyakorlását, különösen a jogorvoslat tekintetében. Az európai adatvédelmi biztos véleménye szerint ez az eredmény akkor érhető el, ha az eszköz lényegi rendelkezéseit úgy fogalmazzák meg, hogy azok közvetlen hatással járjanak az Európai Unió lakosaira, és azokra bíróság előtt hivatkozni lehessen. A megállapodásban ezért egyértelművé kell tenni az abban foglalt rendelkezések által kifejtett közvetlen hatást, valamint a belső európai és nemzeti jogba való átültetés feltételeit, az intézkedések hatékonyságának biztosítása érdekében.

35.

Alapvető kérdés az is, hogy a megállapodás milyen mértékben önálló, vagy azt eseti alapon ki kell-e egészíteni további, konkrét adatcserére vonatkozó megállapodásokkal. Ténylegesen kérdés az, hogy egyetlen megállapodás – kizárólag az abban foglalt szabályokkal – megfelelően le tudja-e fedni a harmadik pillér hatálya alá tartozó adatfeldolgozás számtalan sajátosságát. Ennél is kétségesebb az, hogy – további tárgyalások és biztosítékok nélkül – lehetővé teheti-e személyes adatok továbbításának általános engedélyezését az érintett adatok céljára és jellegére való tekintet nélkül. A harmadik országokkal kötött megállapodások ezenkívül nem szükségszerűen állandó jellegűek, mivel azok konkrét veszélyhelyzetekhez kapcsolódhatnak, valamint felülvizsgálat és megszüntetési záradékok tárgyát képezhetik. Másrészt a kötelező erejű eszközben elismert közös minimumszabályok megkönnyíthetik a személyes adatok konkrét adatbázisokkal vagy feldolgozási műveletekkel kapcsolatos továbbítására vonatkozó további megbeszéléseket.

36.

Az európai adatvédelmi biztos ezért – egy önálló megállapodás helyett – minimális adatvédelmi kritériumok kidolgozását támogatja, amelyek eseti alapon kiegészíthetőek további konkrét rendelkezésekkel, amint az a magas szintű kapcsolattartó csoport jelentésében is szerepel. A megállapodást kiegészítő konkrét rendelkezések megléte a konkrét esetben történő adattovábbítás engedélyezésének előfeltétele. Ez ösztönzőleg hatna az adatvédelemmel kapcsolatos harmonizált megközelítésre.

37.

Megvizsgálandó az is, hogy egy esetleges általános megállapodás hogyan kapcsolódna az EU és az Egyesült Államok között már létező megállapodásokhoz. Megjegyzendő, hogy e meglévő megállapodások nem rendelkeznek ugyanilyen kötelező jelleggel: megemlítendő különösen a PNR-megállapodás (amely a legnagyobb jogbiztonságot képviseli), az Europol- és az Eurojust-megállapodás, vagy a SWIFT-tel kapcsolatos levélváltás (16). Egy új általános keret kiegészítené-e ezeket a meglévő eszközöket vagy érintetlenül hagyná-e azokat, és személyes adatoknak csak más jövőbeni cseréjére vonatkozna? Az európai adatvédelmi biztos véleménye szerint a jogi egységesség harmonizált szabályokat tenne szükségessé, amelyek az adatátvitelre vonatkozó meglévő és jövőbeni megállapodásokra egyaránt vonatkoznának és kiegészítenék azokat.

38.

Az általános megállapodásnak a meglévő eszközökre való alkalmazása azzal az előnnyel járna, hogy megerősítené kötelező jellegüket. Ez különösen üdvözlendő lenne a jogilag nem kötelező erejű eszközök – mint a SWIFT-tel kapcsolatos levélváltás – tekintetében, mivel kötelezővé tenné legalább a magánélet védelmével kapcsolatos általános elvek betartását.

39.

Ez a fejezet egy adott keret-jogszabályban vagy eszközben foglalt védelmi szint értékelésének a módját fogja vizsgálni, beleértve az ehhez felhasználandó referenciamutatókat és a szükséges alapkövetelményeket.

40.

Az európai adatvédelmi biztos véleménye szerint egyértelműsíteni kell, hogy egy jövőbeni eszköz egyik fő eredménye az lenne, hogy személyes adatoknak az Egyesült Államok részére történő átadására kizárólag akkor kerülhet sor, ha az Egyesült Államok hatóságai megfelelő védelmi szintet garantálnak (és fordítva).

41.

Az európai adatvédelmi biztos úgy véli, hogy kizárólag valós megfelelőségi vizsgálat biztosítaná kellő garanciák nyújtását a személyes adatok védelmi szintje tekintetében. Nézete szerint egy általános keretmegállapodás olyan tág alkalmazási körrel amilyet a magas szintű kapcsolattartó csoport jelentése tartalmaz, nehezen felelne meg egy ilyen valós megfelelőségi vizsgálatnak. Az általános megállapodás csak akkor lenne megfelelőnek tekinthető, ha ahhoz megfelelő, eseti alapon kötött egyedi megállapodások társulnának.

42.

A harmadik országok által nyújtott védelmi szint értékelése nem szokatlan eljárás, különösen az Európai Bizottság esetében: a megfelelőség az első pillér hatálya alatt az adattovábbítás tekintetében fennálló követelmények egyike. A megfelelőségi szint mérésére számos alkalommal sor került a 95/46/EK irányelv 25. cikke szerint, konkrét kritériumok alapján, amely mérésekről az Európai Bizottság határozatokat fogadott el (17). A harmadik pillér nem rendelkezik kimondottan ilyen rendszerről: a megfelelő védelmi szint méréséről kizárólag a még el nem fogadott adatvédelmi kerethatározat 11. és 13. cikkében szereplő konkrét helyzetben rendelkeznek (18), és az a tagállamok hatáskörében marad.

43.

Jelen esetben az alkalmazási kör bűnüldözési célokra terjed ki, és a megbeszéléseket a Bizottság folytatja a Tanács felügyelete alatt. A megbeszélések – a „biztonságos kikötő” elveknek vagy a kanadai jogszabályok megfelelőségének az értékelésétől eltérően – inkább kapcsolódnak az Egyesült Államokkal és Ausztráliával a közelmúltban folytatott PNR-tárgyalásokhoz, amelyekre a harmadik pillér jogi keretén belül került sor. A magas szintű kapcsolattartó csoport elvei azonban a vízummentességi program összefüggésében is említésre kerültek, amely határőrizeti és bevándorlási – és ily módon az első pillér alá tartozó – kérdéseket érint.

44.

Az európai adatvédelmi biztos azt ajánlja, hogy a jövőbeni eszköz szerinti megfelelőségi vizsgálat e különböző területeken szerzett tapasztalatokon alapuljon. Javasolja a „megfelelőség” fogalmának további pontosítását a jövőbeni eszköz összefüggésében, a korábbi megfelelőségi vizsgálatok során alkalmazottakhoz hasonló kritériumok alapján.

45.

A védelmi szint másik eleme az EU és az Egyesült Államok rendszereinek kölcsönös elismeréséhez kapcsolódik. A magas szintű kapcsolattartó csoport jelentése e tekintetben megemlíti, hogy a cél „az ezen elvek hatálya alá tartozó területeken egymás magánélet- és adatvédelmi rendszerei hatékonyságának kölcsönös elismerése” (19), valamint „a magánélet és a személyes adatok védelmére vonatkozó jogszabályok azonos és viszonosságon alapuló alkalmazásának” elérése.

46.

Az európai adatvédelmi biztos számára nyilvánvaló, hogy a kölcsönös elismerés (vagy viszonosság) kizárólag megfelelő szintű védelem garantálása mellett lehetséges. Más szavakkal, a jövőbeni eszköznek egységesítenie kell a védelem minimális szintjét (megfelelőségi vizsgálat révén, eseti alapon konkrét megállapodások szükségességének figyelembe vételével). A viszonosság elismerése kizárólag ezzel a feltétellel lehetséges.

47.

Az első figyelembe veendő elem az adatvédelemre vonatkozó lényegi rendelkezések viszonossága. Az európai adatvédelmi biztos véleménye szerint a megállapodásnak oly módon kell foglalkoznia az adatvédelemre vonatkozó lényegi rendelkezések viszonosságának kérdésével, hogy egyrészt biztosított legyen az, hogy az EU (és az Egyesült Államok) területén történő adatfeldolgozás során teljes mértékben betartsák az adatvédelemmel kapcsolatos hazai jogszabályokat, másrészt pedig hogy biztosított legyen az, hogy az adatnak a származási országon kívüli, a megállapodás hatálya alá tartozó feldolgozása során tiszteletben tartsák a megállapodásban foglalt adatvédelmi elveket.

48.

A második elem a jogorvoslati mechanizmusok viszonosságának a kérdése. Biztosítani kell, hogy az európai polgárok megfelelő jogorvoslati eszközökkel rendelkezzenek a rájuk vonatkozó adatok egyesült államokbeli feldolgozása esetén (függetlenül az adott feldolgozásra vonatkozó jogtól), de az Európai Unió és tagállamai is ugyanilyen jogokat biztosítsanak az Egyesült Államok állampolgárai számára.

49.

A harmadik elem a bűnüldözési hatóságok személyes adatokhoz való hozzáférésével kapcsolatos viszonosság. Amennyiben bármely eszköz lehetővé teszi az Egyesült Államok hatóságai számára az Európai Unióból származó adatokhoz való hozzáférést, a viszonosság értelmében ugyanilyen hozzáférést kellene biztosítani az EU hatóságai számára az Egyesült Államokból származó adatok tekintetében. A viszonosság nem sértheti az adatalany védelmének hatékonyságát. Ez a bűnüldözési hatóságok adatokhoz való „transzatlanti” hozzáférésének az előfeltétele. Ez konkrétan a következőket jelenti:

50.

Az értékelési kritériumok (megfelelőség, egyenlőség, kölcsönös elismerés) pontos meghatározása alapvető fontosságú, mivel az pontosság, jogbiztonság és a védelem hatékonysága tekintetében meghatározza a tartalmat. A jövőbeni eszköz tartalmának pontosnak és helytállónak kell lennie.

51.

Emellett egyértelmű, hogy a későbbi szakaszban kötött konkrét megállapodásoknak is részletes és teljes adatvédelmi biztosítékokat kell tartalmazniuk a tervezett adatcsere alanya tekintetében. Kizárólag a konkrét adatvédelmi elvek e kettős szintje biztosíthatja az általános megállapodás és a konkrét megállapodások egymáshoz közelállóságát, amint az már e vélemény 35. és 36. pontjában is szerepel.

52.

Külön figyelmet érdemel annak kérdése, hogy az Egyesült Államokkal kötendő megállapodás milyen mértékben szolgálhat mintaként egyéb harmadik országok tekintetében. Az európai adatvédelmi biztos megállapítja, hogy a jövő-munkacsoport fent említett jelentése az Egyesült Államok mellett Oroszországot is az EU stratégiai partnereként jelöli meg. Az elvek semlegességük és az alapvető uniós biztosítékokkal való összhangjuk esetén hasznos precedenst teremthetnek. Egyes sajátosságok, melyek például a fogadó ország jogszabályi keretéhez kötődnek vagy az adattovábbítás célja azonban megakadályozhatja a megállapodás egyszerű átültetését. Ugyanilyen döntő erővel bír a harmadik országokban a demokrácia helyzete: meg kell győződni arról, hogy a megállapodás tárgyát képező elveket a fogadó országban ténylegesen garantálják és betartják-e.

53.

A kimondott vagy kimondatlan megfelelőségnek mindenképpen összhangban kell állnia a nemzetközi és európai jogszabályi kerettel, különösen pedig a közösen elfogadott adatvédelmi biztosítékokkal. Ezeket az ENSZ iránymutatása, az Európa Tanács 108. sz. egyezménye és annak kiegészítő jegyzőkönyve, az OECD-iránymutatás, az adatvédelmi kerethatározat tervezete, valamint – az első pillérrel kapcsolatos szempontok tekintetében – a 95/46/EK irányelv foglalja magában (20). Ezen eszközök mindegyike hasonló elveket tartalmaz, amelyek a személyes adatok védelmének magjaként általánosan elismertek.

54.

A fent említett elvek kellő figyelembevétele egy esetleges megállapodás – mint amilyen a magas szintű kapcsolattartó csoport jelentésében is szerepel – hatásának tekintetében még nagyobb fontosságot nyer. Egy adott harmadik ország bűnüldözési ágazatának egészét érintő eszköz eddig példa nélkül áll. Az első pillér keretében meglévő megfelelőségi határozatok, valamint az EU harmadik pillére keretében harmadik országokkal kötött megállapodások (Europol- és Eurojust-megállapodás) minden esetben konkrét adattovábbításra vonatkoznak, míg itt az adatátvitel sokkal szélesebb köréről lehetne szó, tekintettel a tág célkitűzésre (a bűnözés elleni küzdelem, nemzet- és közbiztonság, határvédelem) és az érintett adatbázisok nem ismert számára.

55.

A személyes adatok harmadik országok részére történő továbbítása esetén betartandó feltételeket a 29. cikk alapján létrehozott munkacsoport munkadokumentuma (21) tartalmazza. A magánélet védelmével kapcsolatos minimumelvekre vonatkozó minden megállapodásnak megfelelőségi vizsgálaton kellene átesnie az adatvédelmi biztosítékok hatékonyságának biztosítása érdekében.

56.

E három alapkövetelmény mellett különös figyelmet kell fordítani a személyes adatok bűnüldözéssel összefüggésben történő feldolgozásának sajátosságaira. Ez ugyanis egy olyan terület, ahol az alapvető jogok korlátozások hatálya alá eshetnek. Ezért ennek az egyénekre gyakorolt hatásaira tekintettel biztosítékokat kell meghatározni az egyének jogait érintő korlátozások kompenzálására, különösen az alábbi szempontok tekintetében:

57.

Ez a fejezet a magas szintű kapcsolattartó csoport dokumentumában foglalt 12 elvet elemzi az alábbi nézőpontból:

58.

A magas szintű kapcsolattartó csoport jelentésének mellékletében szereplő első elv szerint a személyes információk feldolgozására jogszerű bűnüldözési célokból fog sor kerülni. A fentiekben említetteknek megfelelően az Európai Unióban ez a bűncselekmények megelőzését, felderítését, kivizsgálását és az elkövetők bíróság elé állítását jelenti. Az Egyesült Államokban azonban a bűnüldözés fogalmának értelmezése meghaladja a bűncselekményeket, és az adatfeldolgozás határőrizeti, közbiztonsági és nemzetbiztonsági célokra is kiterjed. Az EU és az USA céljai közötti ilyen különbségek következményei nem egyértelműek. Noha a jelentés szerint a gyakorlatban e célok nagymértékben egybe eshetnek, döntő jelentőségű annak ismerete, hogy milyen mértékben nem esnek egybe. A bűnüldözés területén – tekintettel az intézkedéseknek az egyénekre gyakorolt hatására – szigorúan be kell tartani a célkorlátozási elvet, a meghatározott céloknak pedig egyértelműnek és jól körülhatároltnak kell lenniük. Figyelemmel a jelentésben előirányzott viszonosságra, szintén lényeges e célok közelítése. Röviden, pontosítani kell e cél értelmezését.

59.

Az európai adatvédelmi biztos üdvözli azon rendelkezést, amely előírja, hogy a személyes adatoknak – jogszerű feldolgozásuk érdekében – pontosnak, relevánsnak, időszerűnek és hiánytalannak kell lenniük. Ez az elv az adatok hatékony feldolgozásának egyik előfeltétele.

60.

Az elv egyértelmű kapcsolatot teremt a gyűjtött információ és az információnak a törvényben megállapított bűnüldözési célnak való megfelelése között. A jogszabályi alapra vonatkozó követelmény pozitív elem a feldolgozás jogszerűségének biztosítása tekintetében. Az európai adatvédelmi biztos megjegyzi, hogy a feldolgozás jogalapja – noha az erősíti a feldolgozással kapcsolatos jogbiztonságot – egy harmadik ország törvénye. Egy harmadik ország törvénye önmagában nem teremt jogalapot a személyes adatok továbbítására (22). A magas szintű kapcsolattartó csoport jelentésének összefüggésében megállapítható, hogy egy harmadik ország – vagyis az Egyesült Államok – törvényének a legitimitása elismerést nyert. Szem előtt kell tartani, hogy ha ez az érvelés itt elfogadható tekintettel arra, hogy az Egyesült Államok demokratikus állam, ugyanez nem lenne érvényes és nem lenne átültethető bármely más harmadik országra.

61.

A magas szintű kapcsolattartó csoport jelentésének mellékletében foglaltak szerint a személyes adatok átadásának mindenkor relevánsnak, szükségesnek és helyénvalónak kell lennie. Az európai adatvédelmi biztos hangsúlyozza, hogy az arányosság érdekében a feldolgozás nem lehet indokolatlanul mélyreható, és a feldolgozásra vonatkozó szabályoknak kiegyensúlyozottnak kell lenniük, figyelembe véve az adatalanyok jogait és érdekeit is.

62.

Ennek érdekében az információhoz való hozzáférés kizárólag eseti alapon történhet, a konkrét vizsgálat összefüggésében felmerülő gyakorlati szükségletek függvényében. Harmadik országok bűnüldözési hatóságainak az EU területén található adatbázisokhoz való állandó jellegű hozzáférése aránytalan és indokolatlan lenne. Az európai adatvédelmi biztos emlékeztet arra, hogy az adatcsere még a meglévő vonatkozó megállapodások – például a PNR-megállapodás (23) – összefüggésében is konkrét körülményektől függ és megvalósulása korlátozott időtartamú.

63.

E logikát követve az adatmegőrzés időtartamát is szabályozni kell: az adatokat kizárólag addig lehet megőrizni, ameddig azokra a felhasználás konkrét céljához szükség van. Amennyiben a meghatározott cél tekintetében már nem bírnak jelentőséggel, az adatokat törölni kell. Az európai adatvédelmi biztos határozottan ellenzi adatraktárak létrehozását, ahol gyanún kívül álló személyekre vonatkozó adatokat tárolnának azok esetleges későbbi felhasználása céljából.

64.

Az elvek tartalmaznak az adatoknak az azokkal való visszaélés, azok eltérítése és az azokkal kapcsolatos egyéb kockázatokkal szembeni védelmét szolgáló intézkedéseket és eljárásokat, valamint az engedéllyel rendelkező személyekhez való hozzáférés korlátozásáról szóló rendelkezést. Az európai adatvédelmi biztos ezt elegendőnek tartja.

65.

Az elvet ezenkívül ki lehetne egészíteni egy olyan rendelkezéssel, amelynek értelmében naplót kellene vezetni az adatokhoz hozzáférő személyekről. Ez erősítené az adatokhoz való hozzáférés korlátozását és az azokkal való visszaélés megakadályozását célzó biztosítékok hatékonyságát.

66.

Emellett rendelkezni kellene egymás kölcsönös tájékoztatásáról a biztonsági szabályok megszegésének esetére: az adatok átvevői az Egyesült Államokban és az EU-ban felelősek lennének partnereik tájékoztatásáért az általuk átvett adatokhoz való jogszerűtlen hozzáférés esetén. Ez hozzájárul az adatok biztonságos feldolgozásával kapcsolatos felelősség erősítéséhez.

67.

Az európai adatvédelmi biztos véleménye szerint jelentősen gyengíti az érzékeny adatok feldolgozásának tilalmára vonatkozó elvet az a kivétel, amely lehetővé teszi az érzékeny adatok minden olyan feldolgozását, amelynek tekintetében a hazai jogszabályok „megfelelő biztosítékokról” rendelkeznek. A tilalmi elvtől való bármilyen eltérést – éppen az adatok érzékeny jellege miatt – megfelelően és pontosan indokolni kell azon célok és körülmények felsorolásával, amelyek esetében az érzékeny adatok meghatározott típusa feldolgozható, valamint az ilyen típusú adatok feldolgozására jogosultak beosztásának megjelölésével. Az elfogadandó biztosítékokkal kapcsolatban az európai adatvédelmi biztos úgy véli, hogy gondoskodni kell arról, hogy érzékeny adatok ne vezethessenek vizsgálat megindításához. Gondoskodni kell arról, hogy azok meghatározott körülmények között esetleg rendelkezésre álljanak, de kizárólag már vizsgálat alanyát képező adatalannyal kapcsolatos kiegészítő adatként. Ezeket a biztosítékokat és körülményeket röviden fel kell sorolni az elvhez tartozó szövegben.

68.

Az e vélemény 55–56. pontjában kifejtettek szerint a személyes adatokat feldolgozó közjogi szervek tényleges elszámoltathatóságát megfelelően biztosítani kell, és a megállapodásban rögzíteni kell ezen elszámoltathatóság megvalósulásának garanciáit. Ez annál is inkább fontos, mivel a személyes adatok bűnüldözéssel kapcsolatos feldolgozását hagyományosan az átláthatóság hiánya jellemzi. Erre tekintettel nem elégséges garancia a közjogi szervek elszámoltathatóságának a megemlítése az elszámoltathatóság módjának és következményeinek további ismertetése nélkül, amint az jelenleg a mellékletben szerepel. Az európai adatvédelmi biztos ajánlja, hogy a jogi eszköz szövege tartalmazzon erre vonatkozó magyarázatot.

69.

Az európai adatvédelmi biztos teljes mértékben támogatja a független és hatékony – egy vagy több felügyelő hatóság által gyakorolt – felügyeletről szóló rendelkezés beillesztését. Úgy véli, hogy a függetlenség értelmezésének módját egyértelművé kell tenni, mindenekelőtt azt, hogy e hatóságok kitől függetlenek és kinek tartoznak beszámolóval. E tekintetben kritériumokat kell meghatározni, melyeknek – a végrehajtó és jogalkotó szervek tekintetében – figyelembe kell venniük az intézményi és funkcionális függetlenséget. Az európai adatvédelmi biztos emlékeztet arra, hogy ez az elfogadott elvek tényleges betartása biztosításának lényeges eleme. E hatóságok intervenciós és végrehajtási hatáskörei szintén alapvető fontosságúak a személyes adatokat feldolgozó közjogi szervek fentiekben említett elszámoltathatósága tekintetében. Az adatalanyoknak – jogaik gyakorlásának lehetővé tétele érdekében – egyértelmű ismeretekkel kell rendelkezniük ezek létéről és hatásköreiről, különösen akkor, ha a feldolgozás céljától függően több hatóság is rendelkezik illetékességgel.

70.

Az európai adatvédelmi biztos ezenkívül ajánlja, hogy a jövőbeni megállapodás rendelkezzen a felügyelő szervek közötti együttműködési mechanizmusokról is.

71.

A bűnüldözés összefüggésében speciális garanciákra van szükség az adatokhoz való hozzáférés és azok helyesbítése tekintetében. Ebben az értelemben az európai adatvédelmi biztos üdvözli azt az elvet, amely szerint az egyének számára biztosítani kell a rájuk vonatkozó személyes adatokhoz való hozzáférést, valamint az azok helyesbítését és/vagy törlését lehetővé tevő eszközöket. Továbbra is fennáll azonban némi bizonytalanság az egyén fogalmának meghatározása (valamennyi adatalanyt védeni kell, nemcsak az érintett ország állampolgárait) és azon körülmények megállapítása tekintetében, amelyek esetén az egyén kifogásolhatja a rá vonatkozó adatok feldolgozását. Pontosítani kell a „megfelelő eset” fogalmát, vagyis azt, hogy mikor emelhető kifogás és mikor nem. Az adatalanyok számára egyértelművé kell tenni, hogy mely körülmények fennállása esetén – például a hatóság vagy a vizsgálat típusától, vagy egyéb kritériumoktól függően – képesek jogaik gyakorlására.

72.

Emellett az adatfeldolgozás felügyeletéért felelős független hatóság általi közvetett ellenőrzési mechanizmusról kell gondoskodni, amennyiben jogszerű okok miatt nem lehetséges közvetlenül kifogást emelni az adatfeldolgozás ellen.

73.

Az európai adatvédelmi biztos ismételten hangsúlyozza a tényleges átláthatóság fontosságát, amely lehetővé teszi, hogy az egyének gyakorolhassák jogaikat, és hozzájárul a személyes adatokat feldolgozó közjogi szervek általános elszámoltathatóságához. Támogatja a megfogalmazott elveket, és hangsúlyozza különösen az egyéneknek nyújtott általános és egyéni tájékoztatás szükségességét. Ezt tükrözi a melléklet 9. pontjában megfogalmazott elv.

74.

A jelentés 2. fejezetének A. és B. részében („Elfogadott elvek”) azonban az szerepel, hogy az Egyesült Államokban az átláthatóság fogalmába beletartozhat – önmagában vagy együttesen – a Szövetségi Közlönyben (Federal Register) való közzététel, az egyéni tájékoztatás és a bírósági eljárások során való közzététel is. Egyértelműnek kell lennie annak, hogy hivatalos közlönyben való közzététel önmagában nem garantálja kellőképpen az adatalany megfelelő tájékoztatását. Az egyéni tájékoztatás szükségessége mellett az európai adatvédelmi biztos emlékeztet arra, hogy a tájékoztatást az adatalany számára könnyen érthető formában és nyelven kell megadni.

75.

Az egyének számára – jogaik tényleges gyakorlásának garantálása céljából – lehetővé kell tenni panasz benyújtását a független adatvédelmi hatósághoz, valamint a független vagy pártatlan bíróság előtti jogorvoslatot. Mindkét jogorvoslati lehetőséget egyformán biztosítani kell.

76.

A független adatvédelmi hatósághoz való hozzáférésre azért van szükség, mivel az rugalmasan és kevésbé költséges módon tud segítséget nyújtani egy olyan összefüggésben (bűnüldözés), amely az egyének számára kevéssé átlátható. Az adatvédelmi hatóságok a hozzáférési jogoknak az adatalany nevében való gyakorlásával is tudnak segítséget nyújtani olyan esetekben, amikor a szabályok alóli kivételek nem teszik lehetővé az érintett közvetlen hozzáférését személyes adataihoz.

77.

Az bírósághoz való hozzáférés kiegészítő és elengedhetetlen garanciája annak, hogy az adatalany a demokratikus rendszer valamely – az adatfeldolgozást ténylegesen végző közintézményétől eltérő – ágához tartozó hatóság előtt jogorvoslattal élhessen. Az ilyen, bíróság előtti tényleges jogorvoslat az Európai Bíróság szerint (24)„lényeges az egyén jogainak hatékony védelme biztosítása céljából. (…) [Ez] a közösségi jog olyan általános elvét tükrözi, amely a tagállamok alkotmányos hagyományainak alapja és amelyet az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 6. és 13. cikke foglal magában.”. A bíróság előtti jogorvoslat meglétéről kifejezetten rendelkezik az Európai Unió alapjogi chartájának 47. cikke, valamint a 95/46/EK irányelv 22. cikke is, a közigazgatási jogorvoslatok sérelme nélkül.

78.

Az európai adatvédelmi biztos üdvözli azt a rendelkezést, amely megfelelő biztosítékokat ír elő személyes adatok automatizált feldolgozásának esetére. Megállapítja, hogy „az egyén vonatkozó érdekeit súlyosan sértő intézkedés” mibenlétének egységes értelmezése pontosítaná ezen elv alkalmazásának feltételeit.

79.

A továbbadásra vonatkozó feltételek néhány esetben nem egyértelműek. Különösen akkor, ha a továbbadás során nemzetközi megállapodásokat, valamint a küldő és a fogadó ország közötti megállapodásokat kell betartani, meg kell határozni, hogy ez az első adattovábbítást kezdeményező két ország közötti megállapodásokra vonatkozik-e, vagy a továbbadásban érintett két ország közötti megállapodásokra. Az európai adatvédelmi biztos véleménye szerint mindenképpen ideértendők az első adattovábbítást kezdeményező két ország közötti megállapodások.

80.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy az adatok továbbadását lehetővé tevő „jogos közérdek” fogalommeghatározása rendkívül tág. A közbiztonság fogalma nem egyértelmű, és a bűnüldözés összefüggésében indokolatlan és túlzott az adattovábbítás kiterjesztése szabályozott foglalkozások szakmai szabályainak megszegésére.

81.

Az európai adatvédelmi biztos üdvözli az EU és az Egyesült Államok hatóságai által az adatvédelem szempontjából alapvető fontosságú bűnüldözés területén végzett közös munkát. Hangsúlyozza mindazonáltal a kérdés összetett jellegét, különösen a pontos alkalmazási kör és jelleg tekintetében, valamint azt, hogy ezért körültekintő és alapos elemzésre van szükség. Egy transzatlanti adatvédelmi eszköznek a meglévő jogi keretre gyakorolt hatását és a polgárokat érintő következményeit körültekintően mérlegelni kell.

82.

Az európai adatvédelmi biztos további pontosítást és konkrét rendelkezéseket tart szükségesnek, különösen az alábbiak tekintetében:

83.

Az európai adatvédelmi biztos hangsúlyozza, hogy el kell kerülni az elvek kidolgozásának elsietését, mivel az nem kielégítő, az adatvédelem céljával ellentétes hatású eredményekhez vezetne. Ebben a szakaszban a legjobb lépés egy később megkötendő, esetleges megállapodás felé vezető ütemterv kidolgozása lenne.

84.

Az európai adatvédelmi biztos nagyobb mértékű átláthatóságot sürget az adatvédelmi elvek kidolgozásának folyamata tekintetében. Az eszköz kizárólag az érintettek mindegyikének – az Európai Parlamentet is beleértve – részvételével folytatott demokratikus vita esetén kaphatja meg a szükséges támogatást és elismerést.

—

Az Amerikai Egyesült Államok és az Európai Rendőrségi Hivatal között 2001. december 6-án kötött megállapodás, valamint az Europol és az USA közötti kiegészítő megállapodás a személyes adatok és az azokkal kapcsolatos információk cseréjéről, melyet az Europol weboldalán tettek közzé;

—

Az Amerikai Egyesült Államok és az Eurojust között az igazságügyi együttműködésről 2006. november 6-án kötött megállapodás, melyet az Eurojust weboldalán tettek közzé;

—

Az Európai Unió és az Amerikai Egyesült Államok közötti, az utas-nyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás (2007. évi PNR-megállapodás), melyet Brüsszelben 2007. július 23-án és Washingtonban 2007. július 26-án írtak alá (HL L 204., 2007.8.4., 18. o.);

—

Az EU és az USA hatóságai között a terrorizmus finanszírozásának felderítését célzó programról szóló, 2007. június 28-i levélváltás.

—

Az ENSZ iránymutatása a számítógépes személyesadat-állományokról, amelyet a Közgyűlés 1990. december 14-én fogadott el, elérhető: www.unhchr.ch/html/menu3/b/71.htm

—

az Európa Tanács 1981. január 28-i egyezménye az egyének személyes adataik gépi feldolgozása során való védelméről, elérhető: www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

az OECD 1980. szeptember 23-án elfogadott iránymutatása a magánélet védelméről és a személyes adatok határokon átnyúló áramlásáról (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), elérhető:www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Tervezet – A Tanács kerethatározata a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről, elérhető: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

az Európai Parlament és a Tanács 1995. október 24-i 95/46/Ek irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).