9.2.2012   

HU

Az Európai Unió Hivatalos Lapja

C 35/16

1.

2011. november 28-án a Bizottság tanácsi határozatra irányuló javaslatot fogadott el az Amerikai Egyesült Államok és az Európai Unió közötti, az utas-nyilvántartási adatállomány (PNR) felhasználásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás (a továbbiakban: a „megállapodás”) megkötéséről (3).

2.

2011. november 9-én gyorsított eljárás keretében egyeztettek az európai adatvédelmi biztossal a javaslattervezetről. 2011. november 11-én az európai adatvédelmi biztos több korlátozott terjesztésű észrevételt is kiadott. E vélemény célja ezen észrevételeknek a szóban forgó javaslat figyelembevételével történő kiegészítése, valamint az európai adatvédelmi biztos álláspontjának közzététele. E vélemény továbbá az európai adatvédelmi biztos és a 29. cikk alapján létrehozott munkacsoport PNR-rel összefüggésben tett számos korábbi intézkedésére épül.

3.

A megállapodás szilárd jogalapot biztosít a PNR-adatoknak az EU-ból az Egyesült Államok számára történő továbbítására. Jelenleg az adattovábbítás a 2007. évi megállapodáson (4) alapszik, mert a Parlament úgy határozott, hogy elnapolja a jóváhagyásról történő szavazást mindaddig, amíg megnyugtató választ kap az adatvédelmi aggályaira. 2010. május 5-i határozatában (5) a Parlament főként az alábbi követelményeket említette:

4.

E megállapodást az utas-nyilvántartási adatokra vonatkozó globális megközelítés fényében kell vizsgálni, amely harmadik országokkal (nevezetesen Ausztráliával (8) és Kanadával (9)) folytatandó tárgyalásokat, és egy európai uniós szintű PNR-rendszerre irányuló javaslatot (10) is magában foglal. A megállapodás az EU és az Amerikai Egyesült Államok között a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében a személyes adatok cseréjéről szóló megállapodásra irányuló, jelenleg folyó tárgyalások (11) körébe is beletartozik. Tágabb összefüggésben nézve, a megállapodást néhány héttel az általános adatvédelmi keret felülvizsgálatára irányuló javaslat várható elfogadása előtt parafálták (12).

5.

Az európai adatvédelmi biztos üdvözli ezt a globális megközelítést, amelynek célja koherens jogi keret biztosítása a PNR-megállapodásokhoz, összhangban az európai uniós jogi követelményekkel. Sajnálatát fejezi ki azonban amiatt, hogy ez az időzítés a gyakorlatban nem teszi lehetővé a szóban forgó megállapodások és az EU új adatvédelmi szabályai közötti összhang biztosítását. Emlékeztetni kíván továbbá arra, hogy az EU és az Amerikai Egyesült Államok közötti, az adatcseréről szóló általános megállapodást az EU–USA PNR-megállapodásra is alkalmazni kell.

6.

Az Európai Unió Alapjogi Chartája szerint az alapvető jogok és szabadságok mindenfajta korlátozásának szükségesnek, arányosnak és jogszabályban meghatározottnak kell lennie. Ahogyan az európai adatvédelmi biztos (13) és a 29. cikk alapján létrehozott munkacsoport (14) már többször kijelentette, a PNR-rendszereknek, valamint az utas-nyilvántartási adatok harmadik országokba történő együttes továbbításának szükségességét és arányosságát mindeddig nem bizonyították. Az Európai Gazdasági és Szociális Bizottság és az Alapjogi Ügynökség szintén osztják ezt az álláspontot (15). Az alábbi konkrét észrevételek nem érintik e jelenlegi előzetes és alapvető észrevételt.

7.

Bár ez a megállapodás némi előrelépést jelent a 2007. évi megállapodáshoz képest, továbbá megfelelő biztosítékokat tartalmaz az adatbiztonságra és az adatok ellenőrzésére vonatkozóan, sem a fent említett véleményekben kifejezésre juttatott főbb aggályokra nem nyújt választ, sem az Európai Parlament által előírt feltételeknek nem felel meg (16).

8.

A megállapodás 4. cikkének (1) bekezdése kimondja, hogy az Egyesült Államok a PNR-adatok felhasználását az alábbiak megelőzése, felderítése, kivizsgálása és büntetőeljárás alá vonása céljából végzi: a) terrorista bűncselekmények és ehhez kapcsolódó bűncselekmények, valamint b) legalább három év szabadságvesztéssel büntethető, nemzetközi jellegű bűncselekmények. A megállapodás e fogalmak közül néhányat részletesebben is meghatároz.

9.

Bár ezek a fogalommeghatározások pontosabbak, mint a 2007. évi megállapodásban, még mindig vannak olyan fogalmak és kivételek, amelyek adott esetben túlléphetnek a célhoz kötöttségen, és veszélyeztethetik a jogbiztonságot. Különösen a következők:

10.

A megállapodás I. melléklete 19 adattípust tartalmaz, amelyeket az Egyesült Államokba küldenek. Ezek többsége különböző adatkategóriákat ölel fel, és megegyezik a 2007. évi megállapodásban szereplő adatmezőkkel, amelyeket az európai adatvédelmi biztos és a 29. cikk alapján létrehozott munkacsoport már korábban aránytalannak minősített (18).

11.

Ez különösen az „Általános megjegyzések, ideértve az egyéb kiegészítő információkat (OSI) (19), a különleges szolgáltatásra vonatkozó információkat (SSI) (20) és a különleges szolgáltatásra vonatkozó kérelmeket (SSR) (21)” mezőre utal, amely a vallási meggyőződéssel (pl. fogyasztott ételek) vagy az egészségi állapottal (pl. kerekesszék kérése) kapcsolatban fedhet fel adatokat. Az ilyen különleges adatokat kifejezetten törölni kell a listáról.

12.

A lista arányosságának értékelésekor azt is figyelembe kell venni, hogy az előrehaladott továbbítás (a megállapodás 15. cikkének (3) bekezdése) miatt ezek a kategóriák nemcsak a tényleges utasokra, hanem azokra az egyénekre is vonatkoznak, akik végül nem repülnek el (pl. járattörlés okán).

13.

Ezenfelül a nyílt adatmezők veszélyeztethetnék a jogbiztonságot. Az olyan kategóriákat, mint a „valamennyi rendelkezésre álló elérhetőségi információ”, „poggyászra vonatkozó adatok”, valamint az „általános megjegyzések”, jobban meg kell határozni.

14.

A listát tehát szűkíteni kell. A 29. cikk alapján létrehozott munkacsoport véleményével (22) összhangban úgy véljük, hogy az adatok körét a következő információkra kell korlátozni: PNR nyilvántartási helymeghatározó kód, helyfoglalás dátuma, az utazás tervezett időpontja(i), az utas neve, a PNR-ben szereplő egyéb nevek, az utazás útvonalával kapcsolatos valamennyi információ, szabadjegyek, illetve csak odaútra szóló jegyek azonosítói, a jegy kiállításával kapcsolatos információk, az automatikus árlekérdezés (ATFQ) adatai, a repülőjegy száma, a repülőjegy kiadásának napja, jegykezelésre nem jelentkezett utasokkal (no show) kapcsolatos információk, csomagok száma, csomagjegy száma, foglalás nélkül utazó utasokkal (go show) kapcsolatos információk, csomagok száma az egyes szegmensekben, a kiszolgálási osztály szintjének emelése (upgrade) önként/nem önként, PNR-adatok módosításai az említett tételekkel kapcsolatban.

15.

A megállapodás 6. cikke kimondja, hogy a Belbiztonsági Minisztérium automatikusan kiszűri és „elrejti” a különleges adatokat. Az ilyen adatokat azonban legalább 30 napig tárolják, és azok adott esetben felhasználhatók (6. cikk (4) bekezdés). Az európai adatvédelmi biztos szeretné kiemelni, hogy ezek az adatok akkor is „különlegesek” maradnak, ha „elrejtik” őket, és mindenképpen azonosítható természetes személyekhez kapcsolódnak.

16.

Ahogyan az európai adatvédelmi biztos már hangoztatta, a Belbiztonsági Minisztériumnak nem szabadna uniós polgárokra vonatkozó különleges adatokat feldolgoznia – még akkor sem, ha az adatokat a beérkezést követően „elrejtik”. Az európai adatvédelmi biztos ajánlja, hogy a megállapodás szövege mondja ki, hogy a légi fuvarozók nem továbbíthatnak különleges adatokat a Belbiztonsági Minisztériumnak.

17.

A 8. cikk kimondja, hogy a PNR-adatokat legfeljebb öt évig tárolják aktív adatbázisban, ezt követően háttéradatbázisba helyezik át, és legfeljebb 10 évig megőrzik. Ez a 15 éves maximális megőrzési idő egyértelműen aránytalan, függetlenül attól, hogy az adatokat „aktív” vagy „háttéradatbázisokban” tartják, ahogyan ezt az európai adatvédelmi biztos és a 29. cikk alapján létrehozott munkacsoport is kiemelte.

18.

A 8. cikk (1) bekezdése kimondja, hogy az adatokat hat hónappal a Belbiztonsági Minisztériumhoz történő beérkezésüket követően „személytelenítik és elrejtik”. Az „elrejtett” és a „háttéradatbázisban” tárolt adatok azonban egyaránt személyes adatok mindaddig, amíg nem anonimizálják azokat. Az adatokat tehát az elemzést követően haladéktalanul, illetve legfeljebb hat hónap elteltével (visszafordíthatatlanul) anonimizálni vagy törölni kell.

19.

Az európai adatvédelmi biztos üdvözli a 15. cikk (1) bekezdését, amely kimondja, hogy az adatokat az átadáson alapuló („push”) módszer alkalmazásával kell továbbítani. A 15. cikk (5) bekezdése azonban előírja, hogy a légi fuvarozók kivételes körülmények között „biztosítsanak hozzáférést” a PNR-adatokhoz. A lehívásos („pull”) rendszer alkalmazásának teljes kizárása érdekében, továbbá a 29. cikk alapján létrehozott munkacsoport által a közelmúltban ismételten hangsúlyozott aggodalmakra figyelemmel (23) határozottan javasoljuk, hogy a megállapodás kifejezetten tiltsa meg az amerikai tisztviselők számára annak lehetőségét, hogy lehívásos („pull”) rendszeren keresztül külön hozzáférjenek az adatokhoz.

20.

A légi fuvarozók által a Belbiztonsági Minisztériumnak történő továbbítások számát és gyakoriságát meg kell határozni a megállapodásban. A jogbiztonság fokozása érdekében azokat a feltételeket is részletesebben meg kell határozni, amelyekkel további adattovábbítás engedélyezhető.

21.

Az európai adatvédelmi biztos üdvözli a megállapodás 5. cikkét, amely az adatok biztonságáról és sértetlenségéről szól, és különösen üdvözli azt a kötelezettséget, hogy adatvédelmi incidens esetén értesíteni kell az érintett egyéneket. Az adatsértésekkel kapcsolatos értesítés következő elemeit azonban pontosítani kell:

22.

Az európai adatvédelmi biztos támogatja, hogy a PNR-adatokhoz való valamennyi hozzáférést és ezen adatok feldolgozását kötelezően naplózzák és dokumentálják, mivel így ellenőrizhető, hogy a Belbiztonsági Minisztérium megfelelően használta-e fel a PNR-adatokat, és nem fordult-e elő, hogy a rendszert jogosulatlanul használták.

23.

Az európai adatvédelmi biztos üdvözli, hogy a 14. cikk (1) bekezdésében foglaltak szerint a megállapodás adatvédelmi biztosítékainak betartására vonatkozóan független felülvizsgálatot és felügyeletet gyakorolnak különböző minisztériumi adatvédelmi tisztviselők, így például a Belbiztonsági Minisztérium adatvédelmi főtisztviselője. Az érintettek jogai hatékony gyakorlásának biztosítása érdekében azonban az európai adatvédelmi biztosnak és a nemzeti adatvédelmi hatóságoknak is együtt kell működniük a Belbiztonsági Minisztériummal a szóban forgó jogok gyakorlására vonatkozó eljárások és részletes szabályok kidolgozása során (24). Az európai adatvédelmi biztos üdvözölné, ha a megállapodásban utalnának erre az együttműködésre.

24.

Az európai adatvédelmi biztos határozottan támogatja a jogorvoslathoz való jogot „állampolgárságtól, származási országtól vagy lakóhely szerinti országtól függetlenül”, ahogyan azt a 14. cikk (1) bekezdésének második albekezdése rögzíti. Sajnálatát fejezi ki azonban amiatt, hogy a 21. cikk kifejezetten kimondja, hogy a megállapodás „nem keletkeztet az Egyesült Államok joga értelmében semmilyen jogot vagy előnyt magánszemélyek (…) részére”. Még ha az Egyesült Államokban a megállapodás alapján biztosítják is a „bírósági felülvizsgálathoz” való jogot, előfordulhat, hogy ez a jog nem egyenértékű az Európai Unióban rendelkezésre álló hatékony bírósági jogorvoslathoz való joggal, különösen a 21. cikkben szereplő korlátozás fényében.

25.

A megállapodás 16. cikke tiltja az adatok továbbítását olyan belföldi hatóságok részére, amelyek nem alkalmaznak az e megállapodásban meghatározott biztosítékokkal „egyenértékű vagy hasonló szintű” biztosítékokat. Az európai adatvédelmi biztos üdvözli ezt a rendelkezést. Mindazonáltal meg kell adni azon hatóságok felsorolását, amelyek PNR-adatokat kaphatnak. A nemzetközi adattovábbítások tekintetében a megállapodás úgy rendelkezik, hogy ilyen adattovábbításra kizárólag akkor kerülhet sor, ha a címzett hatóság szándéka szerinti adatfelhasználás összhangban van a megállapodással, és a címzett hatóság – a szükséghelyzetektől eltekintve – a megállapodásban biztosítottakhoz „hasonló” adatvédelmi biztosítékokat alkalmaz.

26.

A megállapodásban használt „hasonló” és „egyenértékű” szavak használatával kapcsolatban az európai adatvédelmi biztos hangsúlyozni kívánja, hogy a Belbiztonsági Minisztérium által harmadik felek részére történő belföldi, illetve nemzetközi adattovábbításra csak akkor kerülhet sor, ha a címzett hatóság a megállapodásban biztosítottakhoz képest nem kevésbé szigorú biztosítékokat nyújt. Azt is pontosítani kell a megállapodásban, hogy a PNR-adatok továbbítását eseti alapon kell végezni, biztosítva, hogy csak a szükséges adatokat továbbítsák az érintett címzettekhez, és ez alól ne legyen kivétel. Ezenkívül az európai adatvédelmi biztos ajánlja, hogy a harmadik országokba történő adattovábbításhoz előzetes bírósági engedélyre legyen szükség.

27.

A 17. cikk (4) bekezdése kimondja, hogy amikor valamely uniós tagállam lakosának adatai továbbításra kerülnek egy harmadik országba, az érintett tagállam illetékes hatóságait értesíteni kell, amennyiben a Belbiztonsági Minisztérium tudomást szerez erről. Ezt a feltételt törölni kell, hiszen a Belbiztonsági Minisztériumnak minden esetben tudnia kell arról, ha harmadik országba történik adattovábbítás.

28.

Nem egyértelmű, hogy az Egyesült Államok milyen jogi formát választott e megállapodás megkötéséhez, és az sem, hogyan lesz a megállapodás jogilag kötelező erejű az Egyesült Államokban. Ezt pontosítani kell.

29.

A 20. cikk (2) bekezdése a lehetséges uniós PNR-rendszerrel való összhanggal foglalkozik. Az európai adatvédelmi biztos megállapítja, hogy a megállapodás módosításával kapcsolatos konzultációk során különösen azt kell megvizsgálni, „hogy az esetleges jövőbeli uniós PNR-rendszer az e megállapodásban meghatározottaknál kevésbé szigorú adatvédelmi normákat alkalmazna-e”. Az összhang biztosítása érdekében minden módosításnál azt (sőt, különösen azt) is figyelembe kell venni, hogy a jövőbeni PNR-rendszer erősebb biztosítékokat alkalmazna-e.

30.

A megállapodást az új adatvédelmi keretre, valamint a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő személyesadat-cserére irányuló, az EU és az Egyesült Államok közötti általános megállapodás lehetséges megkötésére tekintettel is felül kell vizsgálni. A megállapodást a 20. cikk (2) bekezdéséhez hasonló új rendelkezéssel is ki lehetne egészíteni, amely kimondja, hogy „amennyiben új uniós adatvédelmi jogi keret elfogadására vagy az EU és az Egyesült Államok között az adatcserére vonatkozóan új megállapodás megkötésére kerül sor, a felek konzultációt folytatnak annak megállapítására, hogy szükséges-e ezen megállapodás megfelelő kiigazítása. E konzultációk során különösen azt kell megvizsgálni, hogy az uniós adatvédelmi jogi keret esetleges jövőbeli módosítása vagy egy esetleges jövőbeli EU–USA adatvédelmi megállapodás az e megállapodásban meghatározottaknál szigorúbb adatvédelmi biztosítékokat alkalmazna-e”.

31.

A megállapodás felülvizsgálatával kapcsolatban (23. cikk) az európai adatvédelmi biztos úgy véli, hogy a nemzeti adatvédelmi hatóságokat kifejezetten fel kellene venni a felülvizsgálati csoport tagjai közé. A felülvizsgálatnak az intézkedések szükségességének és arányosságának vizsgálatára, valamint az érintettek jogainak hatékony gyakorlására is ki kell terjednie, és magában kell foglalnia annak ellenőrzését, hogy az érintettek kérelmeit hogyan dolgozzák fel a gyakorlatban, különösen amikor a közvetlen hozzáférést nem teszik lehetővé. A felülvizsgálat gyakoriságát meg kell határozni.

32.

Az európai adatvédelmi biztos üdvözli az adatbiztonságra és a felügyeletre vonatkozóan a megállapodásban előirányzott biztosítékokat, továbbá a 2007. évi megállapodáshoz képest történt előrelépéseket. Mindazonáltal számos aggály továbbra is fennáll, különösen az utas-nyilvántartási adatok globális megközelítésének koherenciájával, a célhoz kötöttséggel, a Belbiztonsági Minisztériumhoz továbbítandó adatkategóriákkal, a különleges adatok feldolgozásával, a megőrzési idővel, az átadáson alapuló („push”) módszer alóli kivételekkel, az érintettek jogaival és a harmadik fél részére történő adattovábbítással kapcsolatban.

33.

Ezek az észrevételek nem érintik a jogszerű PNR-rendszerrel szembeni szükségességi és arányossági követelményeket, valamint a PNR-adatoknak az EU-ból harmadik országokba történő együttes továbbításáról rendelkező megállapodást. Ahogyan az Európai Parlament május 5-i állásfoglalásában megerősítette, „a szükségesség és az arányosság elvei kulcsfontosságúak, és nélkülük nem lehet hatékony küzdelmet folytatni a terrorizmus ellen”.