23.9.2011   

HU

Az Európai Unió Hivatalos Lapja

C 279/1

1.

A Bizottság 2011. április 18-án terjesztette elő az adatmegőrzési irányelvről szóló értékelő jelentését (a továbbiakban: az „értékelő jelentés”) (4). Az értékelő jelentést ugyanezen a napon tájékoztatás céljából megküldték az európai adatvédelmi biztosnak. Az európai adatvédelmi biztos az I.2. részben megnevezett okokból saját kezdeményezésére adja ki ezt a véleményt, a 45/2001/EK rendelet 41. cikkével összhangban.

2.

Az európai adatvédelmi biztosnak már a közlemény elfogadása előtt lehetősége nyílt arra, hogy előterjessze nem hivatalos észrevételeit. Az európai adatvédelmi biztos örömmel látja, hogy ezen észrevételek közül a Bizottság többet figyelembe vett a dokumentum végleges változatának elkészítésekor.

3.

A Bizottság azért készítette az értékelő jelentést, hogy eleget tegyen az adatmegőrzési irányelv 14. cikkében foglalt kötelezettségének, miszerint értékeli az irányelv alkalmazását, valamint a gazdasági szereplőkre és a fogyasztókra gyakorolt hatását annak megállapítása érdekében, hogy szükséges-e az irányelv rendelkezéseinek módosítása (5). Az európai adatvédelmi biztos örömmel látja, hogy bár a 14. cikk kifejezetten nem teszi kötelezővé, a Bizottság figyelembe vette a jelentésben „az adatmegőrzéssel kapcsolatosan általánosan felmerült kritikák tükrében […] az irányelvnek az alapvető jogokra gyakorolt hatásait is” (6).

4.

Az adatmegőrzési irányelv az EU válasza volt a 2004-es madridi és 2005-ös londoni nagy terrortámadásokat követően felmerülő, sürgető biztonsági kihívásokra. Annak ellenére, hogy egy adatmegőrzési rendszer létrehozása jogos célnak tekinthető, bírálatok is elhangzottak azzal kapcsolatban, hogy milyen óriási hatást gyakorol az intézkedés a polgárok magánéletére.

5.

Az adatok megőrzésének kötelezettsége az adatmegőrzési irányelv szerint lehetővé teszi, hogy a nemzeti hatóságok telefon- és internethasználat esetén maximum két évig rekonstruálják az Európai Unióban élő valamennyi személy telefonálási és internetezési magatartását.

6.

A távközlési adatok megőrzése egyértelműen az érintett személyek magánélethez való jogába való beavatkozásnak minősül, ahogy azt az emberi jogok európai egyezményének (EJEE) 8. cikke és az Európai Unió Alapjogi Chartájának 7. cikke is rögzíti.

7.

Az Emberi Jogok Európai Bírósága (EJEB) már többször kimondta, hogy „egy magánszemély magánéletére vonatkozó adatok puszta tárolása is [az EJEE] 8. cikke értelmében vett beavatkozásnak minősül” (7). A telefonálási adatokra vonatkozóan az EJEB konkrétan is kimondta, hogy „ezen információk rendőrségnek történő átadása az előfizető hozzájárulása nélkül szintén … [az EJEE] 8. cikkében garantált jogba való beavatkozásnak minősül” (8).

8.

Az EJEE 8. cikkének (2) bekezdéséből és az Európai Unió Alapjogi Chartája 52. cikkének (1) bekezdéséből következik, hogy a beavatkozás indokolt lehet, ha azt jogszabály rendeli el, jogos célt szolgál és a jogos cél eléréséhez egy demokratikus társadalomban szükséges.

9.

Az európai adatvédelmi biztos elismeri, hogy bizonyos forgalmi és helymeghatározási adatok hozzáférhetősége döntő fontosságú lehet a bűnüldöző hatóságok számára a terrorizmus és más súlyos bűncselekmények elleni küzdelemben. Ugyanakkor már többször kifejezte kétségeit azzal kapcsolatban, hogy az adatok ilyen mértékű megőrzése indokolt-e, figyelemmel a magánélet védelméhez és az adatvédelemhez való jogra (9). Ezeket a kétségeket számos civilszervezet is osztja (10).

10.

Az európai adatvédelmi biztos 2005 óta sokféle módon követi nyomon az irányelv megalkotását, végrehajtását és értékelését. 2005-ben, miután a Bizottság közzétette az irányelvjavaslatot, az európai adatvédelmi biztos kritikus véleményt adott ki róla (11). Az irányelv elfogadását követően az európai adatvédelmi biztos tagja lett az adatmegőrzési irányelv 14. preambulumbekezdésében említett adatmegőrzési szakértői csoportnak (12). Ezenkívül az európai adatvédelmi biztos részt vesz a 29. cikk alapján létrehozott munkacsoport munkájában, amely számos dokumentumot adott ki a kérdésben; ezek közül a legújabb egy 2010. júliusi jelentés az irányelv gyakorlati alkalmazásáról (13). Végül az európai adatvédelmi biztos beavatkozóként járt el az Európai Bíróságon, ahol egy ügyben vitatták az irányelv érvényességét (14).

11.

Az értékelő jelentés és az értékelési folyamat jelentőségét nem lehet eléggé hangsúlyozni (15). Az adatmegőrzési irányelv kiváló példa egy olyan uniós eszközre, amely arra irányul, hogy biztosítsa az elektronikus hírközlés során előállított és feldolgozott adatok bűnüldözési célú tevékenységekhez történő rendelkezésre bocsátását. Most, hogy az eszköz már több éve hatályban van, gyakorlati alkalmazásának értékelése során – a magánélet védelme és az adatvédelem fényében – igazolódnia kellene az intézkedés szükségességének és arányosságának. Ezzel kapcsolatban az európai adatvédelmi biztos az értékelést „az igazság pillanatának” nevezte az adatmegőrzési irányelv tekintetében (16).

12.

A jelenlegi értékelési eljárás a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben létező, az információkezelést – köztük hatalmas mennyiségű személyes adat feldolgozását – szabályozó más eszközökre is kihatással van. A Bizottság egyik 2010-ben kiadott közleményében megállapította, hogy a különböző eszközökre vonatkozó értékelési mechanizmusok igen sokfélék (17). Az európai adatvédelmi biztos úgy véli, hogy a jelenlegi értékelési eljárást fel kellene használni más uniós eszközök értékelésére is alkalmas értékelési szabályok meghatározására, és biztosítani kellene, hogy csak azok az intézkedések maradjanak érvényben, amelyek valóban indokoltak.

13.

Ennek fényében az európai adatvédelmi biztos az értékelő jelentésben ismertetett megállapításokkal kapcsolatos észrevételeit nyilvános véleményben kívánja közreadni. Ezt az eljárás korai szakaszában meg is teszi, hogy hatékony és konstruktív módon járuljon hozzá a jövőbeli vitákhoz, lehetőség szerint egy új jogalkotási javaslattal összefüggésben, amelyről a Bizottság az értékelő jelentésben említést is tesz (18).

14.

Ez a vélemény a magánélet védelme és az adatvédelem szempontjából elemzi és tárgyalja az értékelő jelentés tartalmát. Az elemzés középpontjában az áll, hogy a jelenlegi adatmegőrzési irányelv megfelel-e az említett két alapvető jog által támasztott követelményeknek. Idetartozik annak elemzése is, hogy – az irányelv szabályai szerinti – adatmegőrzés szükségessége megfelelően igazolt-e.

15.

Ez a vélemény a következő részekből áll: A II. rész nagy vonalakban ismerteti az adatmegőrzési irányelv tartalmát és az irányelv kapcsolatát az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvvel („elektronikus adatvédelmi irányelv”) (19). A III. rész röviden összefoglalja a Lisszaboni Szerződéssel bevezetett változásokat, mivel a téma szempontjából ezek különösen fontosak, és közvetlen következményekkel járnak az uniós adatmegőrzési szabályok megértésére, értékelésére és esetleges átdolgozására. A vélemény legnagyobb része, a IV. rész tartalmazza az adatmegőrzési irányelv érvényességének elemzését a magánélet védelme és az adatvédelem jogának fényében, figyelemmel továbbá az értékelő jelentésben ismertetett észrevételekre. Az V. rész tárgyalja a lehetséges további lépéseket. A vélemény a VI. részben a következtetéssel zárul.

16.

E vélemény keretében az adatmegőrzés a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóinak vagy a nyilvános hírközlő hálózatok szolgáltatóinak azon kötelezettségét jelenti, hogy bizonyos ideig megőrizzék a forgalmi és helymeghatározó adatokat, valamint az előfizető vagy felhasználó azonosításához szükséges kapcsolódó adatokat. Ezt a kötelezettséget az adatmegőrzési irányelv rögzíti, és 5. cikkének (1) bekezdésében részletesebben is meghatározza a megőrizendő adatkategóriákat. Az irányelv 6. cikke értelmében a tagállamok gondoskodnak arról, hogy az 5. cikkben meghatározott adatkategóriákat a közlés időpontjától számított legalább hat hónapig és legfeljebb két évig megőrizzék.

17.

A szolgáltatók által az érintett hírközlési szolgáltatások nyújtása során előállított vagy feldolgozott adatokat meg kell őrizni (3. cikk). A kötelezettség a sikertelen hívási kísérletek során keletkező adatok megőrzését is magában foglalja. Az irányelv alapján a közlés tartalmát felfedő adat nem őrizhető meg (5. cikk (1) bekezdés).

18.

Az adatok megőrzése annak biztosítása érdekében történik, hogy azok „az egyes tagállamok nemzeti joga által meghatározott súlyos bűncselekmények kivizsgálása, felderítése és üldözése céljából rendelkezésre álljanak” (1. cikk (1) bekezdés).

19.

Az adatmegőrzési irányelv nem tartalmaz további szabályokat azon feltételekre vonatkozóan, amelyekkel az illetékes nemzeti hatóságok az őrzött adatokhoz hozzáférhetnek. Ez nem esik az irányelv hatálya alá, hanem a tagállamok mérlegelési jogkörébe tartozik. Az irányelv 4. cikke kiemeli, hogy az említett nemzeti szabályoknak összhangban kell állniuk a szükségesség és arányosság követelményével, különös tekintettel az emberi jogok európai egyezményében előírtakra.

20.

Az adatmegőrzési irányelv szorosan kapcsolódik az elektronikus adatvédelmi irányelvhez. Ez az irányelv, amely részletezi és kiegészíti a 95/46/EK általános adatvédelmi irányelvet, előírja, hogy a tagállamoknak biztosítaniuk kell a hírközlési és a kapcsolódó forgalmi adatok titkosságát (20). Az elektronikus adatvédelmi irányelv előírja, hogy az elektronikus hírközlési szolgáltatások igénybevétele során keletkezett forgalmi és helymeghatározási adatokat törölni kell, vagy névtelenné kell tenni, ha a közlés továbbításához ezek már nem szükségesek, kivéve – és csak akkor –, ha számlázás céljából kerülnek felhasználásra (21). Egyes adatok a felhasználók hozzájárulásával addig az időtartamig feldolgozhatók, amely a többletértékű szolgáltatás nyújtásához szükséges.

21.

Az elektronikus adatvédelmi irányelv 15. cikkének (1) bekezdése alapján a tagállamok olyan jogalkotási eszközöket fogadhatnak el, amelyek korlátozzák a fent említett kötelezettségek körét, ha az ilyen jellegű korlátozás „egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények […] megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében”. Az adatmegőrzés kérdését az elektronikus adatvédelmi irányelv 15. cikkének (1) bekezdése kifejezetten említi. A tagállamok „jogszabályi intézkedéseket fogadhatnak el az adatok korlátozott ideig történő visszatartására vonatkozóan” az említett indokok alapján.

22.

Az adatmegőrzési irányelv célja – a súlyos bűncselekmények kivizsgálása, felderítése és üldözése érdekében történő adatmegőrzés tekintetében – a 15. cikk (1) bekezdése szerinti tagállami kezdeményezések összehangolása. Hangsúlyozni kell, hogy az adatmegőrzési irányelv kivételt képez az elektronikus adatvédelmi irányelvben foglalt általános kötelezettség alól, miszerint az adatokat törölni kell, ha már nem szükségesek (22).

23.

Az adatmegőrzési irányelv elfogadásával egy kiegészítő (1a) bekezdést illesztettek az elektronikus adatvédelmi irányelv 15. cikkéhez, amelyben az áll, hogy a 15. cikk (1) bekezdése nem alkalmazandó azokra az adatokra, amelyeket az adatmegőrzési irányelv az 1. cikkének (1) bekezdésében említett célok érdekében kifejezetten megőrizni rendel.

24.

Az értékelő jelentésben szerepel (de az alábbi IV.3. pontban részletesebben is tárgyalni fogjuk), hogy a 15. cikk (1) bekezdését és a 15. cikk (1) bekezdésének b) pontját több tagállam arra használja fel, hogy más célok érdekében is igénybe vegye az adatmegőrzési irányelv alapján megőrzött adatokat (23). Az európai adatvédelmi biztos a jogi keretben meglévő „jogi kiskapunak” nevezte ezt a jelenséget, amely gátolja az adatmegőrzési irányelv céljának érvényesülését, azaz azonos versenyfeltételek megteremtését az ágazatban (24).

25.

A Lisszaboni Szerződés hatálybalépésével az adatmegőrzési irányelv általános uniós jogi háttere jelentősen megváltozott. Az egyik nagy változás a pillérstruktúra megszüntetése volt, amely az Európai Unió hatáskörébe tartozó különböző területekre különböző jogalkotási eljárásokat és felülvizsgálati mechanizmusokat határozott meg.

26.

A korábbi pillérstruktúra sokszor vitára adott okot egy uniós eszköz helyes jogalapjával kapcsolatban, amikor egy témakör különböző pillérekbe tartozó uniós kompetenciákat érintett. A jogalap megválasztásának is megvolt a fontossága, mivel különböző jogalkotási eljárásokhoz vezetett, például a Tanácsban a szavazással kapcsolatos követelmények (minősített többség vagy egyhangúság) vagy az Európai Parlament bevonása tekintetében.

27.

Ezek a viták igen fontosak voltak az adatmegőrzés szempontjából. Mivel az adatmegőrzési irányelv az üzemeltetők kötelezettségeinek összehangolására, ezáltal a belső piaci akadályok kiküszöbölésére irányult, a jogalap a korábbi EK-Szerződés (a korábbi első pillér) 95. cikkében található. A kérdés azonban bűnüldözési szempontból is megközelíthető lett volna azon érv mentén, hogy az adatok tárolásának célja súlyos bűncselekmények üldözése a korábbi EU-Szerződésben szereplő, büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében (a korábbi harmadik pillér) (25).

28.

Végül az adatmegőrzési irányelvet a korábbi EK-Szerződés 95. cikke alapján fogadták el, és az irányelv csak az üzemeltetők kötelezettségeit szabályozza. Az irányelv nem tartalmazott a bűnüldöző hatóságok által megőrzött adatokhoz való hozzáférésre és ezen adatok felhasználására vonatkozó szabályokat.

29.

Az irányelv elfogadását követően az érvényességét megtámadták a Bíróság előtt. Azzal érveltek, hogy az irányelvnek az első pillér helyett a harmadik pilléren kellene alapulnia, mivel a cél, amelynek érdekében az adatokat megőrzik (súlyos bűncselekmények kivizsgálása, felderítése és üldözése), a harmadik pillérbeli uniós hatáskörbe tartozik (26). Mivel azonban az illetékes hatóságok magatartását kifejezetten az irányelv hatályán kívül hagyták, a Bíróság megállapította, hogy az irányelv helyesen alapszik az EK-Szerződésen (27).

30.

Az európai adatvédelmi biztos a kezdetektől fogva amellett érvelt, hogy ha az EU eszközt fogadna el az adatmegőrzésről, az üzemeltetők kötelezettségei mellett a bűnüldöző hatóságok általi hozzáférést és további felhasználást is szabályoznia kellene. Az európai adatvédelmi biztos a bizottsági javaslatról szóló 2005-ös véleményében kiemelte, hogy az illetékes nemzeti hatóságok általi hozzáférés és további felhasználás a tárgyhoz tartozó nélkülözhetetlen és attól elválaszthatatlan elem (28).

31.

Ahogy az alábbiakban részletesebben is kifejtjük, ez az értékelő jelentés is megerősíti annak negatív hatásait, hogy az uniós szabályozás csak a kérdés felét szabályozza. A Bizottság megállapítja, hogy az illetékes nemzeti hatóságok általi hozzáféréssel és további felhasználással kapcsolatban a nemzeti jogszabályokban mutatkozó különbségek „jelentős nehézségeket” okoztak az üzemeltetőknek (29).

32.

Mivel a Lisszaboni Szerződés hatálybalépését követően a pillérstruktúra megszűnt, a két érintett uniós hatásköri területet az EUMSZ-ben egyesítették, ami lehetővé teszi, hogy az uniós jogszabályok elfogadására ugyanazon jogalkotási eljárás vonatkozzon. Ez az új háttér lehetővé teszi, hogy az adatmegőrzésre vonatkozóan egyetlen új eszközt fogadjanak el, amely az üzemeltetők kötelezettségei mellett a bűnüldözési hatóságok általi hozzáférés és további felhasználás feltételeit is szabályozza. Ahogy a IV.3. részben alább kifejtjük, a magánélet védelméhez és az adatvédelemhez való jog megköveteli, hogy ha egy adatmegőrzéssel kapcsolatos átdolgozott uniós eszközt megvizsgálnak, annak legalább a teljességében szabályoznia kellene a kérdést.

33.

A Lisszaboni Szerződés nemcsak megszüntette a pillérstruktúrát, hanem a Szerződésekkel azonos jogi értékkel ruházta fel a korábban nem kötelező erejű Alapjogi Chartát, amely a magánélet védelméhez és az adatvédelemhez való jogot a 7. és 8. cikkében tartalmazza (30). Ezenkívül az adatvédelemhez való szubjektív jog szerepel az EUMSZ 16. cikkében, ami külön jogalapot teremt a személyes adatok védelmével kapcsolatos uniós eszközöknek.

34.

Az alapvető jogok védelme már régóta az uniós politika sarokköve, és a Lisszaboni Szerződés még erősebb uniós kötelezettségvállalást hozott e jogokkal kapcsolatban. A Lisszaboni Szerződéssel beköszöntött változások 2010 októberében arra késztették a Bizottságot, hogy bejelentse az „alapjogi kultúra” támogatását a jogalkotási folyamat minden szakaszában, és kimondja, hogy az EU Alapjogi Chartájának „iránymutatásul kell szolgálnia az uniós szakpolitikák számára” (31). Az európai adatvédelmi biztos úgy véli, hogy a mostani értékelési eljárás jó alkalmat kínál a Bizottságnak arra, hogy bizonyítsa elkötelezettségét.

35.

Az értékelő jelentés a jelenlegi adatmegőrzési irányelv számos gyengeségére rávilágít. A jelentésben ismertetett információk azt mutatják, hogy az irányelv nem töltötte be fő célját, azaz az adatmegőrzéssel kapcsolatos nemzeti jogszabályok összehangolását. A Bizottság megjegyzi, hogy a célok korlátozására, az adatok elérésére, a megőrzési időszakokra, az adatvédelemre, az adatbiztonságra és a statisztikák készítésére vonatkozó előírásokat átültető jogszabályok között „jelentős” eltérések mutatkoznak (32). A Bizottság szerint a különbségek részben az irányelvben kifejezetten biztosított eltérésnek tudhatók be. A Bizottság mindazonáltal kimondja, hogy „az adatmegőrzés nemzeti alkalmazásában felfedezhető különbségek jelentős nehézségeket okoztak az üzemeltetőknek”, és „az ágazatból továbbra is hiányzik a jogbiztonság” (33). Magától értetődő, hogy a harmonizáció ilyen mértékű hiánya minden érintett számára káros: a polgárok, a gazdasági szereplők és a bűnüldöző hatóságok számára egyaránt.

36.

Magánélet- és adatvédelmi szempontból az értékelő jelentés is alátámasztja azt a következtetést, hogy az adatmegőrzési irányelv nem felel meg a magánélet védelméhez és az adatvédelemhez való jog által támasztott követelményeknek. Sok a hiányosság: az adatmegőrzési irányelvben szabályozott adatmegőrzés szükségessége nem kellően igazolt, az adatmegőrzést mindenképpen lehetett volna olyan módon szabályozni, ami kevésbé sérti a magánélet tiszteletben tartásához való jogot, és az adatmegőrzési irányelvből hiányzik az „előreláthatóság”. Ezt a három pontot az alábbiakban részletesebben is kifejtjük.

37.

A magánélet védelméhez és az adatvédelemhez való jogba történő beavatkozás csak akkor megengedett, ha az intézkedés a jogos cél eléréséhez szükséges. Az adatmegőrzés mint bűnüldözési intézkedés szükségessége mindig is a viták kereszttüzében állt (34). Az irányelvjavaslat kimondta, hogy a magánélet védelméhez és az adatvédelemhez való jog korlátozása „a bűnözés és a terrorizmus megelőzése és az ellenük való küzdelem általánosan elismert célkitűzéseinek megvalósításához szükséges” (35). Az európai adatvédelmi biztos azonban 2005-ös véleményében jelezte, hogy ez a kijelentés nem győzte meg, mivel ehhez további bizonyítás szükséges (36). Mégis, az adatmegőrzési irányelv 9. preambulumbekezdésébe minden további bizonyítás nélkül bekerült, hogy „az adatmegőrzés több tagállamban is igen hasznos és hatékony nyomozati eszköznek bizonyult a bűnüldözés terén”.

38.

Elegendő bizonyíték hiányában az európai adatvédelmi biztos amellett érvelt, hogy az adatmegőrzési irányelv csupán azon a feltételezésen alapszik, hogy az adatoknak az adatmegőrzési irányelvben kidolgozott megőrzése szükséges intézkedés (37). Ezért az európai adatvédelmi biztos felhívta a Bizottságot és a tagállamokat, hogy az értékelő jelentés alkalmából nyújtsanak be további bizonyítékokat, amelyek igazolják az adatmegőrzési intézkedés szükségességére vonatkozó feltételezést és azt, hogy az adatok megőrzésének az adatmegőrzési irányelvben való szabályozása valóban helyes.

39.

Ezzel kapcsolatban a Bizottság az értékelő jelentésben kijelenti, hogy „[a] tagállamok többsége azt az álláspontot képviseli, hogy az uniós adatmegőrzési előírások továbbra is a bűnüldözésnek, az áldozatok védelmének és a büntetőjogi rendszereknek a szükséges eszköze”. Ezenfelül a jelentés az adatmegőrzést úgy említi, mint ami „központi szerepet” tölt be a bűnügyi nyomozásban, „minimum értékes, de egyes esetekben nélkülözhetetlen”, és kimondja, hogy egyes bűncselekményeket adatmegőrzés nélkül „talán sosem oldottak volna meg” (38). A Bizottság megállapítja, hogy ezért az Európai Uniónak „támogatnia és szabályoznia kellene a biztonsági intézkedést jelentő adatmegőrzést” (39).

40.

Kétséges azonban, hogy a Bizottság valóban megállapíthatja-e, hogy a legtöbb tagállam szükséges eszköznek tartja az adatmegőrzést. A jelentésben nem szerepel, mely tagállamok alkotják a többséget; ahhoz, hogy a legtöbb tagállamról beszélhessünk, a 27 tagállamból álló Európai Unió esetében legalább 14 tagállamnak kell lennie ebben a körben. Az 5. fejezetben konkrétan említett tagállamok száma, amelyen a következtetések alapulnak, legfeljebb kilenc (40).

41.

Ezenkívül úgy tűnik, hogy a Bizottság főként a tagállamok azzal kapcsolatos nyilatkozataira alapoz, hogy az adatmegőrzést bűnüldözési célokra szükséges eszköznek tartják-e. Ezek a nyilatkozatok azonban inkább azt jelzik, hogy az érintett tagállamok szeretik, ha az adatmegőrzésre vonatkozóan van uniós szabályozás, de konkrétan nem tudják megállapítani az adatmegőrzés, mint az EU által támogatott és szabályozott bűnüldözési intézkedés szükségességét. A szükségességre vonatkozó nyilatkozatokat elégséges bizonyítékokkal kell alátámasztani.

42.

Egy, a magánéletet sértő intézkedés szükségességét igazolni kétségkívül nem könnyű feladat. Különösen nem a Bizottság számára, amely nagymértékben a tagállamok által nyújtott információkra támaszkodik.

43.

Ha azonban egy intézkedés – mint például az adatmegőrzési irányelv – már fennáll, és vannak gyakorlati tapasztalatok, elégséges minőségi és mennyiségi információnak kell rendelkezésre állnia, amelyek alapján megítélhető, hogy az intézkedés ténylegesen működik-e, és el lehetett volna-e érni hasonló eredményt az eszköz nélkül, vagy más hasonló, a magánéletet kevésbé sértő eszközön keresztül. Ezeknek az információknak hiteles bizonyítéknak kell lenniük, és ki kell mutatniuk a kapcsolatot a használat és az eredmény között (41). Mivel uniós irányelvről van szó, az információknak ezenfelül legalább az uniós tagállamok többségének gyakorlatát képviselniük kell.

44.

Alapos elemzést követően az európai adatvédelmi biztos úgy ítéli meg, hogy – bár egyértelmű, hogy a Bizottság sok munkát fektetett abba, hogy a tagállami kormányoktól információt gyűjtsön – a tagállamok által adott mennyiségi és minőségi információk nem elégségesek annak igazolására, hogy az adatoknak az adatmegőrzési irányelvben előírtak szerint történő megőrzése valóban szükséges. Érdekes példákat közöltek a megőrzött adatok felhasználására, azonban a jelentésben ismertetett információkban egyszerűen túl sok a hiányosság ahhoz, hogy az eszköz szükségességére vonatkozóan általános következtetéseket lehessen levonni. Ezenkívül még tovább kell vizsgálni az alternatív eszközök lehetőségét is. Ezt a két pontot az alábbiakban részletesebben is kifejtjük.

45.

Ami a mennyiséget illeti, a főként az értékelő jelentés 5. fejezetében és mellékletében közölt statisztikai információkból döntő fontosságú adatok hiányoznak. A statisztikák például nem jelzik az adatkeresés célját. Ezenkívül a számokból nem tűnik ki, hogy az összes adat, amelyre vonatkozóan hozzáférést kértek, olyan adat volt-e, amit az adatmegőrzésre irányuló jogi kötelezettség miatt gyűjtöttek, vagy üzleti célból gyűjtötték őket. Ugyanígy semmiféle tájékoztatást nem adnak az adatok felhasználásának eredményéről. A következtetések szempontjából az is problémás, hogy a különböző tagállamoktól származó információk nem mindig teljesen összevethetők, és sok esetben a táblázatokban csak kilenc tagállam szerepel.

46.

A jelentésben ismertetett minőségi példák jobban szemléltetik, hogy a megőrzött adatok egyes konkrét helyzetekben, valamint az adatmegőrzési rendszer lehetséges előnyei szempontjából milyen fontos szerepet játszottak. Az azonban nem minden esetben egyértelmű, hogy a megőrzött adatok felhasználása volt az adott bűncselekmény megoldásának egyetlen módja.

47.

A jelentés néhány példával illusztrálja, hogy milyen nélkülözhetetlen az adatmegőrzés a számítástechnikai bűnözés elleni küzdelemben. Ezzel kapcsolatban érdemes megjegyezni, hogy a legfőbb nemzetközi okmány ezen a területen, az Európa Tanács számítástechnikai bűnözésről szóló egyezménye nem irányozza elő az adatmegőrzést, mint a számítástechnikai bűnözés elleni küzdelmet szolgáló intézkedést; az egyezmény csupán az adatmegóvást említi, mint nyomozati eszközt (42).

48.

A Bizottság nagy jelentőséget tulajdonít a tagállami példáknak, amelyekben a megőrzött adatokat arra használták fel, hogy gyanúsítottakat kizárjanak a bűncselekmény elkövetőinek köréből, illetve ellenőrizzék az alibit (43). Bár ezek érdekes példák arra, hogyan használják fel a bűnüldöző hatóságok az adatokat, az adatmegőrzés szükségessége nem igazolható velük. Ezt az érvet csak óvatosan szabad használni, mivel félreérthető, ha úgy értelmezzük, hogy az adatok megőrzése a polgárok ártatlanságának bizonyításához szükséges, ez ugyanis nehezen lenne összeegyeztethető az ártatlanság vélelmével.

49.

Az értékelő jelentés csak röviden tárgyalja az adatmegőrzés értékét a technológiai fejlesztésekkel – konkrétabban az előre fizetett SIM-kártyák használatával – összefüggésben (44). Az európai adatvédelmi biztos kiemeli, hogy ha az irányelvben nem szereplő új technológiák (internetalapú beszédhívások és a közösségi hálózatok) használatára vonatkozóan több mennyiségi és minőségi információt közöltek volna, azt jobban fel lehetett volna használni az irányelv hatékonyságának értékeléséhez.

50.

Az értékelő jelentés korlátozott, mert leginkább az azon tagállamok által rendelkezésre bocsátott mennyiségi és minőségi információkra összpontosít, amelyek végrehajtották az adatmegőrzési irányelvet. Mindazonáltal érdekes lett volna látni, hogy van-e jelentős különbség az említett tagállamok és azon tagállamok között, amelyek nem hajtották végre az irányelvet. Különösen azon tagállamok esetében, ahol a végrehajtási jogszabályt megsemmisítették (Németország, Románia és Csehország), lett volna érdekes megnézni, hogy a sikeres bűnügyi nyomozások száma emelkedik-e vagy csökken a megsemmisítés előtt, illetve után.

51.

A Bizottság tudomásul veszi, hogy az értékelő jelentésben szereplő statisztikák és példák „bizonyos tekintetben ugyan korlátozottak”, ennek ellenére megállapítja, hogy a bizonyítékok „a megőrzött adatoknak a bűnügyi nyomozásban betöltött központi szerepéről tanúskodnak” (45).

52.

Az európai adatvédelmi biztos úgy érzi, hogy a Bizottságnak kritikusabbnak kellett volna lennie a tagállamokkal szemben. Amint már említettük, egyes tagállamok politikai nyilatkozatai egy ilyen intézkedés szükségességéről önmagukban nem indokolhatják az uniós fellépést. A Bizottságnak ragaszkodnia kellett volna ahhoz, hogy a tagállamok elégséges bizonyítékot szolgáltassanak az intézkedés szükségességének szemléltetéséhez. Az európai adatvédelmi biztos szerint a Bizottságnak legalábbis attól kellett volna függővé tennie az adatmegőrzés, mint biztonsági intézkedés (lásd az értékelő jelentés 31. pontját) támogatását, hogy a tagállamok szolgáltassanak további bizonyítékokat a hatásvizsgálat folyamán.

53.

Az adatmegőrzés szükségessége, ahogyan az adatmegőrzési irányelv előírja, attól is függ, hogy vannak-e a magánéletet kevésbé sértő eszközök, amelyek hasonló eredményre vezethetnének. Ezt a Bíróság is megerősítette a Schecke-ügyben 2010 novemberében hozott döntésében, amelyben a mezőgazdasági alapok kedvezményezettjei nevének közzétételéről szóló uniós jogszabályt megsemmisítette (46). A megsemmisítés egyik indoka az volt, hogy a Tanács és a Bizottság nem vett figyelembe olyan alternatív intézkedéseket, amelyek megfelelnek a közzététel céljának, és egyben kevésbé avatkoznak be az érintett kedvezményezetteknek a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogába (47).

54.

Az adatmegőrzési irányelvvel kapcsolatos viták során felvetett fő alternatíva az adatmegóvás módszere („gyors befagyasztási eljárás”, illetve „bővített gyors befagyasztási eljárás”) (48). Az adatmegóvás csak bizonyos, bűncselekménnyel gyanúsított személyekkel kapcsolatos távközlési forgalmi és helymeghatározási adatok ideiglenes biztosítása vagy „befagyasztása”, amely adatok a későbbiekben bírósági engedéllyel rendelkező bűnüldöző hatóságok rendelkezésére bocsáthatók.

55.

Az értékelő jelentés a számítógépes bűnözésről szóló fenti egyezménnyel összefüggésben említi az adatmegóvást, de nem tartja nem megfelelőnek, mert „nem biztosítja a bizonyítékoknak a megóvásra vonatkozó határozatot megelőző megállapíthatóságát, nem teszi lehetővé nyomozás folytatását abban az esetben, ha az alany ismeretlen, és nem teszi lehetővé bizonyítékok gyűjtését például bűncselekmények áldozatainak vagy tanúinak mozgásáról” (49).

56.

Az európai adatvédelmi biztos tudomásul veszi, hogy adatmegóvási rendszer használata esetén kevesebb információ áll rendelkezésre, mint az adatmegőrzés széles körű rendszere esetében. Ez azonban pontosan az adatmegóvás célzottabb jellege miatt van – amiatt, hogy az adatmegóvás mind volumenét, mind pedig az általa érintett személyek számát tekintve a magánéletet kevésbé sértő eszköz. Az értékelésnek nemcsak a rendelkezésre álló adatokat, hanem a két rendszer által elért eltérő eredményeket is tekintetbe kellene vennie. Az európai adatvédelmi biztos úgy véli, az intézkedés alaposabb vizsgálata indokolt, sőt, feltétlenül szükséges. Ezt a hatásvizsgálat során, a következő hónapok folyamán el lehetne végezni.

57.

Ebben a vonatkozásban nem szerencsés, hogy a jelentés Következtetések c. részében a Bizottság elkötelezi magát amellett, hogy megvizsgálja, hogy az adatmegóvás uniós szintű megközelítése kiegészíthetné-e (nem pedig: felválthatná) az adatmegőrzést, és ha igen, akkor milyen módon (50). Az a lehetőség, hogy bármilyen típusú megőrzési rendszert kombináljanak az adatmegóvás különféle módjaihoz kapcsolódó eljárási biztosítékokkal, valóban további vizsgálatot érdemel. Az európai adatvédelmi biztos azonban azt ajánlja, hogy a Bizottság a hatásvizsgálat alatt is mérlegelje, hogy egy adatmegóvási rendszer vagy más alternatív eszközök teljesen vagy részben nem tudnák-e helyettesíteni a jelenlegi adatmegőrzési rendszert.

58.

Az európai adatvédelmi biztos szerint az értékelő jelentésben szereplő információk nem tartalmaznak elégséges bizonyítékot az adatmegőrzési irányelvben megállapított adatmegőrzési intézkedés szükségességének igazolására. Az értékelő jelentés azonban mégis arra a következtetésre jut, hogy az adatvédelmi irányelv olyan módon szabályozza az adatmegőrzést, ami túlmegy a szükséges mértéken, vagy legalábbis nem gondoskodik arról, hogy az adatmegőrzést ne alkalmazzák ilyen módon. Ezzel kapcsolatban négy dolog emelhető ki.

59.

Először is, az intézkedés nem egyértelmű célja és az „illetékes nemzeti hatóságok” tág fogalma azt eredményezte, hogy a megőrzött adatokat túlságosan sokféle célra és túlságosan sok hatóság használhatja. Ezenkívül nincs következetesség a biztosítékokban és az adatokhoz való hozzáférés feltételeiben. Például a hozzáférést egyik tagállamban sem teszik függővé bíróság vagy más független hatóság előzetes jóváhagyásától.

60.

Másodszor, a kétéves maximális megőrzési idő a szükségesnél sokkal hosszabbnak tűnik. Az értékelő jelentésben közölt, több tagállamtól származó statisztikai adatok szerint a hozzáférési kérelmek túlnyomó többsége (86 %) legfeljebb hat hónapos adatokra vonatkozik (51). Ezenkívül tizenhat tagállam választott a nemzeti jogszabályaiban egyéves vagy ennél rövidebb megőrzési időt (52). Ezek alapján nagyon is úgy tűnik, hogy a kétéves maximális időszak sokkal hosszabb annál, ami a tagállamok többsége szerint szükségesnek tekinthető.

61.

Ezenkívül, mivel nincs az összes tagállamra érvényes egyetlen fix megőrzési idő, a nemzeti jogszabályok igen eltérően szabályozzák a kérdést, ami bonyodalmakat okozhat, mert nem mindig egyértelmű, hogy melyik nemzeti jogszabály alkalmazandó (az adatmegőrzésre vagy az adatvédelemre vonatkozó), amikor az üzemeltetők a gyűjtés helye szerinti tagállamtól eltérő tagállamban tárolják az adatokat.

62.

Harmadszor, a biztonsági szint nincs eléggé összehangolva. A 29. cikk alapján létrehozott munkacsoport 2010. júliusi jelentésének egyik fő következtetése az volt, hogy a különböző tagállamokban igen sokféle biztonsági intézkedés van életben. Úgy látszik, a Bizottság elégségesnek minősíti az irányelvben szereplő biztonsági intézkedéseket, mivel „a magánélet tiszteletben tartásának súlyos megsértésére […] nem volt példa” (53). A jelentésből azonban kitűnik, hogy a Bizottság csak a tagállami kormányokat kérdezte meg erről a témáról. A jelenlegi biztonsági szabályok és intézkedések megfelelőségének értékeléséhez szélesebb körű konzultáció és a visszaélések konkrétabb vizsgálata szükséges. Még ha a jelentéssel összefüggésben nem is említenek konkrét példákat a biztonsági szabályok megsértésére, az adatbiztonság megsértésének egyes tagállamokban előforduló esetei, valamint a forgalmi adatok és az elektronikus kommunikáció területén előforduló botrányok szemléletes figyelmeztetésül szolgálnak. Ezt a kérdést nem lehet félvállról venni, hiszen egy adatmegőrzési rendszer esetében a megőrzött adatok biztonsága kritikus fontosságú, ugyanis minden más biztosíték tiszteletben tartását is ez biztosítja (54).

63.

Negyedszer, a jelentésből nem egyértelmű, hogy a megőrzött adatok összes kategóriája feltétlenül szükséges volt-e. Csupán általános jelleggel különböztették meg a telefonos és internetes adatokat. Néhány tagállam az internetes adatokra vonatkozóan rövidebb megőrzési időt választott (55). Ebből azonban nem lehet általános következtetéseket levonni.

64.

Az adatmegőrzési irányelv másik hiányossága az előreláthatóság hiányával kapcsolatos. Az előreláthatóság követelménye az EJEE 8. cikkének (2) bekezdésében és az Európai Unió Alapjogi Chartája 52. cikkének (1) bekezdésében foglalt általános előírásból fakad, miszerint a jogokba való beavatkozást törvénynek kell elrendelnie. Az EJEB szerint ez azt jelenti, hogy az intézkedésnek törvényi jogalappal kell rendelkeznie, és összeegyeztethetőnek kell lennie a jogállamisággal. Ez annyit jelent, hogy a jogszabály megfelelően hozzáférhető és előrelátható (56). A Bíróság is kiemelte az Österreichischer Rundfunk ügyben hozott döntésében, hogy a törvényt eléggé pontosan kell megszövegezni annak érdekében, hogy a polgárok magatartásukat hozzá tudják igazítani (57). A törvénynek kellően egyértelműen kell jeleznie az illetékes hatóságok jogkörének terjedelmét és a jogkör gyakorlásának módját (58).

65.

Az Európai Unió Alapjogi Chartájáról szóló bizottsági közleményben szereplő kérdéslistában is arra vonatkozik az egyik kérdés, hogy az alapjogok esetleges korlátozásait „pontosan és kiszámíthatóan” fogalmazták-e meg (59). A Bizottság a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben folytatott információkezelés áttekintéséről szóló közleményében szintén kimondta, hogy a polgároknak „jogukban áll megismerni, hogy mely személyes adataikat, kik és milyen célból dolgozzák fel és cserélik ki” (60).

66.

Egy uniós irányelv esetében az alapjogoknak – köztük az előreláthatóság követelményének – való megfelelésért elsősorban az irányelvet nemzeti jogukban végrehajtó tagállamok a felelősek. Jól ismert követelmény, hogy a végrehajtás során tiszteletben kell tartani az alapvető jogokat (61).

67.

A Bizottság az értékelő jelentésben is kiemeli, hogy az irányelv „önmagában nem biztosítja azt, hogy a megőrzött adatokat a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jognak megfelelően tárolják, nyerjék vissza vagy használják fel”. Emlékeztet arra, hogy „a tagállamok felelnek ezeknek a jogoknak a biztosításáért” (62).

68.

Az európai adatvédelmi biztos azonban úgy véli, hogy egy uniós irányelvnek önmagában is bizonyos mértékig meg kell felelnie az előreláthatóság követelményének. Vagy, átfogalmazva a Bíróság Lindqvist-ügyben hozott ítéletének szövegét, az irányelv által körvonalazott rendszerből „nem hiányozhat az előreláthatóság” (63). Ez különösen így van egy olyan uniós intézkedés esetében, amely előírja a tagállamoknak, hogy nagyméretekben avatkozzanak be a polgárok magánélethez és személyes adataik védelméhez való jogába. Az európai adatvédelmi biztos úgy ítéli meg, hogy az EU felelős azért, hogy legalább egyértelműen meghatározott célt írjon elő, és világosan jelezze, ki és milyen feltételekkel kaphat hozzáférést az adatokhoz.

69.

Ezt az álláspontot a Lisszaboni Szerződéssel létrejött új jogi háttér is támogatja, ami – ahogy fentebb kifejtettük – bővítette az EU hatáskörét a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés területén, és erősebb uniós elkötelezettséget hozott létre az alapvető jogok tiszteletben tartása iránt.

70.

Az európai adatvédelmi biztos emlékeztet arra, hogy a meghatározott cél követelménye és az e céllal bármilyen módon összeegyeztethetetlen későbbi adatfeldolgozás tilalma („célhoz kötöttség elve”) a személyes adatok védelme szempontjából alapvető fontosságú, ahogyan azt az Európai Unió Alapjogi Chartájának 8. cikke is megerősíti (64).

71.

Az értékelő jelentés tanúsága szerint az a döntés, hogy a tagállamokra hagyták annak pontos meghatározását, hogy mi minősül „súlyos bűncselekménynek”, majd pedig mi tekintendő „illetékes hatóságnak”, azt eredményezte, hogy az adatokat igen sokféle célra használták fel (65).

72.

A Bizottság kijelenti, hogy „[a] legtöbb, jogszabályt átültető tagállam a jogszabályai értelmében lehetővé teszi a megőrzött adatoknak az irányelv hatályán túlmutató felhasználását és elérését, ideértve általában véve a bűncselekmények megelőzését és leküzdését, valamint az emberi élet kockáztatását” (66). A tagállamok kihasználják az elektronikus adatvédelmi irányelv 15. cikkének (1) bekezdésében nyitva hagyott „jogi kiskaput” (67). A Bizottság úgy véli, hogy ebben a helyzetben nem lehet megfelelően gondoskodni „az előreláthatóságról, amely a magánélet tiszteletben tartásához való jogot korlátozó jogalkotási intézkedések esetében követelmény” (68).

73.

Ilyen körülmények között nem jelenthető ki, hogy az adatmegőrzési irányelv önmagában – különösen az elektronikus adatvédelmi irányelvvel együtt – biztosítja azt az egyértelműséget, ami uniós szinten az előreláthatóság elvének teljesítéséhez szükséges.

74.

Az előző részben foglalt elemzés alátámasztja azt a következtetést, hogy az adatmegőrzési irányelv nem felel meg a magánélet védelméhez és az adatvédelemhez való jog által meghatározott követelményeknek. Egyértelmű tehát, hogy az adatmegőrzési irányelv nem maradhat fenn a jelenlegi formájában. Ezzel kapcsolatban a Bizottság helyesen javasolja a jelenlegi adatmegőrzési keret felülvizsgálatát (69).

75.

Mielőtt azonban javaslatot tenne az irányelv átdolgozott változatára,

76.

A hatásvizsgálat keretében ezenkívül meg kell vizsgálni, hogy alternatív, a magánéletet kevésbé sértő eszközök is hasonló eredményre vezethettek volna, illetve vezethetnének. Ezt a Bizottságnak kellene kezdeményeznie, szükség esetén külső szakértői támogatással.

77.

Az európai adatvédelmi biztos örömmel nyugtázza, hogy a Bizottság a hatásvizsgálat folyamán az összes érdekelt féllel konzultációt hirdetett (70). Ezzel kapcsolatban az európai adatvédelmi biztos bátorítja a Bizottságot, hogy találjon módot a polgárok közvetlen bevonására.

78.

Ki kell emelni, hogy a szükségesség értékelése és alternatív, a magánéletet kevésbé sértő eszközök vizsgálata csak tisztességesen, a jövőbeli irányelvre vonatkozó összes lehetőség nyitva hagyásával végezhető el. Ezzel kapcsolatban úgy tűnik, a Bizottság kizárja az irányelv hatályon kívül helyezésének lehetőségét – akár önmagában, akár egy másik, célzottabb uniós intézkedésre irányuló javaslattal kombinálva. Az európai adatvédelmi biztos ezért felhívja a Bizottságot, hogy a hatásvizsgálatban is alaposan mérlegelje ezeket a lehetőségeket.

79.

Csak akkor lehet egy jövőbeli adatmegőrzési irányelvet mérlegelni, ha a belső piac és a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés szempontjából megegyezés van az uniós szabályok szükségességéről, és a hatásvizsgálat során az EU által támogatott és szabályozott adatmegőrzés szükségessége kellőképpen igazolható, amibe az alternatív intézkedések alapos mérlegelése is beletartozik.

80.

Az európai adatvédelmi biztos nem tagadja, hogy a megőrzött adatok bűnüldözési célokra rendkívül értékesek, és egyes esetekben döntő szerepük lehet. A német Bundesverfassungsgerichthez hasonlóan az európai adatvédelmi biztos sem zárja ki, hogy bizonyos, igen szigorú feltételek mellett egy, a távközlési adatok megőrzésére irányuló, jól definiált kötelezettség indokolt lehet (71).

81.

Egy jövőbeli uniós adatmegőrzési eszköznek tehát a következő alapkövetelményeknek kell megfelelnie:

82.

Nyilvánvaló, hogy az európai adatvédelmi biztos az adatmegőrzésre vonatkozó minden jövőbeli javaslatot gondosan ellenőriz majd az említett alapfeltételekre figyelemmel.

83.

Az európai adatvédelmi biztos örömmel nyugtázza, hogy bár az adatmegőrzési irányelv 14. cikke szigorúan véve nem írja elő, a Bizottság az irányelv alapvető jogokat érintő vonatkozásait is figyelembe vette az értékelő jelentésben.

84.

Az értékelő jelentés tanúsága szerint az irányelv nem töltötte be fő célját, azaz az adatmegőrzéssel kapcsolatos nemzeti jogszabályok harmonizálását. A harmonizáció hiánya minden érintett fél – a polgárok, a gazdasági szereplők és a bűnüldöző hatóságok – számára egyaránt káros.

85.

Az értékelő jelentés alapján megállapítható, hogy az adatmegőrzési irányelv a következő okokból nem felel meg a magánélet védelméhez és az adatvédelemhez való jog által meghatározott követelményeknek:

86.

Az európai adatvédelmi biztos felhívja a Bizottságot, hogy alaposan mérlegelje a hatásvizsgálatban szereplő összes lehetőséget, beleértve az irányelv hatályon kívül helyezését is – akár önmagában, akár egy másik, célzottabb uniós intézkedésre irányuló javaslattal kombinálva.

87.

Csak akkor lehet egy jövőbeli adatmegőrzési irányelvet mérlegelni, ha a belső piac és a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés szempontjából megegyezés van az uniós szabályok szükségességéről, és a hatásvizsgálat során az EU által támogatott és szabályozott adatmegőrzés szükségessége kellőképpen igazolható, amibe az alternatív intézkedések alapos mérlegelése is beletartozik. Egy ilyen eszköznek meg kell felelnie a következő alapkövetelményeknek: