7.12.2013   

HU

Az Európai Unió Hivatalos Lapja

C 358/19


Az európai adatvédelmi biztos véleményének összefoglalója a polgári légiközlekedési események jelentéséről és a 2003/42/EK irányelv, az 1321/2007/EK bizottsági rendelet, az 1330/2007/EK bizottsági rendelet és a 996/2010/EU rendelet 19. cikkének hatályon kívül helyezéséről szóló rendeletre irányuló bizottsági javaslatról

(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: http://www.edps.europa.eu)

2013/C 358/11

1.   Bevezetés

1.1.   Egyeztetés az európai adatvédelmi biztossal

1.

2012. december 18-án a Bizottság elfogadta a polgári légiközlekedési események jelentéséről és a 2003/42/EK irányelv, az 1321/2007/EK bizottsági rendelet, az 1330/2007/EK bizottsági rendelet és a 996/2010/EU rendelet 19. cikkének hatályon kívül helyezéséről szóló rendeletre irányuló javaslatot (a továbbiakban: a javaslat) (1). Ezt a javaslatot egyeztetés céljából 2013. január 8-án elküldték az európai adatvédelmi biztosnak.

2.

Az európai adatvédelmi biztos üdvözli, hogy a Bizottság egyeztetett vele, és hogy a javaslat preambuluma hivatkozik erre a véleményre. Az európai adatvédelmi biztosnak már a javaslat elfogadása előtt lehetősége nyílt arra, hogy a Bizottság számára előterjessze nem hivatalos észrevételeit.

1.2.   A javaslat célkitűzései és hatálya

3.

A javaslat által hatályon kívül helyezendő három jogi eszköz a következőképpen strukturálja az eseményjelentéseket: A 2003/42/EK irányelv (2) kötelező eseménybejelentő rendszer (a továbbiakban: MORS) létrehozását írja elő a tagállamok számára. E jogszabály alapján a légközlekedési szakembereknek jelentést kell készíteniük a szervezetük (3) által létrehozott rendszeren keresztül a napi operatív munkájuk során bekövetkező eseményekről (4). Ezen túlmenően a tagállamok kötelesek az eseményekkel kapcsolatos információkat gyűjteni, tárolni, azok védelméről gondoskodni, ezen információkat egymással megosztani. Ezt a jogszabályt két végrehajtási rendelet egészíti ki: Az 1321/2007/EK bizottsági rendelet (5), amely létrehozza a tagállamok által összegyűjtött összes polgári légiközlekedési eseményt csoportosító európai központi adattárat, valamint az 1330/2007/EK bizottsági rendelet (6), amely megállapítja az európai központi adattárban őrzött információk terjesztésére vonatkozó szabályokat.

4.

A javaslat a 2003/42/EK irányelvre épül a nemzeti és európai szinten meglévő, polgári légiközlekedési eseménybejelentő rendszerek fejlesztése céljából. Többek között a következő változtatásokat indítványozza:

annak biztosítása, hogy valamennyi jelentős eseményt bejelentsenek, és hogy a bejelentett és tárolt adatok teljesek és kiváló minőségűek legyenek,

a kötelező rendszer kiegészítése egy önkéntes jelentési rendszerrel,

annak kötelezővé tétele nemcsak a tagállamok, hanem a szervezetek számára is, hogy jelentsék az eseményeket és szervezzék meg e jelentéseknek az európai központi adattárba történő továbbítását,

a jelentéstétel ösztönzése az eseményeket bejelentő magánszemélyeknek a hierarchikus büntetéstől vagy vád alá helyezésétől való harmonizált védelme révén,

az európai központi adattárban őrzött információkhoz való megfelelő hozzáférés biztosítása.

1.3.   Az európai adatvédelmi biztos véleményének célja

5.

A javaslatból az következik, hogy az eseményeket a munkavállalók fogják jelenteni szervezeteiknek, amelyek aztán egy adatbázisban tárolják és jelentik azokat a kijelölt illetékes nemzeti hatóságoknak vagy az Európai Repülésbiztonsági Ügynökségnek (EASA). E hatóságok az EASA-val és a Bizottsággal együtt továbbítják a polgári légiközlekedési eseményekre vonatkozó információkat a Bizottság által kezelt európai központi adattárba. Ezenkívül a Bizottság fogja feldolgozni az európai központi adattárban tárolt információkhoz hozzáférést kérő érdekelt felekkel kapcsolatos adatokat.

6.

Az európai adatvédelmi biztos tudomásul veszi, hogy a javaslatnak nem az a célja, hogy szabályozza a személyes adatok feldolgozását. A tárolandó, jelentendő és továbbítandó információk azonban olyan természetes személyekkel lehetnek kapcsolatosak, akik vagy közvetlenül, vagy közvetve azonosíthatók, például bejelentőkkel, a bejelentett eseményben érintett harmadik felekkel és hozzáférést kérő érdekelt felekkel (7). Előfordulhat, hogy a bejelentett információk nemcsak műszaki problémákra vonatkoznak, hanem például erőszakos utasokra, a személyzet cselekvőképtelenné válására vagy egészséget érintő eseményekre is (8).

7.

Ez a vélemény ezért a javaslatnak a személyes adatok feldolgozásával összefüggő elemeit elemzi. Az európai adatvédelmi biztosnak egy korábbi, a javaslat által hatályon kívül helyezendő rendeletek egyikéről (9) szóló véleményére (10) épül.

4.   Következtetések

46.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat figyelmet fordít a személyes adatok védelmére, különösen az eseménybejelentő rendszer alapján feldolgozott személyes adatok jelentős részének „anonimizálására” vállalt kötelezettség révén. Emlékeztet azonban arra, hogy a feldolgozott adatok mégiscsak személyes adatok, ennélfogva üdvözli az uniós adatvédelmi jogszabályok alkalmazhatóságára való hivatkozásokat. A javaslat által előírtak legjobb esetben a részleges anonimizációval egyenértékűek.

47.

Az európai adatvédelmi biztos ajánlja az „anonimizálás” körének pontosítását. Különösen a következő javításokat javasolja a szövegben:

a preambulumban annak pontosítása, hogy a javaslat értelmében az anonimizálás viszonylagos és nem teljes körű anonimizációnak felel meg. Ezenkívül a preambulumnak – a fenti ajánlásokkal összhangban – azt is ki kell fejtenie, hogy az anonimizálásra és a teljes körű anonimizációra vonatkozó intézkedések más-más kontextusban alkalmazandók,

a 16. cikkben: annak meghatározása, hogy független szolgáltatók rendelkezésére álló adatokat is minél hamarabb anonimizálni vagy törölni kell, kivéve, ha az adattárolás szükségessége indokolt, pl. a szervezetek egyéb jogi kötelezettségeinek teljesítése céljából,

az anonimizálás körének pontosítása érdekében az európai adatvédelmi biztos ajánlja, hogy a 16. cikk (1) bekezdésében és a 16. cikk (2) bekezdésében a „personal data” helyébe a „personal details” kifejezés lépjen, és e bekezdések – a 2. cikk (1) bekezdésének megfelelően – egészüljenek ki a műszaki adatok révén történő azonosítás lehetőségére való hivatkozással,

az 5. cikk (6) bekezdése lehetővé teszi a tagállamok és szervezetek számára, hogy további jelentési rendszereket hozzanak létre. Elő kell írni, hogy ezen információkat is anonimizálni kell. Az európai adatvédelmi biztos ezért ajánlja annak pontosítását a 16. cikk (2) bekezdésében, hogy az 5. cikk (6) bekezdésének megfelelően létrehozott, a biztonsággal összefüggő információk gyűjtésére és feldolgozására alkalmas rendszerekben őrzött személyes adatokat is anonimizálni kell.

a 13. cikk (10) bekezdésében: annak előírása, hogy nyilvánosságra hozataluk előtt az információkat anonimizálni kell (11),

a 11. cikk (4) bekezdésében: annak meghatározása, hogy a III. mellékletben felsorolt érdekelt felek számára rendelkezésre bocsátott és saját berendezésükhöz, műveleteikhez vagy tevékenységi területükhöz nem kapcsolódó információkat nemcsak összesített vagy nem beazonosítható formában kell kezelni – amint azt a 11. cikk (4) bekezdése megköveteli –, hanem teljes mértékben anonimizálni kell.

48.

Az európai adatvédelmi biztos ajánlja, hogy a javaslat határozza meg, ki lesz az egyes adatbázisok adatkezelője. Azt is ajánlja, hogy az I. és II. mellékletben, valamint az 5. cikk (6) bekezdésében határozzák meg az összes feldolgozandó adatkategóriát, a 7. cikk (1) bekezdését és a 11. cikk (1) bekezdését pedig ennek megfelelően pontosítsák. Amennyiben nem lehetséges meghatározni valamennyi, a 7. cikk (1) bekezdése, az 5. cikk (3) bekezdése, az 5. cikk (6) bekezdése és a 11. cikk (1) bekezdése szerint feldolgozandó eseményt és adatmezőt, e cikkeknek legalább említést kell tenniük arról, hogy a javaslat által nem megkövetelt további információk nem tartalmazhatnak a 95/46/EK irányelv 8. cikkének és a 45/2001/EK rendelet 10. cikkének meghatározása szerinti különleges adatkategóriákat („különleges adatok”).

49.

Az európai adatvédelmi biztos azt is ajánlja, hogy határozzák meg az adatok adatbázisban való tárolásának időtartamát, az érintettek jogait és a végrehajtandó biztonsági intézkedéseket.

50.

Harmadik ország szervezeteinek vagy nemzetközi szervezeteknek történő átadás esetében e szervezeteknek vállalniuk kell, hogy tiszteletben tartják a kötelező erejű jogi eszközben előírandó megfelelő biztosítékokat. E biztosítékok a Bizottság által elfogadott, a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételeken alapulhatnak, és ezekkel kiegészíthető a javaslat melléklete.

51.

Ami az európai központi adattárban található információkhoz való hozzáférést kérvényező érdekelt felek adatainak feldolgozását illeti, az európai adatvédelmi biztos ajánlja, hogy a javaslatban határozzák meg a harmadik felekkel kapcsolatos adatok feldolgozására alkalmazandó adatvédelmi intézkedéseket (pl. azt, hogy a hozzáférés megadását vagy megtagadását követően mennyi ideig tárolják az adatokat, és ki fér hozzá ezen adatokhoz). Ezenkívül a IV. mellékletben szereplő adatkérő lapnak az adatokhoz való hozzáférésre vonatkozó nyilatkozaton (12) kívül adatvédelmi nyilatkozatot kell tartalmaznia.

52.

Végezetül a preambulumban indokolni kell, ha a 95/46/EK irányelv 8. cikkének (2)–(4) bekezdésében és a 45/2001/EK rendelet 10. cikkének (2)–(4) bekezdésében foglalt okok bármelyike miatt fel kell dolgozni a különleges adatokat. Az európai adatvédelmi biztos azt is ajánlja, hogy a különleges adatkategóriák vonatkozásában további biztosítékokat fogadjanak el, például szigorúbb biztonsági intézkedéseket, tiltsák meg a vonatkozó adatkategóriáknak az uniós adatvédelmi jog hatálya alá nem tartozó harmadik felek számára történő közreadását, és korlátozzák ezen adatkategóriák más érdekelt felek számára történő közreadását. Ezen túlmenően az ilyen adatcsoportok feldolgozásakor az uniós nemzeti adatvédelmi hatóságok és az európai adatvédelmi biztos előzetes ellenőrzést végezhetnek.

Kelt Brüsszelben, 2013. április 10-én.

Giovanni BUTTARELLI

az európai adatvédelmi biztos helyettese


(1)  COM(2012) 776 final.

(2)  Az Európai Parlament és a Tanács 2003. június 13-i 2003/42/EK irányelve a polgári légi közlekedésben előforduló események jelentéséről (HL L 167., 2003.7.4., 23. o.).

(3)  A javaslatban szereplő meghatározás szerint a „szervezet”: „minden olyan szervezet, amely légi közlekedési termékeket és/vagy szolgáltatásokat biztosít, és magában foglalja különösen a légi járművek üzemben tartóit, a jóváhagyott karbantartó szervezeteket, a légi járművek tervezéséért és gyártásáért felelős szervezeteket, a léginavigációs szolgáltatókat és a tanúsított légikikötőket” (lásd a javaslat 2. cikkének 9. pontját).

(4)  Esemény: minden jelentős, a légi biztonságot érintő esemény, többek között repülőesemények, balesetek és súlyos repülőesemények (lásd a javaslat 2. cikkének 8. pontját).

(5)  A Bizottság 2007. november 12-i 1321/2007/EK rendelete a polgári légiközlekedési eseményekre vonatkozó, a 2003/42/EK európai parlamenti és tanácsi irányelv szerint cserélt információk központi adattárba történő rendezésével kapcsolatos végrehajtási szabályok meghatározásáról (HL L 294., 2007.11.13., 3. o.).

(6)  A Bizottság 2007. szeptember 24-i 1330/2007/EK rendelete a polgári légiközlekedési eseményekre vonatkozó információnak az érdekelt felekkel történő, a 2003/42/EK irányelv 7. cikkének (2) bekezdése szerinti terjesztésére vonatkozó végrehajtási szabályok meghatározásáról (HL L 295., 2007.11.14., 7. o.).

(7)  A személyes adatokkal kapcsolatban lásd főleg a 3.1. szakaszt.

(8)  Lásd a javaslat I. mellékletét: „A kötelező eseménybejelentő rendszeren keresztül bejelentendő jelentésköteles repülőesemények jegyzéke”.

(9)  Az Európai Parlament és a Tanács 2010. október 20-i 996/2010/EU rendelete a polgári légiközlekedési balesetek és repülőesemények vizsgálatáról és megelőzéséről és a 94/56/EK irányelv hatályon kívül helyezéséről (EGT-vonatkozású szöveg) (HL L 295., 2010.11.12., 35. o.).

(10)  Lásd az európai adatvédelmi biztos véleményét a polgári légiközlekedési balesetek és repülőesemények vizsgálatáról és megelőzéséről szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról (HL C 132., 2010.5.21., 1. o.).

(11)  Azaz biztosítani kell, hogy a magánszemélyeket ne lehessen azonosítani mindazon eszközök figyelembevételével, amelyeket az adatkezelő vagy más személy valószínűleg ésszerűen felhasznál.

(12)  A IV. melléklet 7. pontja.