PHILIPPE LÉGER
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2005. november 22.1(1)
C‑317/04. sz. ügy
Európai Parlament
kontra
az Európai Közösségek Tanácsa
„Az egyének védelme a személyes adatok feldolgozása vonatkozásában – Megsemmisítés iránti kereset – 2004/496/EK tanácsi határozat – Az Európai Közösségek és az Amerikai Egyesült Államok közötti, a PNR (Passenger Name Records) adatok feldolgozásáról és továbbításáról szóló megállapodás”
C‑318/04. sz. ügy
Európai Parlament
kontra
az Európai Közösségek Bizottsága
„Megsemmisítés iránti kereset – Az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló 2004/535/EK bizottsági határozat – 95/46/EK irányelv”
Tartalomjegyzék
I – A jogvita előzményei
II – A két ügy jogi háttere
A – Az EU‑Szerződés
B – Az Európai Közösséget létrehozó szerződés
C – A személyes adatok védelmére vonatkozó európai jog
III – A megtámadott határozatok
A – A megfelelőségi határozat
B – A tanácsi határozat
IV – A Parlament által a két ügyben előadott jogalapok
V – A megfelelőségi határozat megsemmisítése iránti keresetről (C‑318/04. sz. ügy)
A – A Bizottság által a megfelelőségi határozat elfogadása során elkövetett hatáskör túllépésére vonatkozó jogalapról
1. A felek érvei
2. Értékelés
B – Az alapvető jogok megsértésére és az arányosság elvének megsértésére alapított jogalapok
VI – A tanácsi határozat megsemmisítése iránti keresetről (C‑317/04. sz. ügy)
A – Az EK 95. cikknek a tanácsi határozat jogi alapjául való hibás választására alapított első jogalapról
1. A felek érvei
2. Értékelés
B – Az EK 300. cikk (3) bekezdése második albekezdésének a 95/46 irányelv módosítása miatti megsértésére alapított jogalapról
1. A felek érvei
2. Értékelés
C – A személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapokról
1. A felek érvei
2. Értékelés
a) A magánéletbe való beavatkozás fennállásáról
b) A magánéletbe való beavatkozás indokoltsága
i) A beavatkozás törvényben meghatározott?
ii) A beavatkozás törvényes célt követ?
iii) Szükséges‑e demokratikus társadalomban a beavatkozás e cél eléréséhez?
D – A tanácsi határozat nem megfelelő indokolására alapított jogalapról
E – Az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértésére alapított jogalapról
VII – A költségekről
VIII – Végkövetkeztetések
1. Az Európai Parlament két megsemmisítés iránti keresettel fordult a Bírósághoz az EK 230. cikk alapján. A C‑317/04. sz., Parlament kontra Tanács ügyben a kereset az Európai Unió és az Egyesült Államok közötti, a PNR-adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i tanácsi határozat(2) megsemmisítésére irányul. A 318/04. sz., Parlament kontra Bizottság ügyben a Parlament az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i bizottsági határozat(3) megsemmisítését kéri.
2. E két ügyben a Bíróságnak a légi utasok személyes adatainak védelmére vonatkozó kérdésről kell határoznia, mivel harmadik országba, jelen esetben az Egyesült Államokba(4) történő továbbításuk és feldolgozásuk igazolása érdekében közbiztonsági és a büntetőjog területére tartozó követelményekre hivatkoznak, mint például a terrorizmus és egyéb súlyos bűncselekmények megelőzése és az ellenük való küzdelem.
3. E két ügy a következőkben bemutatandó események sorozatából ered. Ezt követően részletezni fogom a jogi hátterüket.
I – A jogvita előzményei
4. Az Egyesült Államok a 2001. szeptember 11‑i terrortámadások másnapján olyan jogszabályokat fogadott el, amelyek az Egyesült Államok területére, területéről vagy területén keresztül járatot indító légiutas-szállítókat arra kötelezik, hogy az Egyesült Államok vámhatóságainak elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a „Passanger Name Records”‑nak nevezett adatokhoz (a továbbiakban: PNR)(5). Az Európai Közösségek Bizottsága, elismerve ugyan a szóban forgó biztonsági érdekek legitimitását, már 2002 júniusában tájékoztatta az Egyesült Államok hatóságait, hogy e rendelkezések ellentétesek lehetnek a közösségi és tagállami személyes adatok védelmére vonatkozó jogszabályokkal, valamint a számítógépes helyfoglalási rendszerekről szóló rendelet(6) bizonyos rendelkezéseivel. Az Egyesült Államok hatóságai elhalasztották az új rendelkezések hatálybalépését, de elutasították, hogy letegyenek a PNR-adatokhoz való elektronikus hozzáférésről szóló jogszabályoknak 2003. március 5. után meg nem felelő légitársaságokkal szembeni szankciók alkalmazásáról. Ezen időponttól kezdve számos, a tagállamokban letelepedett nagy légitársaság hozzáférést engedett e hatóságoknak a PNR-adataihoz.
5. A Bizottság tárgyalásokat kezdett az amerikai hatóságokkal, amely alkalmat adott a CBP részéről vállalt kötelezettségeket tartalmazó dokumentum kidolgozására, egy olyan bizottsági határozat elfogadása érdekében, amelynek tárgya az Egyesült Államok által nyújtott személyes adatok védelmi szintje megfelelőségének megállapítása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46 európai parlamenti és tanácsi irányelv(7) 25. cikkének (6) bekezdése alapján.
6. 2003. június 13‑án a „29. cikk” adatvédelmi munkacsoport(8) véleményt adott ki, amelyben kétségeit fejezte ki a tervezett adatfeldolgozás vonatkozásában e kötelezettségvállalásokkal biztosított adatvédelmi szintet illetően.(9) E kétségeit a 2004. január 29‑i véleményében megismételte(10).
7. A Bizottság 2004. március 1‑jén a Parlament elé terjesztette a megfelelőségi határozat tervezetét, mellékelve hozzá a CBP kötelezettségvállalásainak tervezetét.
8. A Bizottság 2004. március 17‑én az EK 300. cikk (3) bekezdésének első albekezdése szerinti konzultáció végett megküldte a Parlamentnek a Közösség és az Egyesült Államok között kötendő megállapodásról szóló tanácsi határozat iránti javaslatot. A Tanács 2004. március 25‑i levelében a Parlament eljárási szabályzatának 112. cikke alapján (jelenleg 134. cikk) sürgősségi eljárásra utalva azt kérte, hogy a Parlament legkésőbb 2004. április 22‑ig adjon véleményt e javaslatról. E levélben a Tanács hangsúlyozza, hogy „a javasolt intézkedések indoka a terrorizmus elleni küzdelem, amely az Európai Unió alapvető prioritása. Jelenleg a légi fuvarozók és az utasok bizonytalanságban vannak, amit sürgősen fel kell oldani. Továbbá lényeges az érintettek pénzügyi érdekeinek védelme is”.
9. A Parlament 2004. március 31‑én a Bizottságra ruházott végrehajtási hatáskörök gyakorlására vonatkozó eljárások megállapításáról szóló, 1999. június 28‑i tanácsi határozat(11) 8. cikke alapján állásfoglalást fogadott el, amelyben e megközelítéssel szembeni jogi fenntartásait összegezte. E határozatban a Parlament közelebbről akként vélekedett, hogy a megfelelőségi határozat tervezete meghaladja a 95/46 irányelv 25. cikkében a Bizottságra ruházott hatáskört. Az alapvető jogok tiszteletben tartására alkalmas nemzetközi szerződés megkötését javasolta, és új határozattervezet előterjesztését kérte a Bizottságtól. Emellett fenntartotta a Bírósághoz fordulás jogát a tervezett nemzetközi megállapodás jogszerűségének és különösen a magánélethez való joggal való összeegyeztethetőségének ellenőrzése érdekében.
10. A Parlament 2004. április 21‑én elnöke kérelmére elfogadta a jogi és belső piaci bizottság ajánlását arra vonatkozóan, hogy az EK 300. cikk (6) bekezdése alapján kérjék ki a Bíróság véleményét a tervezett megállapodásnak a Szerződés rendelkezéseivel való összeegyeztethetőségéről; ezen eljárást aznap meg is indították. A Parlament ugyanaznap akként is határozott, hogy bizottsági tárgyalásra tűzi ki a tanácsi határozat javaslatáról szóló jelentést, egyben hallgatólagosan elutasítva ezzel a Tanács e javaslat sürgős tárgyalása iránti 2004. március 25‑i kérelmét.
11. A Tanács április 28‑án az EK 300. cikk (3) bekezdésének első albekezdése alapján levelet intézett a Parlamenthez, amelyben azt kérte, hogy a Parlament 2004. május 5‑ig adjon véleményt a megállapodás megkötéséről. A kérelem sürgősségét a 2004. március 25‑i levelében előadottakkal indokolta.(12)
12. A Bíróság hivatalvezetője 2004. április 30‑án tájékoztatta a Parlamentet, hogy a Bíróság 2004. június 4‑ig adott határidőt a tagállamok, a Tanács és a Bizottság számára észrevételeik benyújtására a vélemény iránti kérelemmel kapcsolatos 1/04. sz. eljárásban.
13. A Parlament 2004. május 4‑én elutasította a Tanács április 28‑án előterjesztett sürgős tárgyalás iránti kérelmét.(13) Harmadnap a Parlament elnöke azt kérte a Tanácstól és a Bizottságtól, hogy ne folytassák az eljárást, amíg a Bíróság meg nem hozza a 2004. április 21‑én kért véleményt.
14. A Bizottság a 95/46 irányelv 25. cikke (6) bekezdésének megfelelően 2004. május 14‑én elfogadta az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló határozatot.
15. A Tanács 2004. május 17‑én elfogadta az Európai Unió és az Egyesült Államok közötti, a PNR-adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló határozatot.
16. A Parlament 2004. július 9‑i levelében tájékoztatta a Bíróságot, hogy az 1/04. számon nyilvántartásba vett vélemény iránti kérelmét visszavonja.(14) Ezt követően úgy döntött, hogy jogi útra tereli a közötte és a Tanács és a Bizottság közötti vitát.
II – A két ügy jogi háttere
A – Az EU‑Szerződés
17. Az EU 6. cikk értelmében:
„(1) Az Unió a szabadság, a demokrácia, az emberi jogok és az alapvető szabadságok tiszteletben tartása és a jogállamiság elvein alapul, amely alapelvek közösek a tagállamokban.
(2) Az Unió a közösségi jog általános elveiként tartja tiszteletben az alapvető jogokat, ahogyan azokat az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény biztosítja, továbbá ahogyan azok a tagállamok közös alkotmányos hagyományaiból erednek.
[…]”
B – Az Európai Közösséget létrehozó szerződés
18. Az EK 95. cikk (1) bekezdése a következőképp rendelkezik:
„Ha e szerződés másként nem rendelkezik, a 14. cikkben meghatározott célkitűzések megvalósítására – a 94. cikktől eltérve – a következő rendelkezéseket kell alkalmazni. A Tanács a 251. cikkben megállapított eljárásnak megfelelően és a Gazdasági és Szociális Bizottsággal folytatott konzultációt követően elfogadja azokat a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseinek közelítésére vonatkozó intézkedéseket, amelyek tárgya a belső piac megteremtése és működése.”
19. A nemzetközi megállapodások Közösség általi megkötésére irányuló eljárásáról szólva az EK 300. cikk (2) bekezdésének első albekezdése az első mondatban előírja, hogy „az e téren a Bizottságra ruházott hatáskörre is figyelemmel a megállapodások aláírásáról [...] és megkötéséről a Bizottság javaslata alapján minősített többséggel a Tanács határoz.”
20. Az EK 300. cikk (3) bekezdése így szól:
„A 133. cikk (3) bekezdésében említett megállapodások kivételével a megállapodásokat a Tanács az Európai Parlamenttel folytatott konzultációt követően köti meg, beleértve azokat az eseteket is, amikor a megállapodás olyan területre vonatkozik, ahol a belső szabályok elfogadásához a 251. cikkben vagy a 252. cikkben említett eljárásra van szükség. Az Európai Parlament véleményét a Tanács által az ügy sürgősségétől függően megállapított határidőn belül közli. Ha ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat.
Az előző albekezdéstől eltérve, a 310. cikkben említett megállapodásokat, az együttműködési eljárások bevezetése útján külön intézményi keretet létrehozó egyéb megállapodásokat, a Közösségre nézve jelentős költségvetési kihatással járó megállapodásokat, valamint a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igénylő megállapodásokat az Európai Parlament hozzájárulásának elnyerését követően lehet megkötni.
A Tanács és az Európai Parlament sürgős esetben megállapodhat a hozzájárulás megadásának határidejében.”
C – A személyes adatok védelmére vonatkozó európai jog
21. Az emberi jogok és az alapvető szabadságok védelméről szóló egyezmény (a továbbiakban: EEJE) 8. cikke kimondja:
„1. Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák.
2. E jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.”
22. Az európai adatvédelmi jog először az Európa Tanács keretében rajzolódott ki. Az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezmény az Európa Tanács tagállamai számára Strasbourgban, 1981. január 28‑án nyílt meg aláírásra.(15) Az egyezmény célja, hogy minden egyes Fél területén minden egyén számára, tekintet nélkül nemzetiségére vagy lakóhelyére, biztosítva legyen, hogy jogait és alapvető szabadságjogait, különösen a magánélethez való jogát tiszteletben tartsák a személyes adatainak gépi feldolgozása során.
23. Ami az Európai Uniót illeti, az Európai Unió Alapjogi Chartájának(16) a magán- és családi életet védő 7. cikkén kívül a 8. cikk kifejezetten a személyes adatok védelmére vonatkozik. A következőket mondja ki:
„(1) Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(2) Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.
(3) E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie.”
24. Az elsődleges közösségi jogról szólva az EK 286. cikk az (1) bekezdésében előírja, hogy „1999. január 1‑jétől a személyes adatok kezelése tekintetében a természetes személyek védelmére és az ilyen adatok szabad áramlására vonatkozó közösségi jogi aktusokat alkalmazni kell az e szerződés által vagy az e szerződés alapján felállított intézményekre és szervekre”.(17)
25. A másodlagos közösségi jogban a terület alapvető normája a 95/46 irányelv.(18) Az Európa Tanács szövegeivel való kapcsolata az említett irányelvnek kifejezetten a tizedik és tizenegyedik preambulumbekezdéséből ered. A tizedik preambulumbekezdés ugyanis kimondja, hogy „a személyes adatok feldolgozására vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; [...] ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül”. Továbbá a 95/46 irányelv tizenegyedik preambulumbekezdése utal arra, hogy „az egyének jogai és szabadságai védelmének elvei, különösen a magánélet tiszteletben tartásához való jog védelmének elve, amelyeket ez az irányelv tartalmaz, tartalmat adnak és kiegészítik azokat, amelyeket az Európa Tanácsnak [...] az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezménye tartalmaz”.
26. Az EK‑Szerződés 100a. cikke (jelenleg EK 95. cikk) alapján elfogadott 95/46 irányelv eredete a harmadik preambulumbekezdésben kifejezett gondolatból ered, amely szerint „[a] belső piac kialakítása és működése [...] nem csak azt kívánja meg, hogy a személyes adatok szabadon áramolhassanak egyik tagállamból a másikba, hanem azt is, hogy az egyének alapvető jogai biztosítva legyenek”. Pontosabban a közösségi jogalkotó abból a megállapításból indult ki, amely szerint „az egyes tagállamokban végzett személyesadat-feldolgozás terén az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmének szintjei közötti eltérések akadályozhatják az ilyen adatok egyik tagállamból a másikba történő továbbítását”(19), ebből eredően ezek az eltérések akadályt jelentenek számos közösségi szintű gazdasági tevékenység elvégzésében, és torzítják a versenyt. A közösségi jogalkotó úgy vélte, hogy „a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása terén azonos kell legyen minden tagállamban”(20). E megközelítésnek azzal az eredménnyel kell járnia, hogy „a nemzeti jogszabályok közelítéséből következő azonos szintű védelemre tekintettel a tagállamok már nem akadályozhatják meg a személyes adatok szabad áramlását egymás között az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmére hivatkozva”(21).
27. A 95/46 irányelvnek „Az irányelv célja” című 1. cikke e megközelítést az alábbiak szerint valósítja meg:
„(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.
(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”
28. Ezen irányelv 2. cikke meghatározza a „személyes adat”, a „személyes adatok feldolgozása” és az „adatkezelő” fogalmát.
29. Így a 95/46 irányelv 2. cikkének a) pontja szerint személyes adat: az azonosított vagy azonosítható természetes személyre (érintettre) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén.
30. Ezen irányelv 2. cikkének b) pontja szerint személyes adatok feldolgozása (feldolgozás): a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés.
31. A 96/45 irányelv 2. cikkének d) pontja szerint adatkezelő: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki.
32. A 96/45 irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
33. Ezen irányelv 3. cikkének (2) bekezdése lehetővé teszi az irányelv tárgyi hatályának korlátozását, mivel ekként rendelkezik:
„Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címében megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,
[…]”
34. A 95/46 irányelv II. fejezete a „[s]zemélyes adatok feldolgozásának jogszerűségére vonatkozó általános szabályok”‑at tartalmazza. E fejezeten belül az I. szakasz az „[a]datok minőségére vonatkozó elvek”-ről szól. A 6. cikk felsorolja a tisztességesség, a törvényesség, a célhoz kötöttség, az arányosság és a pontosság elveit. A következőképpen rendelkezik:
„(1) A tagállamok rendelkeznek arról, hogy a személyes adatok:
a) feldolgozását tisztességesen és törvényesen kell végezni;
b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;
c) gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;
d) pontosak, és ha szükséges, időszerűek kell legyenek […];
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit […].
(2) Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek.”
35. Az irányelv II. fejezetének II. szakasza „[a]z adatfeldolgozás jogszerűvé tételére vonatkozó kritériumok”‑at tartalmazza. Az e szakaszt alkotó 7. cikk a következőket mondja ki:
„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy
b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy
c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges
[…]”
36. A rendszerint különleges adatoknak is minősülő személyes adatokról szólva a 8. cikk (1) bekezdése kimondja ezek feldolgozásának tilalmát. Előírja ugyanis, hogy „[a] tagállamok megtilthatják [helyesen: megtiltják] az olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak”. E tilalom alól azonban több kivétel van, amelyeknek tartalmát és rendszerét ugyanezen cikk következő bekezdései fejtik ki.
37. A 95/46 irányelv „Mentességek és korlátozások” címet viselő 13. cikkének (1) bekezdése értelmében:
„A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket;
f) a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;
g) az érintett, vagy mások jogainak és szabadságainak védelme.”
38. A közösségi jogalkotónak célja volt az is, hogy az így létrehozott rendszer ne gyengüljön, amikor a személyes adat elhagyja a Közösség területét. Nyilvánvalóvá vált, hogy a nemzetközi méretű információáramlás(22) elégtelenné, sőt feleslegessé tenné az olyan szabályozást, amely csupán a Közösség területén hatályos. A közösségi jogalkotó ezért – a harmadik országok felé irányuló adattovábbítás lehetővé tétele érdekében – olyan rendszer mellett döntött, amely megköveteli, hogy e harmadik ország „megfelelő védelmi szintet” biztosítson ezen adatoknak.
39. A közösségi jogalkotó ezért azt a szabályt állítja fel, amely szerint „a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani”(23).
40. Ennek megfelelően a 95/46 irányelv 25. cikke megállapítja a harmadik országokba irányuló adatátvitel elveit:
„(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani.
(2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.
(3) A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.
(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.
(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.
(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján.
A tagállamok megtesznek minden szükséges intézkedést a Bizottság határozatának teljesítésére.”
41. Végül utalni kell arra, hogy az EU‑Szerződésnek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre vonatkozó VI. címe keretében a személyes adatok védelmét különböző konkrét eszközök szabályozzák. Nevezetesen az európai szintű közös információs rendszereket létrehozó eszközökről van szó, mint például a Schengeni Megállapodás végrehajtásáról szóló Egyezmény(24), amely különös rendelkezéseket tartalmaz a Schengeni Információs Rendszer (SIS) keretén belüli adatvédelemre(25); az Európai Unióról szóló szerződés K.3. cikke alapján az Európai Rendőrségi Hivatal létrehozásáról szóló egyezmény(26); az Eurojust létrehozásáról szóló tanácsi határozat(27), az Eurojust személyes adatok feldolgozására és védelmére vonatkozó eljárási szabályzatával kapcsolatos rendelkezések(28), az Európai Unióról szóló szerződés K.3. cikke alapján az informatika vámügyi alkalmazásáról szóló egyezmény(29), amely a vámügyi információs rendszerben alkalmazandó, a személyes adatok védelmére vonatkozó rendelkezéseket tartalmaz, és az Európai Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezmény(30).
42. A Bizottság 2005. október 4‑én terjesztette elő a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló kerethatározat javaslatát(31).
III – A megtámadott határozatok
43. A két határozatot elfogadásuk időrendi sorrendjében vizsgálom.
A – A megfelelőségi határozat
44. A megfelelőségi határozatot a 95/46 irányelv 25. cikkének (6) bekezdése alapján fogadta el a Bizottság, amely – emlékeztetek rá – feljogosítja annak megállapítására, hogy harmadik ország megfelelő védelmi szintet biztosít a személyes adatoknak.(32) Amint e határozat második preambulumbekezdése kimondja, „[e]bben az esetben a személyes adatokat a tagállamoktól továbbítani lehet anélkül, hogy további garanciákra lenne szükség”.
45. E határozat tizenegyedik preambulumbekezdésében a Bizottság utal arra, hogy „[a] CBP, a részére továbbított, a légi utasok PNR-adatállományában szereplő személyes adatok feldolgozását a Department of Homeland Security, Bureau of Customs and Border Protection (CBP) 2004. május 11‑i Kötelezettségvállalásaiban és az Egyesült Államok nemzeti jogszabályaiban megállapított feltételek mellett végzi a Kötelezettségvállalásokban meghatározottaknak megfelelően”. A Bizottság ugyanezen határozat tizennegyedik preambulumbekezdésében megállapítja, hogy „[a]z Egyesült Államok jogszabályain és a Kötelezettségvállalásokon alapuló követelményrendszer, amely alapján a CBP az utasok PNR-adatait kezeli, magában foglalja a természetes személyek adatainak megfelelő szintű védelméhez szükséges alapelveket”.
46. Következésképpen a megfelelőségi határozat 1. cikke kimondja:
„A 95/46 irányelv 25. cikkének (2) bekezdésére tekintettel, [a CBP] a mellékletben megállapított Kötelezettségvállalásokkal összhangban úgy tekintendő, mint amely a Közösség részéről történő, az Egyesült Államokból érkező, illetve az oda tartó légi járatokra vonatkozó PNR-adatok továbbításához szükséges megfelelő védelmi szintet biztosítja.”
47. Továbbá a megfelelőségi határozat 3. cikke előírja, hogy a CBP felé történő adatáramlás a tagállamok hatáskörrel rendelkező hatóságainak kezdeményezésére felfüggeszthető a következő feltételek mellett:
„(1) Azon hatáskörök sérelme nélkül, amelyek alapján a tagállamok illetékes hatóságai felléphetnek a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések szerint elfogadott nemzeti rendelkezéseknek betartása érdekében, a tagállamok illetékes hatóságai gyakorolhatják a CBP felé történő adatáramlás felfüggesztésre vonatkozó már fennálló hatáskörüket abból a célból, hogy megvédjék a magánszemélyeket személyes adataik feldolgozására való tekintettel a következő esetekben:
a) amennyiben az Egyesült Államok egy illetékes hatósága megállapítja, hogy a CBP megsérti az alkalmazandó adatvédelmi követelményrendszert; vagy
b) amennyiben alaposan valószínűsíthető, hogy a mellékletben megállapított védelmi követelményrendszert megsértették, elfogadható alapja van azon feltételezésnek, hogy a CBP nem teszi meg vagy nem fogja megtenni a szükséges és időszerű lépéseket annak érdekében, hogy elintézze a szóban forgó ügyet, az adattovábbítás folytatása az érintett személy számára súlyos károk közvetlen kockázatával jár és az illetékes tagállami szervek megtették az ésszerű erőfeszítéseket az adott viszonyok között annak érdekében, hogy értesítsék a CBP‑t, és hogy lehetőséget nyújtsanak neki a válaszadásra.
(2) A felfüggesztésnek véget kell vetni, amint a biztonsági követelmények biztosítva vannak, és az érintett tagállamok illetékes hivatalát erről értesítették.”
48. A tagállamok kötelesek értesíteni a Bizottságot a megfelelőségi határozat 3. cikkének megfelelően hozott intézkedésekről. A tagállamok és a Bizottság e határozat 4. cikkének (2) bekezdése alapján egyébiránt kölcsönösen értesítik egymást minden, az adatvédelmi követelményrendszerben beálló változásról és azon esetekről, amelyekben e követelményeket nem tartják be. E kölcsönös tájékoztatást követően a megfelelőségi határozat 4. cikkének (3) bekezdése előírja, hogy „[a]mennyiben a 3. cikk, illetve ugyanezen cikk (1) és (2) bekezdése értelmében begyűjtött információ bizonyítékul szolgál arra, hogy a természetes személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, vagy hogy a mellékletben megállapított, a CBP által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek nem végzik eredményesen feladatukat, a CBP‑t értesíteni kell, és amennyiben szükséges, a 95/46 irányelv 31. cikke (2) bekezdésében említett eljárást kell alkalmazni e határozat hatályon kívül helyezésére vagy felfüggesztésére”.
49. A megfelelőségi határozat 5. cikke kimondja, hogy ez utóbbi alkalmazását felügyelni kell, és előírja, hogy „a 95/46 irányelv 31. cikke értelmében felállított bizottságnak jelenteni kell bármely vonatkozó ténymegállapítást”.
50. Továbbá a megfelelőségi határozat 7. cikke kimondja, hogy „e határozat a kihirdetését követő három év és hat hónap leteltével jár le, amennyiben a 95/46 irányelv 31. cikke (2) bekezdésében megállapított eljárással összhangban nem hosszabbítják meg azt”.
51. A fenti határozat melléklete tartalmazza a CBP kötelezettségvállalási nyilatkozatát, amely a bevezetőjében kimondja, hogy annak célja a CBP részére továbbított személyes adatok megfelelő védelmének biztosítására irányuló bizottsági „terv támogatása”. Megfogalmazása szerint a 48 bekezdésből álló kötelezettségvállalások „nem hoznak létre, vagy ruháznak át semmilyen jogot, vagy kedvezményt semmilyen személyre vagy szerződő félre függetlenül attól, hogy az magánjogi vagy közjogi jellegű”(33).
52. A jogvita megoldása szempontjából lényeges kötelezettségvállalások tartalmára az érvelésem során utalok.
53. Végül a megfelelőségi határozat „A” melléklete tartalmazza a CBP által a légi fuvarozóktól bekért 34 „PNR-adatelemet”(34).
54. A Bizottságnak e határozatát a Tanácsnak az Európai Közösség és az Egyesült Államok közötti nemzetközi megállapodás megkötésére irányuló határozata egészíti ki.
B – A tanácsi határozat
55. A tanácsi határozatot az EK 95. cikk alapján, az EK 300. cikk (2) bekezdése első albekezdésének első mondatával összefüggésben fogadták el.
56. Az első preambulumbekezdés kimondja, hogy „[a] Tanács 2004. február 23‑án felhatalmazta a Bizottságot arra, hogy a Közösség nevében tárgyalásokat folytasson az Amerikai Egyesült Államokkal a PNR-adatoknak a légi szállítók általi feldolgozásáról és a CBP részére történő továbbításáról szóló megállapodásról”(35). E határozat második preambulumbekezdése kimondja, hogy „[a] Szerződés 300. cikke (3) bekezdésének első albekezdése szerint a Tanács által meghatározott határidőn belül az Európai Parlament nem terjesztett elő véleményt, szem előtt tartva azon bizonytalan helyzet sürgős orvoslásának szükségességét, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintett pénzügyi érdekei védelmének szükségességét”.
57. A tanácsi határozat 1. cikke alapján a megállapodást a Közösség nevében hagyják jóvá. A határozat 2. cikke szerint a Tanács elnöke felhatalmazást kap, hogy kijelölje az(oka)t a személy(eke)t, aki(k) jogosult(ak) a Közösség nevében a megállapodás aláírására.
58. A megállapodás szövegét csatolták a tanácsi határozathoz. A 7. cikk kimondja, hogy a megállapodás az aláírásakor lép hatályba. E cikknek megfelelően a Washingtonban, 2004. május 28‑án aláírt megállapodás e napon lépett hatályba.(36)
59. A megállapodás preambulumában a Közösség és az Egyesült Államok elismeri „az alapvető jogok és szabadságok, nevezetesen a magánélethez fűződő jog tiszteletben tartásának fontosságát, valamint ezen értékek tiszteletben tartásának fontosságát a terrorizmus és az ehhez kapcsolódó bűncselekmények, valamint a nemzeteken átnyúló, súlyos bűncselekmények – ideértve a szervezett bűnözést is – megelőzése és az azok ellen folytatott küzdelem során”.
60. A következő szövegeket említi a megállapodás preambuluma: a 95/46 irányelv, különösen 7. cikkének c) pontja, a CBP kötelezettségvállalásai, valamint a megfelelőségi határozat.(37)
61. A felek tudomásul veszik, hogy „az Európai Közösség tagállamai területén működő, helyfoglalás-/indulás-ellenőrzési rendszerrel rendelkező légi szállítóknak – amint az technikailag kivitelezhető – meg kell szervezniük a PNR-adatok továbbítását a CBP‑nek, és hogy mindaddig – e megállapodás rendelkezéseinek megfelelően – az adatokhoz az Egyesült Államok hatóságai számára közvetlen hozzáférést kell biztosítani”(38).
62. Így a megállapodás 1. bekezdése előírja, hogy „[a] CBP – szigorúan a határozatnak(39) megfelelően, és mindaddig, amíg az alkalmazandó, illetve kizárólag addig, amíg kielégítő rendszer nem kerül felállításra az ilyen adatok légi szállítók általi továbbítására – elektronikus úton hozzáférhet a légi szállítóknak az Európai Közösség tagállamai területén elhelyezkedő helyfoglalás-/indulás-ellenőrzési rendszereiben [...] tárolt PNR-adatokhoz”.
63. A megállapodás 2. bekezdése – a CBP számára a PNR-adatokhoz való közvetlen hozzáférést biztosító jogkörön kívül – előírja, hogy az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítók kötelesek az automatikus helyfoglalási rendszerükben szereplő PNR-adatokat „az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint, és szigorúan a határozatnak(40) megfelelően feldolgozni mindaddig, amíg az alkalmazandó”.
64. A megállapodás 3. bekezdése kimondja, hogy a CBP „tudomásul veszi” a határozatot, és „kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”. Továbbá a megállapodás 4. bekezdése előírja, hogy „[a] CBP a továbbított PNR-adatokat feldogozza, és az ilyen adatfeldolgozással érintett személyeket az Egyesült Államok vonatkozó jogszabályainak és alkotmányos előírásainak megfelelően, jogellenes – különösen állampolgárságon vagy lakóhely szerinti országon alapuló – megkülönböztetés nélkül kezeli”.
65. A CBP és a Bizottság együttesen és rendszeresen felülvizsgálja e megállapodás végrehajtását.(41) Ez utóbbi azt is előírja, hogy „[a]bban az esetben, ha az Európai Unióban olyan légiutas-azonosító rendszer felállítására kerül sor, amely alapján a légi szállítók kötelesek a hatóságok számára olyan személyek PNR-adataihoz hozzáférést biztosítani, akik folyamatban lévő utazási útvonalukhoz igénybe vesznek az Európai Unióba érkező vagy onnan induló járatot, a DHS (Department of Homeland Security) – a kivitelezhetőség határain belül és szigorúan kölcsönösségi alapon – aktívan elősegíti a joghatóságán belül működő légitársaságok közötti együttműködést”(42).
66. Annak előírásán kívül, hogy a megállapodás az aláírásakor lép hatályba, a megállapodás 7. bekezdése kimondja, hogy a megállapodást a felek bármikor felmondhatják. Ebben az esetben a felmondás a felmondásról szóló értesítés másik féllel való közlésétől számított 90. napon lép hatályba. Egyébiránt ugyanezen bekezdés előírja, hogy a megállapodás a felek kölcsönös írásbeli megállapodásával bármikor módosítható.
67. Végül a megállapodás 8. bekezdése úgy rendelkezik, hogy e megállapodásnak nem célja a felek jogszabályaitól való eltérés vagy azok módosítása; hasonlóképpen, e megállapodás nem hoz létre vagy keletkeztet semmilyen jogot vagy előnyt a magánszemélyek vagy más, magánjogi vagy közjogi jogalanyok részére.
IV – A Parlament által a két ügyben előadott jogalapok
68. A 317/04. sz. ügyben a Parlament hat jogalapot ad elő a tanácsi határozattal szemben:
– az EK 95. cikknek a 2004/496 határozat jogi alapjául való hibás választása;
– az EK 300. cikk (3) bekezdése második albekezdésének megsértése, mivel a 95/46 irányelvet módosították;
– a személyes adatok védelméhez való jog megsértése;
– az arányosság elvének megsértése;
– a vitatott határozat elégtelen indokolása;
– az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértése.
69. Nagy Britannia és Észak-Írország Egyesült Királysága, valamint a Bizottság számára engedélyezték a Tanács kérelmeit támogató beavatkozást.(43) Továbbá az Európai Adatvédelmi Biztos (a továbbiakban: EAB) számára engedélyezték a Parlament kérelmeit támogató beavatkozást.(44)
70. A 318/04. sz. ügyben a Parlament négy jogalapot ad elő a megfelelőségi határozattal szemben:
– hatáskörtúllépés;
– a 95/46 irányelv alapelveinek megsértése;
– az alapvető jogok megsértése;
– az arányosság elvének megsértése.
71. Az Egyesült Királyság számára engedélyezték a Bizottság kérelmeit támogató beavatkozást.(45) Az EAB számára engedélyezték a Parlament kérelmeit támogató beavatkozást.(46)
72. A két keresetet a megtámadott határozatok elfogadásának sorrendjében elemzem. Ezt követően elsőként a megfelelőségi határozat megsemmisítése iránti keresetet (C‑318/04. sz. ügy), majd a tanácsi határozat megsemmisítése iránti keresetet (C‑317/04. sz. ügy) fogom vizsgálni.
V – A megfelelőségi határozat megsemmisítése iránti keresetről (C‑318/04. sz. ügy)
A – A Bizottság által a megfelelőségi határozat elfogadása során elkövetett hatáskör túllépésére vonatkozó jogalapról
1. A felek érvei
73. A Parlament e jogalap alátámasztására elsőként előadja, hogy a megfelelőségi határozat – mivel a közbiztonság és a büntetőjog területére tartozó cél megvalósítására irányul – megsérti a 95/46 irányelvet, ugyanis a fenti irányelv tárgyi hatálya alól kizárt területre vonatkozik. E kizárást a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése kifejezetten előírja, és nem lehet úgy értelmezni, amely ezt a hatályt szűkíti. Az a tény, hogy a személyes adatokat gazdasági tevékenység – nevezetesen szolgáltatás igénybevételére jogosító repülőjegy eladása – során gyűjtötték, nem igazolhatja a fenti irányelv és különösen annak 25. cikke alkalmazását a hatálya alól kizárt területen.
74. Másodsorban a Parlament azzal érvel, hogy a CBP nem a 95/46 irányelv 25. cikke értelmében vett harmadik ország. Márpedig e cikk (6) bekezdése előírja, hogy a személyes adatok megfelelő védelmi szintjét megállapító bizottsági határozat „harmadik országra” vonatkozzon, tehát államra vagy annak megfelelő jogalanyra, és nem valamely állam végrehajtó hatalmának részét képező közigazgatási egységre vagy összetevőre.
75. Harmadsorban a Parlament úgy véli, hogy a megfelelőségi határozatnak a Bizottság általi elfogadása hatáskörtúllépésnek minősül, mivel a határozathoz csatolt kötelezettségvállalás kifejezetten lehetővé teszi a PNR-adatoknak a CBP által más amerikai vagy külföldi kormányzati szerv számára történő továbbítását.
76. Negyedikként a Parlament úgy ítéli meg, hogy a megfelelőségi határozat bizonyos korlátozásokat és kivételeket tartalmaz a 95/46 irányelvben foglalt elvek vonatkozásában, annak ellenére, hogy a fenti irányelv 13. cikke e jogkört kizárólag a tagállamok számára tartja fenn. Így a Bizottság a megfelelőségi határozat elfogadásával a tagállamok szerepét vette át, és ebből következően megsértette az irányelv 13. cikkét. A 95/46 irányelvet végrehajtó aktussal a Bizottság kisajátította a szigorúan a tagállamoknak fenntartott hatásköröket.
77. Ötödikként a Parlament azzal érvel, hogy az adatoknak a „pull” (kivonás) rendszerben történő rendelkezésre bocsátása a 95/46 irányelv 25. cikke alapján nem minősül „továbbítás”‑nak, ezért nem lehet megengedni.
78. Végül figyelemmel a megfelelőségi határozat és a megállapodás egymással való összefüggésére, a határozat a Parlament szerint nem tekinthető megfelelő eszköznek a PNR-adatok továbbításának kikényszerítésére.
79. Az EAB a Parlamenttől eltérően úgy véli, hogy az adatokhoz való hozzáférésnek harmadik országbeli személy vagy intézmény számára történő megadása minősülhet továbbításnak, és ennélfogva a 95/46 irányelv 25. cikke alkalmazandó. Úgy véli ugyanis, hogy a fogalomnak az adatküldő által megvalósított továbbításra történő korlátozása lehetővé tenné az e cikkben előírt feltételek megkerülését, és gyengítené az e cikkben előírt adatvédelmet.
80. Az Egyesült Királyság által támogatott Bizottság úgy véli, hogy a légi fuvarozók tevékenysége a közösségi jog hatálya alá tartozik, és következésképpen a 95/46 irányelv egészében alkalmazandó marad. A PNR-adatok továbbítása keretében létrehozott rendszer nem érinti egy tagállamnak vagy hatóságnak a közösségi jog hatályán kívül eső tevékenységét.
81. A Bizottság továbbá előadja, hogy a megállapodást az Egyesült Államok, és nem egy kormányszerv nevében írták alá. Ami a CBP általi későbbi adatátvitelt illeti, a Bizottság úgy véli, hogy a személyes adatok védelmével nem összeegyeztethetetlen az ilyen továbbítások engedélyezése, feltéve hogy ezeket megfelelő és szükséges korlátozásoknak vetik alá.
82. Végül a Bizottság megjegyzi, hogy a 95/46 irányelv 13. cikke nem releváns a jelen ügyben, és a „továbbítás” ezen irányelv 25. cikke értelmében a légi fuvarozók számára abban áll, hogy a PNR-adatokat ténylegesen a CBP rendelkezésére bocsátják. A vizsgált rendszer tehát tartalmaz a 95/46 irányelv értelmében vett adattovábbítást.
2. Értékelés
83. Az első jogalappal a Parlament fenntartja, hogy a megfelelőségi határozat sérti a 95/46 irányelvet és különösen annak 3. cikke (2) bekezdését, 13. és 25. cikkét. Azzal érvel többek között, hogy e határozat nem alapulhat érvényesen a fenti irányelven mint elsődleges aktuson.
84. Amint azt már kifejtettem, a 95/46 irányelv célja a belső piac kialakítása és működése érdekében a személyes adatok áramlása előtti akadályok elhárítása azáltal, hogy az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása terén azonos minden tagállamban.
85. A közösségi jogalkotónak célja volt az is, hogy az így létrehozott védelmi rendszer ne kerüljön veszélybe, amint a személyes adatok elhagyják a Közösség területét. Ezért olyan rendszer mellett döntött, amely harmadik országba történő adattovábbítás megvalósíthatósága érdekében előírja, hogy az adott ország ezen adatoknak megfelelő védelmi szintet biztosítson. Így a 95/46 irányelv tartalmazza azon elvet, amely szerint a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani.
86. Az említett irányelv 25. cikke számos kötelezettséget ró a tagállamokra és a Bizottságra, amelyek célja, hogy ellenőrizze a személyes adatok harmadik országba történő továbbítását, figyelembe véve ezen adatoknak minden egyes országban biztosított védelmi szintet. Előírja azon módszereket és szempontokat is, amelyek lehetővé teszik annak megállapítását, hogy egy harmadik ország a számára továbbított személyes adatoknak megfelelő védelmi szintet biztosít.
87. A Bíróság a személyes adatoknak harmadik országba történő továbbítására vonatkozó rendszert olyan „különleges rendszernek” minősítette, „amelynek célja, hogy a harmadik országokba irányuló személyes adatok továbbítását a tagállamok ellenőrizhessék”. Azt is kimondta, hogy „az irányelv II. fejezetével létrehozott, a személyes adatok feldolgozásának jogszerűségére vonatkozó általános rendszert kiegészítő rendszerről van szó”(47).
88. A harmadik országokba irányuló adattovábbítás szabályainak különlegessége nagyrészt a megfelelő védelem fogalmának kulcsszerepével magyarázható. E fogalom hatályának meghatározása érdekében világosan meg kell különböztetni az azonos szintű védelem fogalmától, amely azt követelné meg, hogy a harmadik ország elismerje, és ténylegesen alkalmazza a 95/46 irányelvben foglalt elvek összességét.
89. A megfelelő védelem fogalma azt jelenti, hogy a harmadik országnak képesnek kell lennie alkalmas védelem biztosítására egy olyan modell szerint, amelyet a személyes adatok védelmi foka alapján elfogadhatónak ítélnek. A harmadik ország által biztosított védelem megfelelő jellegén alapuló rendszer jelentős mérlegelési teret hagy a tagállamok és a Bizottság számára a célországban bevezetendő garanciák értékelésében. Ezen értékelést a 95/46 irányelv 25. cikkének (2) bekezdése vezérli, amely az értékelésnél figyelembe vehető számos tényezőt felsorol.(48) E szempontból a közösségi jogalkotó által felállított szabály az, hogy „[a] harmadik ország által nyújtott védelem szintjének megfelelő mivoltát a továbbítási művelet vagy műveletsorozattal kapcsolatos körülmények figyelembevételével kell értékelni”.
90. Amint azt a Bíróság már megállapította, a 95/46 irányelv nem definiálja a „harmadik országba történő adattovábbítás” fogalmát.(49) Nem határozza meg nevezetesen, hogy a fogalom csak azon tevékenységet fedi‑e, amely során az adatkezelő harmadik országnak tevőlegesen rendelkezésre bocsátja a személyes adatokat, vagy az kiterjed olyan esetre is, amelyben egy harmadik ország jogalanya számára engedélyezték a hozzáférést egy tagállamban elhelyezkedő személyes adatokhoz. Ezen irányelv tehát hallgat arról, hogy mely módszerrel lehet harmadik országba történő adattovábbítást végrehajtani.
91. A Parlamenttel ellentétben úgy vélem, hogy jelen ügyben a CBP‑nek a PNR-adatokhoz való hozzáférése a „harmadik országba történő adattovábbítás” fogalmába tartozik. Ugyanis véleményem szerint az ilyen továbbítás jellemzésében az adatoknak a tagállamtól egy harmadik országba, jelen esetben az Egyesült Államokba való áramlása a meghatározó.(50) E tekintetben nincs jelentősége annak, hogy a továbbítást a küldő vagy a fogadó végzi. Ugyanis – amint azt az EAB kimondja – ha a 95/46 irányelv hatálya a küldő általi továbbításokra korlátozódna, az e cikk által előírt feltételeket könnyen meg lehetne kerülni.
92. Ennek kimondása mellett is mindenesetre fel kell hívni a figyelmet arra, hogy az említett irányelvnek a 25. cikket tartalmazó IV. fejezete nem kíván minden, bármilyen jellegű, harmadik országba történő személyesadat-továbbítást szabályozni. Az irányelv 25. cikkének (1) bekezdése alapján e fejezet csak „a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt” személyes adatok továbbítására vonatkozik.
93. E tekintetben emlékeztetek arra, hogy a 95/46 irányelv 2. cikkének b) pontja szerint személyes adatok feldolgozása „a személyes adatokon [...] végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, [...] betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén [...]”.(51)
94. A személyes adatok harmadik országba történő továbbítására vonatkozó rendszernek – bármilyen különleges jellegű is, amely mint láttuk nagy mértékben a megfelelőség fogalmán nyugszik –, be kell tartania a 95/46 irányelv hatályára vonatkozó szabályokat, amelynek része.(52)
95. A harmadik országba történő adattovábbításnak – a 95/46 irányelv 25. cikkének rendelkezései alá tartozása érdekében – személyes adatokra kell vonatkoznia, amelyeknek a feldolgozása – függetlenül attól, hogy a Közösségen belül valósul meg, vagy csupán a harmadik országban tervezik – a fenti irányelv hatálya alá tartozik. Csak e feltétellel minősülhet érvényesen egy megfelelőségi határozat a 95/46 irányelvet végrehajtó aktusnak.
96. E tekintetben emlékeztetek arra, hogy a fenti irányelv ratione materiae nem alkalmazandó minden személyesadat-feldolgozásra, amely a 2. cikk b) pontjában említett műveletcsoportok egyikébe tartozhat. Ugyanis a 95/46 irányelv 3. cikkének (2) bekezdése úgy rendelkezik, hogy az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra: a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címében megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek.(53)
97. Márpedig úgy vélem, hogy a CBP általi betekintés, felhasználás és ez utóbbi számára a légi utasoknak a tagállami légi szállítók helyfoglalási rendszereiben tárolt adataihoz való hozzáférhetővé tétel személyesadat-feldolgozásnak minősül, amelynek célja a közbiztonság, és amely a büntetőjog területén az állami tevékenységekre vonatkozik. E feldolgozások azonban nem tartoznak a 95/46 irányelv tárgyi hatálya alá.
98. A megfelelőségi határozatban használt kifejezések nyilvánvalóvá teszik az adatfeldolgozás célját, amely a légi utasok személyes adataira vonatkozik. A Bizottság – miután utalt arra, hogy a CBP részére továbbítandó, a légi utasok, a PNR‑ben szereplő személyes adataival kapcsolatos kötelezően megadandó információk az Egyesült Államok által 2001 novemberében elfogadott törvényben, illetve a CBP által az alapján elfogadott végrehajtási rendelkezéseken alapulnak(54) – kimondja, hogy az amerikai jogszabály egyik célja a „biztonság megerősítése”(55). Kimondják azt is, hogy „a Közösség teljes mértékben támogatja az Egyesült Államok terrorizmus elleni küzdelmét a közösségi jog által megadott határokon belül”(56).
99. A megfelelőségi határozat tizenötödik preambulumbekezdése továbbá előírja, hogy „a PNR-adatokat szigorúan olyan célokra használják fel, amelyek a terrorizmus és a kapcsolódó bűncselekmények, a transznacionális jelleget öltő szervezett bűnözést magában foglaló egyéb súlyos bűncselekmények, illetve a fenti bűncselekményekért járó letartóztatás, illetve elfogatóparancs előli menekülés megelőzését és az elleni küzdelmet szolgálják”.
100. A 95/46 irányelv és különösen a 25. cikkének (6) bekezdése véleményem szerint nem lehet megfelelő alap a Bizottság számára egy olyan végrehajtási aktus elfogadására, mint a hatálya alól kifejezetten kizárt feldolgozás tárgyát képező személyes adat megfelelő védelmi szintjére vonatkozó határozat. Ezen adatok továbbításának a 95/46 irányelv alapján történő engedélyezése ugyanis közvetetten kiterjesztené az irányelv hatályát.
101. Márpedig emlékezni kell arra, hogy az EK‑Szerződés 100a. cikke alapján elfogadott 95/46 irányelv meghatározza a személyesadat-feldolgozás során alkalmazandó védelem elveit, ha az adatkezelő tevékenysége a közösségi jog hatálya alá tartozik, azonban pontosan a választott jogi alap miatt, az irányelv nem alkalmas az olyan állami tevékenységek szabályozására, mint például a közbiztonságot vagy a bűnüldözési célokat érintő tevékenységek, amelyek nem tartoznak a közösségi jog hatálya alá.(57)
102. Az igaz, hogy a légi utasok adatainak a légitársaságok általi feldolgozásnak minősülő gyűjtése és rögzítése általában kereskedelmi céllal bír, amennyiben közvetlenül kapcsolódik a légi szállító által biztosított járat működtetéséhez. Igaz ugyan, hogy a PNR-adatokat a légitársaságok gyűjtik a közösségi jog hatálya alá tartozó tevékenységük végzése – azaz szolgáltatás igénybevételére jogosító repülőjegy eladása – során, ám a megfelelőségi határozatban szereplő adatfeldolgozás egészen más jellegű, mivel a kezdeti adatgyűjtést követő szakaszt érinti. Amint azt láttuk, a megfelelőségi határozat a CBP általi betekintésre, felhasználásra és ez utóbbi számára a légi utasoknak a tagállami légi szállítók helyfoglalási rendszereiben tárolt adataihoz való hozzáférhetővé tételre vonatkozik.
103. A valóságban a megfelelőségi határozat nem a szolgáltatás nyújtásához és igénybevételéhez szükséges adatfeldolgozást, hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges adatfeldolgozást szabályozza. Ez a PNR-adatok továbbításának és feldolgozásának célja. Következésképpen az a tény, hogy a személyes adatokat gazdasági tevékenység gyakorlása során gyűjtötték, véleményem szerint nem igazolja a 95/46 irányelv és különösen annak 25. cikke alkalmazását a hatálya alól kizárt területen.
104. Ezen elemek álláspontom szerint elegendőek annak kimondásához – a Parlament vélekedésével egyezően –, hogy a Bizottság a 95/46 irányelv 25. cikke alapján nem rendelkezett hatáskörrel az ezen irányelv hatálya alól kifejezetten kizárt feldolgozás keretében és érdekében továbbított személyes adatok megfelelő védelmi szintjére vonatkozó határozat elfogadásához.(58)
105. E megfelelőségi határozat ezért megsérti az alapaktust jelentő 95/46 irányelvet és különösen annak 25. cikkét, amely a határozatnak nem a megfelelő alapja. Úgy vélem, hogy ebből az okból meg kell azt semmisíteni.
106. Továbbá, mivel úgy vélem, hogy a megfelelőségi határozat nem esik a 95/46 irányelv hatálya alá, a Parlament által a második jogalapban indítványozottakkal ellentétben nem szükséges e határozatot az irányelv alapelvei fényében vizsgálni.(59) Úgy vélem ezért, hogy e második jogalapot nem kell vizsgálni.
107. Ami a jelen keresetnek az általam csak másodlagosan figyelembe vett harmadik és negyedik jogalapját illeti, ezeket véleményem szerint nem lehet külön elemezni, mivel az alapvető jogoknak a megfelelőségi határozat általi esetleges megsértésének a vizsgálata szükségszerűen magában foglalja az arányosság elvének e határozat általi betartásának értékelését, figyelemmel a határozattal követett célra. Azt javaslom ezért a Bíróságnak, hogy a harmadik és negyedik jogalapot együtt vizsgálja.
B – Az alapvető jogok megsértésére és az arányosság elvének megsértésére alapított jogalapok
108. A Parlament fenntartja, hogy a megfelelőségi határozat nem tartja be a személyes adatok védelméhez való jogot úgy, ahogy azt az EEJE 8. cikke biztosítja. Pontosabban az e cikk által előírt feltételekre tekintettel úgy véli, hogy a határozat a magánéletbe való beavatkozásnak minősül, amelyet nem lehet törvény által előírtnak tekinteni, mivel egy nem elérhető és előre nem látható intézkedésről van szó. Továbbá a Parlament úgy véli, hogy ezen intézkedés nem arányos a követett céllal, figyelemmel különösen a kért PNR-adatok túlzott számára és azok túlságosan hosszú ideig való megőrzésére.
109. A Parlament e két jogalapot a tanácsi határozat megsemmisítése iránti C‑317/04. sz. ügyben is előadja, és alátámasztásukra nagyrészt egymást átfedő érveket ad elő. Úgy vélem, hogy a Bírósághoz benyújtott két ügyben előadott ezen jogalapokat egyben kell vizsgálni, ez számomra a 317/04. sz. ügy kifejtése során tűnik helyénvalónak.
110. Nyilvánvaló a felek által a beadványaikban előadott érvelésből, hogy azt nem lehet elkülönítetten megérteni a magánélet tiszteletben tartásához való jog, a PNR-adatok CBP általi feldolgozására vonatkozó rendszer összetevői – a tanácsi határozattal jóváhagyott megállapodás, a megfelelőségi határozat és e bizottsági határozathoz csatolt CBP kötelezettségvállalások – szempontjából.(60) A felek egyébiránt több ízben hivatkoznak egy vagy több ezen aktusra előadásuk alátámasztására.
111. A PNR-rendszer e három összetevőjének egymástól függése a megállapodás fogalmaiból kifejezetten következik. Ugyanis mind a CBP kötelezettségvállalásait, mind a megfelelőségi határozatot megemlíti a megállapodás preambuluma. Ezt követően e megállapodás 1. bekezdése kimondja, hogy „a CBP – szigorúan a [megfelelőségi] határozatnak megfelelően, és mindaddig, amíg az alkalmazandó [...], hozzáférhet a PNR-adatokhoz”. Ugyanígy, még ha a fenti megállapodás 2. bekezdése szerint az erre kijelölt légiutas-szállítók kötelesek is a „PNR-adatokat az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint feldolgozni”, erre még mindig vonatkozik, hogy „szigorúan a [megfelelőségi] határozatnak megfelelően, mindaddig, amíg az alkalmazandó”. Végül a megállapodás 3. bekezdése úgy rendelkezik, hogy „[a] CBP tudomásul veszi a [megfelelőségi] határozatot, és kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat.
112. Ezen elemekből következik, hogy a megállapodással a CBP részére biztosított, PNR-adatokhoz való hozzáférési jog, valamint e megállapodásban kijelölt légiutas-szállítók PNR-adat feldolgozási kötelezettsége szigorúan és ténylegesen a megfelelőségi határozatnak van alávetve.
113. A PNR-rendszer három összetevőjének egymástól való függéséből, valamint abból a tényből következően, hogy az alapvető jogok és az arányosság elvének megsértésére alapított jogalapokat a Bírósághoz benyújtott két ügyben a Parlament előadja, e jogalapokat úgy kell érteni, mint amelyek annak a Bíróság ítéletével történő megállapítására irányulnak, hogy a PNR-rendszer a három összetevőjében összeegyeztethetetlen az EEJE 8. cikkében biztosított magánélet tiszteletben tartásához való joggal. Véleményem szerint mesterséges volna a megfelelőségi határozatot a megállapodás figyelembevétele nélkül vizsgálni, amely bizonyos kötelezettségeket ró a légitársaságokra, és fordítva, e megállapodást a többi alkalmazandó szöveg tekintetbevétele nélkül vizsgálni, amelyekre az kifejezetten hivatkozik.
114. Figyelemmel arra a tényre, hogy a rendszer több egymástól elválaszthatatlan elemből áll, az elemzést nem lehet mesterségesen szétszakítani.
115. Ebből a szemszögből a magánéletbe való beavatkozást a tanácsi határozatból, a megfelelőségi határozatból és a CBP kötelezettségvállalásaiból alkotott együttes valósítja meg. Annak vizsgálata érdekében, hogy e beavatkozást törvény írja‑e elő, törvényes célt követ‑e, és szükséges‑e egy demokratikus társadalomban, figyelembe kell venni az így létrehozott „háromsebességű” mechanizmus együttesét, amint azt a Parlament is teszi a két keresetében. A PNR-rendszerről való átfogó kép kialakítása érdekében e vizsgálatot a tanácsi határozat megsemmisítésére irányuló kereset keretében végzem el.
VI – A tanácsi határozat megsemmisítése iránti keresetről (C‑317/04. sz. ügy)
A – Az EK 95. cikknek a tanácsi határozat jogi alapjául való hibás választására alapított első jogalapról
1. A felek érvei
116. Az Európai Parlament előadja, hogy az EK 95. cikk nem minősül a tanácsi határozat megfelelő jogi alapjának. E határozatnak nem a belső piac létrehozása és működése képezi a célját és a tartalmát. A tanácsi határozat célja ugyanis a Közösség területén letelepedett légitársaságok számára az amerikai jogszabályokban előírt személyesadat-feldolgozás legalizálása. E határozat nem mondja ki, hogy az adatok harmadik országba történő továbbításának e legalizálása mennyiben járul hozzá a belső piac létrehozásához és működéséhez.
117. A Parlament szerint a tanácsi határozat tartalma sem igazolja az EK 95. cikkre jogi alapként történő hivatkozást. E határozat a CBP részére hozzáférést biztosít a légitársaságok foglalási rendszereihez a Közösség területén az Egyesült Államok és a tagállamok közötti járatok működtetése érdekében, az amerikai jogszabályoknak megfelelően, a terrorizmus megelőzése és leküzdése céljából. Márpedig e célok megvalósítása nem esik az EK 95. cikk hatálya alá.
118. Végül a Parlament hozzáteszi, hogy az EK 95. cikkre azért nem alapozható a Közösség hatásköre a megállapodás megkötésére, mert a megállapodás a Szerződésnek a fenti cikkén alapuló 95/46 irányelv tárgyi hatályán kívül eső közbiztonsági célokból történő adatfeldolgozásra vonatkozik.
119. Ellenben a Tanács úgy ítéli meg, hogy a határozata helyesen alapul az EK 95. cikken. Véleménye szerint e cikk megalapozhat olyan intézkedéseket, amelyek célja annak biztosítása, hogy a versenyfeltételek ne torzuljanak a belső piacon. E tekintetben fenntartja, hogy a megállapodás célja a tagállambeli légitársaságok közötti, illetve az ezek és a harmadik országbeli légitársaságok közötti verseny amerikai követelményekből esetlegesen adódó, a személyek jogainak és szabadságának védelme miatti torzulásának elkerülése. Az Egyesült Államokba tartó vagy onnan induló utasokat szállító tagállami légitársaságok közötti verseny feltételei torzulnának, ha közülük csak egyesek biztosítanának hozzáférést adatbázisaikhoz az amerikai hatóságoknak.
120. Ugyanezen gondolatmenetben a Tanács kiemeli egyrészt, hogy az amerikai előírásoknak meg nem felelő légitársaságokra az amerikai hatóságok bírságot szabhatnak ki, járataik késhetnek, és utasokat veszthetnek az Egyesült Államokkal megegyező más légitársaságok javára. Másrészt míg egyes tagállamok szankcionálhatták volna a kérdéses személyes adatokat továbbító légitársaságokat, úgy más tagállamok nem feltétlenül jártak volna el ugyanígy.
121. E körülmények között és az amerikai hatóságok által a PNR-adatokhoz való hozzáférésre vonatkozó közös szabályozás hiányában a Tanács úgy véli, hogy fennállt a versenyfeltételek torzulásának veszélye, és a belső piac egysége súlyosan sérült volna. Ezért véleménye szerint harmonizált feltételeket kellett kialakítani az amerikai hatóságok által az adatokhoz való hozzáférésre, megőrizve mindazonáltal az alapvető jogok tiszteletben tartásának közösségi követelményeit. Az összes érintett légitársaságra vonatkozó kötelezettség előírásáról és a belső piac létrehozásának és működésének külső szempontjáról van szó.
122. Végül a Tanács megjegyzi, hogy a megállapodást a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott megfelelőségi határozatot követően kötötték. Álláspontja szerint megfelelő és helyes volt a megállapodás megkötéséről szóló határozatot az irányelvvel megegyező jogi alapra alapozni, nevezetesen az EK 95. cikkre.
123. A Bizottság a beavatkozási beadványában kiemeli, hogy a megállapodás preambulumának rendelkezései világossá teszik, hogy az Egyesült Államok számára az elsődleges cél a terrorizmus elleni küzdelem, míg a Közösség számára a fő cél a személyes adatok védelmére vonatkozó közösségi jogszabály alapelemeinek fenntartása.
124. Megjegyzi, hogy a Parlament amellett, hogy kifogásolja a tanácsi határozat jogi alapjául az EK 95. cikk választását, nem javasol hiteles alternatívát. A Bizottság szerint e cikk a tanácsi határozat „természetes jogalapja”, mivel a személyes adatok védelme külső dimenziójának a Szerződésnek a 95/46 irányelv mint belső intézkedés alapjául szolgáló cikkén kell alapulnia, annál is inkább, mivel e külső szempontot az irányelv 25. és 26. cikke kifejezetten előírja. Továbbá figyelemmel a megállapodás, a megfelelőségi határozat és a CBP kötelezettségvállalásai közötti szoros kapcsolatra és egymástól való függésükre, az EK 95. cikk bizonyulna megfelelő jogi alapnak. Mindenesetre a Bizottság fenntartja, hogy a Tanácsnak az EK 95. cikk alapján volt hatásköre a megállapodás megkötésére, mivel a 95/46 irányelvet az AETR ítélkezési gyakorlat(61) értelmében érintette volna, ha a tagállamok külön vagy közösen kötöttek volna ilyen megállapodást a közösségi kereten kívül.
125. Végül a Bizottság előadja, hogy ezen adatok elsődleges feldolgozását a légitársaságok kereskedelmi céllal végzik. Ezen adatoknak az amerikai hatóságok általi felhasználása okán azok még nem kerülnek ki a 95/46 irányelv hatálya alól.
2. Értékelés
126. A Parlament az első jogalappal annak megítélését kéri, hogy az EK 95. cikk a megfelelő jogi alap‑e a Közösség által olyan nemzetközi megállapodás megkötésére vonatkozó tanácsi határozatot illetően, amely a jelen ügyben szerepel. E kérdésre adott válasz érdekében alkalmazni kell a Bíróság állandó ítélkezési gyakorlatát, amely alapján egy közösségi aktus jogi alapja megválasztásának bírósági felülvizsgálatra alkalmas, objektív elemeken kell alapulnia, amelyek között megjelenik különösen az aktus célja és tartalma.(62) Ugyanis „a Közösség hatásköri rendszerében valamely jogi aktus jogalapjának megválasztása nem függhet kizárólag egy intézmény meggyőződésétől az elérendő célt illetően”[…](63).
127. Emlékeztetek arra, hogy a Bíróság úgy ítélte meg, hogy „a megfelelő jogalap kiválasztása alkotmányos jelentőséggel bír. Mivel a Közösség csak átruházott hatáskörökkel rendelkezik, [az érintett nemzetközi megállapodást] a Szerződés olyan rendelkezéséhez kell kapcsolnia, amely feljogosítja ilyen aktus jóváhagyására”. A Bíróság szerint „[h]ibás jogalap igénybevétele tehát érvénytelenítheti magát a megkötésről szóló aktust, és ebből következően lerontja a Közösség beleegyezését arra vonatkozóan, hogy kötelezze őt az általa vállalt megállapodás”(64).
128. A Bíróság által alkalmazott elemzési módszernek megfelelően megvizsgálom, hogy a megállapodás célja és tartalma felhatalmazta‑e a Tanácsot az EK 95. cikk alapján olyan határozat elfogadására, amelynek célja az 1. cikke szerint a megállapodásnak a Közösség nevében történő jóváhagyása.
129. A megállapodás céljáról lévén szó, a preambulum első bekezdéséből kifejezetten következik, hogy két célt követ, nevezetesen a terrorizmus és az ehhez kapcsolódó bűncselekmények elleni, valamint a nemzeteken átnyúló, súlyos bűncselekmények – ideértve a szervezett bűnözést is – megelőzését és az azok ellen folytatott küzdelmet,(65) és másrészt az alapvető jogok és szabadságok, nevezetesen a magánélethez fűződő jog tiszteletben tartását.
130. A terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem céljának követését tanúsítja a megállapodás 2. bekezdésének a 2001. szeptember 11‑i terrortámadást követően elfogadott amerikai törvényekre és rendeletekre való utalása, amelyek megkövetelik minden, az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítóktól, hogy a CBP számára biztosítsanak elektronikus hozzáférést a számítógépes helyfoglalás-/indulás-ellenőrzési rendszereiben gyűjtött és tárolt PNR-adatokhoz.
131. Ami az alapvető jogok tiszteletben tartásának célját és különösen a magánélet tiszteletben tartásához való jogot illeti, az megjelenik a 95/46 irányelvre történő hivatkozáson keresztül. Így arról van szó, hogy a szállított természetes személyek számára biztosítják a személyes adataik védelmét.
132. Ezt a garanciát keresik mind a CBP 2004. május 11‑i kötelezettségvállalásaiban, amely megállapodás preambulumának 4. bekezdése utal arra, hogy a Federal Registerben teszik közzé azokat, mind a megfelelőségi határozatban, amelyet ugyanezen preambulum 5. bekezdése említ.
133. E két célt a megállapodás preambulumának 1. bekezdése szerint egyidejűleg kell követni. A Közösség és az Egyesült Államok között kötött megállapodás tehát e két cél összeegyeztetésére törekszik, vagyis abból a gondolatból ered, hogy a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelmet az alapvető jogok, különösen a magánélet tiszteletben tartásához való jog, pontosabban a személyes adatok védelméhez való jog tiszteletben tartásával kell vívni.
134. A megállapodás tartalma megerősíti ezt az elemzést. Az 1. bekezdése ugyanis kimondja, hogy a CBP – „szigorúan a határozatnak megfelelően”, és „mindaddig, amíg az alkalmazandó”, az ilyen adatok légi szállítók általi továbbítására – elektronikus úton hozzáférhet a légi szállítóknak az Európai Közösség tagállamai területén elhelyezkedő helyfoglalás-ellenőrzési rendszereiben tárolt PNR-adatokhoz. Ebből arra következtetek, hogy a PNR-adatokhoz való hozzáférés mint a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem eszközére a megállapodás csak akkor jogosít fel, ha ezen adatok az Egyesült Államokban megfelelő szintű védelemben részesülnek. A megállapodás e rendelkezésének tartalma tükrözi a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a személyes adatok védelme céljának egyidejű követését.
135. Ugyanezt kell megállapítani a megállapodás 2. bekezdésének vizsgálatánál, amely arra kötelezi az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítókat, hogy az automatikus helyfoglalási rendszerükben szereplő PNR-datokat „az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint, és szigorúan a [megfelelőségi] határozatnak megfelelően dolgozzák fel, mindaddig, amíg az alkalmazandó”. A légi szállítókat a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célja érdekében terhelő kötelezettség itt is szorosan kötődik a légi utasok személyes adatainak megfelelő védelméhez.
136. A megállapodás egyéb rendelkezéseinek célja a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a légi utasok személyes adatainak védelme céljainak kifejezése.
137. Ezen utasok személyes adatainak konkrét célját illetően a megállapodás 3. bekezdése kimondja, hogy „a CBP tudomásul veszi a [megfelelőségi] határozatot, és kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”.
138. Továbbá a megállapodás 6. bekezdése fontolóra veszi azt a lehetőséget, hogy az Európai Unióban olyan légiutas-azonosító rendszer felállítására kerül sor, amely alapján légi szállítók kötelesek a hatóságok számára olyan személyek PNR-adataihoz hozzáférést biztosítani, akik folyamatban lévő utazási útvonalukhoz igénybe vesznek az Európai Unióba érkező vagy onnan induló járatot. Abban az esetben, ha ezt az intézkedést az Unió végrehajtaná, a megállapodás előírja, hogy a DHS – a kivitelezhetőség határain belül és szigorúan kölcsönösségi alapon – aktívan elősegíti a joghatóságán belül működő légitársaságok közötti együttműködést”. Ismét a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célját kifejező rendelkezésről van szó.
139. A Bizottság által előadott néhány érvre válaszul e tekintetben kiemelem, hogy számomra nehéz alátámasztani, hogy terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célját egyoldalúan és kizárólag az Egyesült Államok követné, a Közösségnek egyedül a légi utasok személyes adatainak védelme volna a célja.(66) Igazság szerint az a véleményem, hogy az egyes szerződő felek szempontjából a megállapodás célja és tartalma a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a légi utasok személyes adatainak védelme céljának összeegyeztetése. Ennek eleget téve a megállapodás pontosan e kettős cél egyidejű elérése érdekében együttműködést létesít a szerződő felek között.
140. A megállapodás céljának és tartalmának fenti leírására figyelemmel úgy vélem, hogy az EK 95. cikk nem megfelelő jogalap a tanácsi határozat számára.
141. E tekintetben emlékeztetni kell arra, hogy az EK 95. cikk értelmében a Tanács elfogadja azokat a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseinek közelítésére vonatkozó intézkedéseket, amelyek tárgya a belső piac megteremtése és működése.
142. A Szerződés e cikkével a Közösségre ruházott hatáskör horizontális jellegű, vagyis nem korlátozódik egy meghatározott területre. A közösségi hatáskör kiterjedése tehát „funkcionális szemponton alapul, horizontálisan kiterjedve a belső piac megteremtésére irányuló intézkedések összességére”(67).
143. Továbbá a Bíróság ítélkezési gyakorlatából következik, hogy az EK 95. cikk (1) bekezdésében említett intézkedések célja a belső piac megteremtése és működése feltételeinek javítása, és ténylegesen e céllal kell rendelkezniük, hozzájárulva az áruk szabad mozgását és a szolgáltatásnyújtás szabadságát akadályozó, valamint a versenyt torzító tényezők felszámolásához.(68) Szintén ezen ítélkezési gyakorlatból következik, hogy ha az EK 95. cikkre mint jogalapra való hivatkozás lehetséges a kereskedelmi forgalom azon jövőbeli akadályainak megelőzésére, amelyek a nemzeti törvényhozások heterogén fejlődésének következményei, ezeknek az akadályoknak valószínűeknek kell lenniük, és a szóban forgó intézkedés tárgyának ezek megelőzésének kell lennie.(69)
144. Így amint ezt már bemutattam, a Tanács fenntartja, hogy a határozatát érvényesen fogadta el az EK 95. cikk alapján, mivel az Egyesült Államokkal kötött megállapodás hozzájárult a belső piac egységét súlyosan károsító veszély elkerüléséhez azáltal, hogy a tagállambeli légitársaságok közötti, illetve az ezek és a harmadik országbeli légitársaságok közötti versenytorzulást megszüntette.
145. Valóban, meg kell jegyezni, hogy a tanácsi határozat második preambulumbekezdése hivatkozik „a bizonytalan helyzet sürgős orvoslásának szükségességére, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintettek pénzügyi érdekei védelmének szükségességére”. Ezt a mondatot úgy is lehetne érteni, mint amely a hatáskörrel rendelkező amerikai hatóságok által azon légitársaságokra kiszabható szankciókra céloz, amelyek megtagadják utasaik PNR-adataihoz való hozzáférés biztosítását, olyan szankciókra, amelyeknek pénzügyi következményei lehetnek az említett társaságokra nézve. Elképzelhető volna ilyen helyzetben, hogy bizonyos légitársaságokat hátrányosan érintő pénzügyi következményekkel járó szankciókból eredhet a tagállamok területén letelepedett légitársaságok összessége közötti versenytorzulás.
146. Egyébiránt azt is elképzelhetőnek tartom, hogy a tagállamok részéről az eltérő hozzáállás – egyesek szankció terhe mellett megtiltják a területükön letelepedett légitársaságok számára utasaik PNR-adataik továbbításának engedélyezését, míg mások nem így járnának el – járhatna a belső piac működésére nézve akár közvetett hatással, a légitársaságok között kialakuló esetleges versenytorzulásból következően.
147. Mindazonáltal meg kell állapítani, hogy a verseny torzulásának elkerülésére irányuló cél, amennyire azt a Tanács ténylegesen követi, járulékos jellegű a két elsődleges célhoz, a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelméhez és a légi utasok személyes adatainak védelméhez képest, amelyeket – mint láttuk – a megállapodás rendelkezései kifejezetten említenek és végrehajtanak.
148. A tagállambeli légitársaságok közötti, vagy az ezek és a harmadik országbeli légitársaságok közötti verseny torzulásának elkerülésére irányuló cél, amint azt a Tanács állítja, nem jelenik meg sehol a megállapodás rendelkezéseiben. Hallgatólagosan van jelen, ezért a két másik célhoz képest szükségszerűen járulékos jellegű.
149. Márpedig emlékeztetek arra, amint azt a Bíróság már kimondta, hogy „pusztán az a tény, hogy egy jogi aktus hatást gyakorolhat a belső piac megteremtésére és működésére, nem elegendő az erre a rendelkezésre, mint az adott aktus jogi alapjára való hivatkozásnak az indokolására”(70).
150. Továbbá legfőképp a Bíróság állandó ítélkezési gyakorlatából következik, hogy ha egy közösségi aktus vizsgálata azt mutatja, hogy több célt követ, vagy több összetevője van, és ha ezek egyike elsődlegesként vagy döntőként határozható meg, míg a másik csak járulékos, a szóban forgó aktusnak az elsődleges vagy döntő célkitűzés által követelt egyetlen jogalapon kell alapulnia.(71) Csak kivételesen lehet a jogi aktust a megfelelő különböző jogalapokra alapozni, amennyiben megállapítható, hogy az aktus egyidejűleg több célkitűzést követ, amelyek elválaszthatatlanul összekapcsolódnak, anélkül hogy az egyik másodlagos és közvetett lenne a másikhoz képest.(72) Véleményem szerint jelen esetben nem ez a helyzet.
151. Megjegyzem továbbá, hogy még ha a megállapodást három célt szétválaszthatatlanul követőnek is kell tekinteni, a Tanács azon választását, hogy határozatát egyedül az EK 95. cikkre alapozza, ezen ítélkezési gyakorlat alapján nem lehet megfelelőnek tekinteni.
152. A tanácsi határozat második bekezdése egészének olvasatából következik, hogy a „sürgős szükségességre” utalás elsődleges célja megmagyarázni, hogy a Parlamentnek határidőt határoztak meg véleménye előterjesztésére az EK 300. cikk (3) bekezdése első albekezdésének megfelelően, amely előírja, hogy „[a]z Európai Parlament véleményét a Tanács által az ügy sürgősségétől függően megállapított határidőn belül közli”. E cikk azt is kimondja, hogy „[hga ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat”. Ez volt a helyzet a tanácsi határozat elfogadása érdekében követett eljárásban.
153. Más szóval, még ha „a bizonytalan helyzet sürgős orvoslásának szükségességét, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintettek pénzügyi érdekei védelmének szükségességét” figyelembe is lehetett volna venni a PNR-adatrendszer létrehozása során, úgy tűnik számomra, hogy e figyelembevétel az ezt követő eljárásban nagyobb szerepet játszott, mint a megállapodás céljának és tartalmának meghatározásában.
154. Ami a Tanács és a Bizottság azon érvét illeti, amely szerint a személyes adatok védelmének külső dimenziójára vonatkozó aktusnak a belső intézkedésnek minősülő 95/46 irányelvével azonos jogi alapon kell alapulnia, meg kell jegyezni, hogy a Bíróság már kimondta, miszerint az a tény, hogy a Szerződésnek egy különös rendelkezését választották belső aktusok elfogadásához, nem elég annak igazolásához, hogy ugyanezen jogi alapot kell alkalmazni egy hasonló tárgyú nemzetközi egyezmény jóváhagyásához.(73) Sőt mi több, rámutattam, hogy a megállapodásnak sem elsődleges célja, sem tartalma a belső piac működésének javítása, ugyanakkor az EK 95. cikk alapján elfogadott 95/46 irányelv „célja a személyes adatok szabad áramlásának tagállamok közötti biztosítása az ilyen adatok feldolgozásával kapcsolatban a természetes személyeket védő nemzeti szabályok harmonizációja révén”(74).
155. A fentiekre figyelemmel véleményem szerint a megállapodás céljának és tartalmának vizsgálata azt mutatja, hogy az EK 95. cikk nem minősül a tanácsi határozat megfelelő jogi alapjának.
156. Ebből következően azt javaslom a Bíróságnak, hogy a Parlament által előadott első jogalapot ítélje megalapozottnak. Következésképpen a tanácsi határozatot meg kell semmisíteni a hibás jogi alap választása miatt.
157. E szakaszban bizonyára érdekes lenne feltenni a kérdést, hogy mi lenne egy ilyen határozat megfelelő jogi alapja. Azonban meg kell jegyezni, hogy a jelen ügyben nem kérték a Bíróságtól e kényes kérdés megválaszolását. Így csupán néhány megjegyzésre szorítkozom e kérdéskörrel, és általánosabb jelleggel az Egyesült Államokkal tárgyalt PNR-rendszer jellegével kapcsolatban.
158. Először is a Tanács által támogatott gondolattal ellentétben az a körülmény, hogy a PNR-rendszert nem az EU‑Szerződés rendelkezéseinek keretében hozták létre, véleményem szerint nem alkalmas a Tanács és a Bizottság által elfogadott megközelítés jogi érvényességének igazolására.
159. Ezt követően általánosabb jelleggel úgy vélem, hogy a személyes adatokba olyan jogalany általi betekintést és azok olyan jogalany általi felhasználását előíró aktus, amelynek feladata az államon belül a belső biztonság biztosítása, valamint ezen adatoknak e jogalany részére történő rendelkezésre bocsátása, hatóságok közötti együttműködési aktushoz hasonlítható.(75)
160. Továbbá az a tény, hogy jogi személy számára adatfeldolgozást írnak elő és ezen adatok továbbítására kötelezik, nem tűnik számomra úgy, hogy alapvetően eltávolodna a hatóságok közötti közvetlen adatcserétől.(76) A biztonsági és bűnüldözési célú adatközlés a lényeges, és nem annak az adott helyzetben megvalósuló konkrét módja. A jelen ügy a kereskedelmi adatok bűnüldözési célú felhasználásával kapcsolatos új problémára vonatkozik.(77)
161. Végül meg kell jegyezni, hogy az Elsőfokú Bíróság kimondta, miszerint „a nemzetközi terrorizmus elleni küzdelem […] nem kapcsolható a Közösségnek az EK 2. és az EK 3. cikkben kifejezetten meghatározott céljaihoz”(78).
162. Figyelemmel arra a tényre, hogy az első jogalap elemzése következtében a tanácsi határozat megsemmisítését javaslom a Bíróságnak, a jogi alapjának hibás választása miatt, a Parlament által a jelen kereset alátámasztására előadott többi jogalapot csak másodlagosan fogom vizsgálni.
B – Az EK 300. cikk (3) bekezdése második albekezdésének a 95/46 irányelv módosítása miatti megsértésére alapított jogalapról
1. A felek érvei
163. E második jogalappal a Parlament fenntartja, hogy a Közösség és az Egyesült Államok közötti megállapodást csak az EK 300. cikk (3) bekezdésének második albekezdésében foglalt eljárás betartásával lehetett volna az előbbi nevében jóváhagyni. E cikk ugyanis előírja, hogy „[…] a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igénylő megállapodásokat az Európai Parlament hozzájárulásának elnyerését követően lehet megkötni”. Márpedig ezen intézmény szerint a szóban forgó megállapodás az EK 251. cikkben megállapított eljárás szerint elfogadott 95/46 irányelv módosítását igényelné.
164. A Parlament álláspontja szerint az amerikai hatóságok által végrehajtani vállalt kötelezettségek nem érik el a 95/46 irányelv által előírt feltételeket. Ebből következően a megállapodás az irányelv egyes lényeges elveinek lerontásával járna, és lehetővé tenné az irányelv által meg nem engedett adatkezeléseket. A Parlament különösen a következő módosításokat azonosítja.
165. Elsőként a megállapodás célja a terrorizmus és egyéb súlyos bűncselekmények megelőzése és azok elleni küzdelem, ugyanakkor a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése kizárja az irányelv hatálya alól a harmadik állam közbiztonságához kapcsolódó, ezen állam hatóságai számára történő adattovábbítást. A Parlament megjegyzi, hogy a tagállamok e célból konkrét rendelkezéseket írtak elő az Europol-egyezményben, és ennélfogva úgy lehet tekinteni, hogy e területen kiegészítés van a két jogi aktus között, amelyek különböző jogi alapon nyugszanak.
166. Másodsorban az amerikai hatóságok számára a személyes adatokhoz való közvetlen hozzáférés lehetőségének biztosítása a Közösség területén („pull” rendszer) a 95/46 irányelv módosítását is jelenti. Annak 25. és 26. cikke ugyanis egyetlen olyan rendelkezést sem tartalmaz, amely harmadik országot felhatalmazna ezen adatokhoz való közvetlen hozzáférésre.
167. Harmadsorban a megállapodás a kötelezettségvállalásokra hivatkozva felhatalmazza a CBP‑t, hogy szabad mérlegelése szerint és egyedi elbírálási alapon továbbítsa a PNR-adatokat a terrorizmusellenes vagy bűnüldözési tevékenységet folytató külföldi kormányoknak. Ez az amerikai hatóságoknak biztosított szabad mérlegelés megsérti a 95/46 irányelvet és különösen a 25. cikkének (1) bekezdését, amely szerint „[…] a személyes adatok csak akkor továbbíthatók harmadik országba, ha […] az adott harmadik ország megfelelő védelmi szintet tud biztosítani”. A Parlament úgy véli, hogy az irányelvvel létrehozott védelmi rendszer megsemmisülne, ha a pozitív megfelelőségi határozatban szereplő harmadik ország ezt követően szabadon továbbíthatná a személyes adatokat olyan további országokba, amelyeket a Bizottság egyáltalán nem vizsgált.
168. Negyedikként a megállapodás a 95/46 irányelv módosítását tartalmazza, mivel a CBP, még ha úgy is határozna, hogy nem használja a „különleges” személyes adatokat, jogilag felhatalmazással bírna a gyűjtésükre, amely az irányelv 2. cikkének b) pontja alapján már feldolgozásnak minősülne.
169. Ötödikként a Parlament úgy véli, hogy a megállapodás módosítja az irányelvet, mivel a szóban forgó adatfeldolgozásra alkalmazandó nemzeti rendelkezések által mindenki számára biztosított jogok megsértése esetén a jogorvoslat nem kellően biztosított. Nevezetesen a PNR-adatai továbbításával érintett személy számára nem áll rendelkezésre semmilyen jogorvoslat például a rá vonatkozó helytelen adatok vagy különleges adatok felhasználása vagy az adatoknak egy más hatóság részére történő továbbítása esetén.
170. Végül hatodikként a Parlament kiemeli a CBP részére továbbított PNR-adatok túlságosan hosszú megőrzési idejét, amely a 95/46 irányelv és különösen annak 6. cikke (1) bekezdése e) pontjának módosítását jelenti, amely az adatmegőrzés időtartamára vonatkozóan előírja, hogy az „érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé”.
171. Az EAB támogatja a Parlament végkövetkeztetéseit abban az értelemben, hogy szerinte a megállapodás hatással van a 95/46 irányelvre. Álláspontja szerint a megállapodást csak a Parlament demokratikus ellenőrzése mellett lehetett volna megkötni, mert a megállapodás érinti a nemzeti jogszabályok irányelv által előírt harmonizációs szintjét és még az alapvető jogokat is. Véleménye szerint a személyes adatok irányelvben előírt védelmi szintjének gyengülése abból ered, hogy mind a „pull” rendszerben, mind a „push” rendszerben a légi szállítók kötelesek megsérteni az irányelvet, különösen annak 6. cikke (1) bekezdésének b) és c) pontját. Mivel az adatok védelmi szintjének sérülése a 95/46 irányelv módosításával jár, az EAB úgy véli, hogy az EK 300. cikk (3) bekezdésének második albekezdésében előírt eljárási garanciákat nem tartották be. Továbbá úgy ítéli meg, hogy a „lényeges garanciákat” sem tartották be, mert a CBP kötelezettségvállalásai nem kötelező erejűek.
172. Ellenben a Bizottság által támogatott Tanács úgy véli, hogy a megállapodás nem jár a 95/46 irányelv módosításával. E vélemény alátámasztására a megállapodás 8. bekezdését idézi, amelynek értelmében annak „nem célja a felek jogszabályaitól való eltérés vagy azok módosítása”. Azt is fenntartja, hogy az irányelv széles mérlegelési jogkört ad a Bizottságnak egy harmadik ország által biztosított védelem megfelelő jellegének értékelésére. E tekintetben a Tanács szerint az a kérdés, hogy a Bizottság túllépte‑e a mérlegelési jogkörének határait, inkább a megfelelőségi határozat megsemmisítése iránti kereset tárgya a 318/04. sz. ügyben.
173. A Tanács emlékeztet arra, hogy szerinte a CBP‑t a PNR-adatok továbbításának igénylésére indító indokok (biztonság, a terrorizmus elleni küzdelem vagy más indok) a Közösség szempontjából nem minősülnek sem a megállapodás céljának, sem tartalmának. Továbbá a 95/46 irányelv a belső piac alkalmazási körén belül lehetővé teszi a személyes adatoknak törvényes célok, mint például az állam biztonságának védelme céljából történő felhasználását.
174. A Tanács szerint mindazonáltal még ha feltételezzük is, hogy a Közösségnek nem volt hatásköre a megállapodás megkötésére, ebből nem következik az, hogy a Parlamentnek hozzájárulását kellett volna adnia azon állítólagos indokkal, hogy a megállapodás módosítja a 95/46 irányelvet. A Tanács ugyanis kifejti, hogy a Parlament hozzájárulása semmilyen körülmények között nem bővítheti a Közösség hatásköreit.
175. Ami a CBP‑nek a PNR-adatokhoz való közvetlen hozzáférési lehetőségét illeti (a jelenleg alkalmazandó „pull” rendszer, a „push” rendszer létrehozásáig), a Tanács elismeri, hogy a 95/46 irányelv nem említ kifejezetten ilyen lehetőséget, ugyanakkor nem is tiltja. A Közösség szempontjából az adatokhoz való hozzáférés feltételei a lényegesek.
176. A Bizottság hozzáteszi ezen érveléshez, hogy függetlenül a személyes adatok CBP általi felhasználásának céljától, azok a Közösségben a légi szállítók számára a 95/46 irányelv hatálya alá eső kereskedelmi adatok, és azok is maradnak, amelyeket következésképpen annak megfelelően kell védeni és feldolgozni.
2. Értékelés
177. A Közösség által kötött nemzetközi megállapodások tárgyában úgy tűnik, hogy a Parlamenttel folytatott konzultáció rendes eljárás, a közös kereskedelempolitika területén kívül. A Parlamenttel folytatott konzultációra az EK 300. cikk (3) bekezdésének első albekezdése alapján kerül sor, beleértve azokat az eseteket is, amikor a megállapodás olyan területre vonatkozik, ahol a belső szabályok elfogadásához a 251. cikkben említett együttdöntési eljárásra van szükség.
178. Az EK 300. cikk (3) bekezdésének második albekezdése e rendes eljárástól eltérve a Parlament hozzájárulását írja elő négy esetben, amelyből a jelen ügyben bennünket az érdekel, amelyben a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igényli a megállapodás. A társjogalkotó Parlamentnek biztosított ellenőrzésről van szó egy általa elfogadott aktust esetlegesen módosító nemzetközi megállapodás fölött.
179. A 95/46 irányelvet együttdöntési eljárással fogadták el. A Parlament tehát fenntartja, hogy az annak módosítását igénylő megállapodás, a megállapodást a Közösség nevében jóváhagyó tanácsi határozat – a Szerződés szabályainak betartásával történő elfogadás érdekében – a jóváhagyását igényelte.
180. E jogalap megalapozottságának értékelése érdekében mindenekelőtt jelzem, hogy kevéssé számít, hogy a megállapodás a 8. bekezdésében kimondja, hogy annak „nem célja a felek jogszabályaitól való eltérés vagy azok módosítása”. Az EK 300. cikk (3) bekezdése második albekezdésének érvényre juttatása szempontjából annak ellenőrzése lényeges, hogy a nemzetközi megállapodás a belső jogi aktus módosítását igényli‑e, vagyis van‑e ezen aktust módosító hatása, függetlenül attól a ténytől, hogy nem ez a célja.
181. Úgy tűnik, hogy a Bíróság még nem határozott a „251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítása”(79) viszonylag tág kifejezésnek adandó értelméről. Egyes szerzők e tekintetben felvetették azt a kérdést, hogy a „módosítás” a belső aktus „szövegével ellentétes módosítást” jelent‑e, vagy „bármely módosítást, még a szöveggel megegyező módosítás is” elegendő a hozzájárulási eljárás betartásának igényléséhez.(80)
182. Az EK 300. cikk (3) bekezdésének második albekezdése azt a kérdést is felveti, hogy a hozzájárulás megköveteléséhez a tervezett megállapodás hatályának legalább részben fednie kell‑e az elfogadott belső aktus hatályát, vagy elegendő az a tény, hogy a megállapodás megkötéséhez alkalmazott jogi alap alapján fogadták el a belső aktust.(81)
183. Általánosságban az a véleményem, hogy ahhoz, hogy egy nemzetközi megállapodás „módosítson” egy együttdöntési eljárás alapján elfogadott belső aktust, az egyik feltétel az, hogy a megállapodás hatálya fedje a belső aktusét. Ebben az esetben előfordulhat, hogy a nemzetközi megállapodás módosítja a belső aktust, vagy azért, mert a megállapodás a belső aktusnak ellentmondó rendelkezést tartalmaz, vagy azért, mert a megállapodás hozzátesz a belső aktus tartalmához, még ha nincs is közvetlen ellentmondás.
184. Jelen ügyben úgy vélem, hogy a megállapodás nem tudta módosítani a 95/46 irányelv tartalmát.
185. A véleményem elsőként azon alapul, hogy – amint az az első jogalap elemzéséből következik –, a megállapodás célja a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem, védelmet biztosítva ugyanakkor a légi utasok személyes adatainak. Ellenben a 95/46 irányelv célja a személyes adatok tagállamok közötti szabad áramlásának biztosítása a természetes személyeket ezen adatok feldolgozása tekintetében védő nemzeti rendelkezések harmonizációja révén. A két aktusnak tehát két jól elkülöníthető célja van, még akkor is, ha mindkettő a személyes adatok védelmének területére vonatkozik.(82)
186. Másodsorban és összefüggésben azon megállapítással, hogy céljuk eltérő, nyilvánvaló, hogy a megállapodás és a 95/46 irányelv hatálya különböző. Ugyanis míg a megállapodás az Egyesült Államok belbiztonságára vonatkozó tevékenységek gyakorlása érdekében végrehajtott, illetve ugyanakkor és pontosabban a terrorizmus és egyéb súlyos bűncselekmények elleni tevékenységre vonatkozó személyesadat-feldolgozásra alkalmazandó, emlékeztetek arra, hogy az irányelv 3. cikke (2) bekezdésének első francia bekezdése kifejezetten kizárja a hatálya alól a „közösségi jog hatályán kívül eső tevékenységek[et], mint például az EU‑Szerződés V. és VI. címében megállapítottak[at], valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek[et]”(83).
187. Figyelemmel arra, hogy jelen esetben a két aktus célja és hatálya eltérő, nem látom, hogy az egyik tartalma hogyan tudná a másikat módosítani. Igazság szerint a megállapodás azon személyesadat-feldolgozásokra vonatkozik, amelyekre nézve a közösségi jogalkotó világosan kizárta a 95/46 irányelvvel létrehozott védelmi rendszer rájuk történő alkalmazhatóságát. A közösségi jogalkotó által elfogadott megközelítés egyébiránt összefügg az irányelv jogi alapjának, nevezetesen az EK 95. cikk megválasztásával.
188. Ezen elemzésnek véleményem szerint a Bizottság érvelése sem tud ellentmondani, amelynek alapján – függetlenül a személyes adatok CBP általi felhasználásának céljától – ezen adatok a Közösségben a légi szállítók számára a 95/46 irányelv hatálya alá eső kereskedelmi adatok, és azok is maradnak, amelyeket következésképpen annak megfelelően kell védeni és feldolgozni.
189. E tekintetben emlékeztetek arra, miszerint bár igaz, hogy a légi utasok adatainak a légitársaságok általi feldolgozásnak minősülő gyűjtése és rögzítése általában kereskedelmi céllal bír, mivel közvetlenül kapcsolódik a légi szállító által biztosított járat működtetéséhez, az adatfeldolgozást szabályozó megállapodásnak mindazonáltal egész más a célja, mivel egyrészt az adatgyűjtést követő szakaszra vonatkozik, és másrészt biztonsággal kapcsolatos célt követ.
190. Minderre figyelemmel az első jogalapot alátámasztó első érv nem alapos, ezért azt el kell utasítani.
191. A C‑318/04. sz. ügy(84) vizsgálata során említett ugyanazon okokból, most a Parlament által előadott harmadik és negyedik jogalapot együtt fogom vizsgálni, vagyis a személyes adatok védelméhez való jog megsértését és az arányosság elvének megsértését.
192. Arra is emlékeztetek, hogy figyelemmel a tanácsi határozat által jóváhagyott megállapodásnak, a megfelelőségi határozatnak és a CBP‑nek a jelen bizottsági határozathoz csatolt kötelezettségvállalásainak egymástól való függésére, úgy vélem, hogy a PNR-rendszer együttesét kell e jogalapok fényében elemezni.(85)
C – A személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapokról
1. A felek érvei
193. A Parlament fenntartja, hogy a PNR-rendszer megsérti a személyes adatok védelmének az EEJE 8. cikkében elismert jogát.
194. Álláspontja szerint annak előírásával, hogy a CBP elektronikus úton hozzáférhet a légi szállítóknak a tagállamok területén elhelyezkedő helyfoglalási rendszereiben tárolt PNR-adatokhoz, és annak kimondásával, hogy az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítók kötelesek a szóban forgó PNR-adatokat az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint megfelelően feldolgozni, olyan személyesadat-feldolgozásra vonatkozna, amely a magánéletbe való beavatkozásnak minősülne az EEJE 8. cikke értelmében. Ugyanígy a megfelelőségi határozat sem tartja be ezen cikket.
195. A Parlament kifejti, hogy az EEJE 8. cikke megsértésének elkerülése érdekében e beavatkozást törvénynek kell előírnia, jogszerű célt kell követnie, és e cél elérése érdekében szükségesnek kell lennie egy demokratikus társadalomban. Úgy véli, hogy a megállapodás és a megfelelőségi határozat nem teljesíti e feltételeket.
196. Elsőként, arról a feltételről lévén szó, amely szerint a beavatkozásra törvényben meghatározott esetben kerülhet sor, a Parlament azt állítja, hogy sem a megállapodás, sem a megfelelőségi határozat nem elégíti ki az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata által előírt, a törvény hozzáférhetőségére és előre láthatóságára vonatkozó követelményeket. Egyrészt, ami a törvény hozzáférhetőségének követelményét illeti, a Parlament úgy véli, hogy az Egyesült Államok alkalmazandó jogszabályaira történő általános és pontatlan utalással a megállapodás és a megfelelőségi határozat maga nem tartalmazza az utasok és az európai légitársaságok jogait és kötelezettségeit. Márpedig a jogbiztonság azt követelné, hogy a jogi kötelezettségeket teremtő közösségi aktus lehetővé tegye az érdekeltek számára a rájuk vonatkozó kötelezettségek terjedelmének pontos megismerését.(86) Továbbá ellentétben azzal, amit a törvény hozzáférhetősége előír, az alkalmazandó amerikai törvények nem állnak rendelkezésre a Közösség minden hivatalos nyelvén. A Parlament azt is megállapítja, hogy a megállapodás preambulumában hibás a megfelelőségi határozatra hivatkozás és annak elfogadási időpontja. Másrészt a törvény előre láthatóságának követelménye nem teljesül, mivel a megállapodás és a megfelelőségi határozat nem tartalmazza kellő pontossággal a Közösségben letelepedett állampolgárok és légitársaságok jogait és kötelezettségeit. Az utasok egyébiránt csak általános tájékoztatást kapnak, amely ellentétes a 95/46 irányelv 10. és 11. cikkében és a 108. egyezmény 8. cikkének a) pontjában előírt tájékoztatási kötelezettséggel. Végül a megállapodás és a CBP kötelezettségvállalásai számos, az EEJE 8. cikkével összeegyeztethetetlen pontatlanságot tartalmaznak.
197. Másodsorban azon feltételt illetően, amely szerint az EEJE 8. cikkének (2) bekezdése alapján a magánélet tiszteletben tartásához való jogba történő beavatkozásnak törvényes célt kell követnie, a Parlament elismeri, hogy ez teljesül. E tekintetben emlékeztet a Tanács felé több ízben kifejezett, terrorizmus elleni támogatására.
198. Harmadsorban arról a feltételről lévén szó, amely szerint a beavatkozásnak olyan intézkedésnek kell minősülnie, amely egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges, a Parlament úgy véli, hogy e feltétel nem teljesül, az alábbi okokból:
– a CBP kötelezettségvállalásainak 3. bekezdéséből következik, hogy az adatfeldolgozásnak nem egyedül a terrorizmus elleni küzdelem a célja, hanem az egyéb súlyos bűncselekmények, beleértve a transznacionális jelleget öltő szervezett bűnözés, valamint a fenti bűncselekmények miatt elrendelt letartóztatás, illetve kiadott elfogatóparancs előli szökés megelőzése és leküzdése is. Amennyiben az adatfeldolgozás túllépi a terrorizmus elleni egyedüli küzdelmet, nem szükséges a törvényesen követett cél eléréséhez;
– a megállapodás túlzott számú (34) adat továbbítását írja elő, ezáltal nem tartja be az arányosság elvét. A személyes adatok megfelelő védelmi szintje betartásának szempontjából a 34-ből 19 elfogadhatónak tűnik. A Parlament úgy véli, hogy „jelentős eltérés” van az Európai Unió szintjén alkalmazandó összehasonlítható jogi eszközök által előírt, és a megállapodás által előírt adatok száma között.(87) Egyébiránt egyes PNR-adatelemek különleges adatokat tartalmazhatnak;
– az adatokat az amerikai hatóságok túl hosszú ideig őrzik a követett célhoz képest. A CBP kötelezettségvállalásaiból következik, hogy az adatokhoz a CBP feljogosított személyei számára hét napig tartó elektronikus hozzáférést követően minden adatot három és fél évig őriznek, majd azon adatokat, amelyekbe ezen időszak folyamán manuálisan betekintettek, a CBP archívumba helyez át nyers adatok formájában, ahol nyolc évig őrzik a megsemmisítésük előtt. A létrehozott információs rendszerekkel – például a Schengeni Megállapodás végrehajtásáról szóló Egyezmény, az Europol-egyezmény és az Eurojust-határozat keretében, amelyek egytől három évig terjedő megőrzést írnak elő –, történő összehasonlítás mutatja a kötelezettségvállalásokban említett időtartam túlzott jellegét;
– a megállapodás nem ír elő bírósági felülvizsgálatot az amerikai hatóságok általi adatfeldolgozásra vonatkozóan. Sőt mi több, mivel a megállapodás és a kötelezettségvállalások nem hoznak létre jogokat a személyes adataik feldolgozásával érintett személyek számára, a Parlament nem tudja, hogyan tudnának e személyek e jogokra hivatkozni az amerikai bíróságok előtt;
– a megállapodás lehetővé tenné az adatoknak más hatóságok részére történő továbbítását; így túlmegy azon, ami a terrorizmus elleni küzdelemhez szükséges.
199. Az EAB véleménye szerint hat adatkategória feldolgozása nyilvánvalóan a sérti magánélethez való jogot.(88) Ez a sérelem abból a lehetőségből is ered, hogy ezen adatokból személyes profilt lehet összeállítani. Az EAB támogatja a Parlament arra irányuló érvelését, hogy a beavatkozást nem igazolja az EEJE 8. cikkének (2) bekezdése. Úgy véli, hogy a CBP által biztosított védelmi szint a 95/46 irányelv 25. cikke értelmében nem megfelelő, különösen, mivel az EEJE 8. cikkét nem tartják be.
200. Ellenben a Tanács és a Bizottság úgy véli, hogy a PNR-rendszer megfelel az EEJE 8. cikkének (2) bekezdésében előírt, az Emberi Jogok Európai Bírósága által értelmezett feltételeknek.
201. Elsőként, arról a feltételről lévén szó, amely szerint a beavatkozásra törvényben meghatározott esetben kerülhet sor, a Tanács úgy véli, hogy a törvény hozzáférhetősége követelményének teljesítése érdekében nem szükséges, hogy magának a megállapodásnak a szövege tartalmazza az összes olyan rendelkezést, amely esetlegesen érintheti a szóban forgó személyeket. Nem ellentétes az előre láthatósághoz való joggal a megállapodásban a megfelelőségi határozatra és a CBP‑nek e határozat mellékletében szereplő kötelezettségvállalásaira történő utalás, amennyiben e szövegek mindegyikét közzétették az Európai Unió Hivatalos Lapjában. Egyébiránt ez utóbbinak nem feladata harmadik országok törvényeinek közzététele. A Tanács a megállapodás preambulumában megjelenő, a megfelelőségi határozatra történő hibás hivatkozással kapcsolatban utal arra, hogy megteszi a szükséges intézkedéseket a Hivatalos Lapban történő helyesbítés közzététele érdekében. Azonban úgy véli, hogy e technikai jellegű hibák nem érintik a szóban forgó aktusok hozzáférhetőségét az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata értelmében. Ami a törvény előre láthatóságának feltételét illeti, a Tanács úgy véli, hogy nem sérti e követelményt az a tény, hogy a CBP kötelezettségvállalásait, valamint az amerikai törvényeket és alkotmányos követelményeket maga a megállapodás nem veszi át teljes egészében. Továbbá a kellő pontossággal megfogalmazott CBP‑kötelezettségvállalások lehetővé teszik az érintett személyek számára magatartásuk szabályozását.
202. Másodsorban arról a feltételről lévén szó, amely szerint a beavatkozásnak törvényes célt kell követnie, a Tanács megjegyzi, hogy a terrorizmuson kívüli súlyos bűncselekmények elleni küzdelem az EEJE 8. cikkében említett törvényes érdekek több csoportjába beleillik (nevezetesen közbiztonság, zavargás vagy bűncselekmény megelőzése). Ennélfogva a megállapodás és a CBP kötelezettségvállalásai törvényes célt követnek akkor is, amikor e más súlyos bűncselekményekre vonatkoznak.
203. A Tanács harmadsorban úgy véli, hogy a beavatkozás arányos az elérendő céllal. Pontosabban azzal érvel, hogy a CBP által bekért PNR-adatcsoportok hasznosak a terrorista cselekmények vagy a szervezett bűnözés megelőzéséhez, valamint a merényleteket követő nyomozás megvilágításához, megkönnyítve a terrorista csoportokhoz vagy a szervezett bűnözéshez kapcsolódó személyek azonosítását. Ami a továbbítandó PNR-adatok számát illeti, az Európai Unión belül létrehozott információs rendszerekkel történő összehasonlítás nem releváns, mivel azon túl, hogy e rendszereknek a célja és tartalma eltér a PNR-rendszerétől, a lehetséges terroristák profiljának körvonalazásához sokkal több adathoz kellene hozzáférni. Arról a három PNR-adatelemről szólva, amely a Parlament szerint különleges adatokat tartalmazhat,(89) a Tanács megjegyzi, hogy a CBP‑nek e három elemhez történő hozzáférését szigorúan korlátozták a CBP kötelezettségvállalások 5. bekezdése(90) alapján. Továbbá a 9., 10. és 11. kötelezettségvállalás szerint kizárt, hogy a CBP felhasználhassa a különleges adatokat.(91) Ami a PNR-adatok megőrzésének időtartamát illeti, a Tanács úgy véli, miszerint figyelemmel arra a tényre, hogy a merényleteket követő nyomozások néha több évig tartanak, a három és fél évben rögzített megőrzési idő kiegyensúlyozott megoldásnak minősül, kivéve azokat a különleges eseteket, ahol ezen időtartam hosszabb lehet. Továbbá nincs ok azt gondolni, hogy hiányzik a független felülvizsgálati rendszer. Végül az adatoknak más hatósághoz történő továbbítását elegendő garancia övezi; nevezetesen a CBP csak eseti alapon és a terrorizmus vagy egyéb súlyos bűncselekmény elleni küzdelem céljából továbbíthat más hatósághoz adatokat.
204. A Bizottság szerint kétségtelen, hogy a megállapodás, a megfelelőségi határozat és a CBP kötelezettségvállalásainak együttese lehetővé tesz a magánéletbe történő bizonyos – a továbbított adatoktól függő szintű – beavatkozást. E beavatkozást a törvény meghatározza, vagyis a fenti együttes törvényes célt követ, tehát a biztonsági jellegű amerikai törvény és a személyes adatok védelmére vonatkozó közösségi normák közötti összeütközés feloldását, és szükséges egy demokratikus társadalomban e cél eléréséhez.
205. Az Egyesült Királyság úgy véli, hogy a személyes adatok védelméhez való jog esetleges sérelme elemzésének keretében a tanácsi határozatot, a megfelelőségi határozatot és a CBP kötelezettségvállalásait együtt kell vizsgálni, mivel ezek szorosan összefüggő jogi eszközök. Azt is megjegyzi, hogy a közösségi jog hozzáférhetőségét és előre láthatóságát kell vizsgálni, és nem az Egyesült Államok területén alkalmazandó törvényekét. Az Egyesült Királyság véleménye szerint, ha összekapcsoljuk a megállapodást, a megfelelőségi határozatot és a CBP kötelezettségvállalásait, a közösségi jog világosan és átfogóan bemutatja minden érintett fél jogi álláspontját. Továbbá nem osztja azon véleményt, amely szerint a CBP kötelezettségvállalásai jellegénél fogva egyoldalúak lennének, és az amerikai hatóságok büntetlenül módosíthatnák vagy visszavonhatnák azokat.
206. Az Egyesült Királyság a beavatkozás szükségességéről szólva kiemeli, hogy az egyéb súlyos bűncselekmények elleni küzdelem a megállapodás céljaként világosan megjelenik, és a közrendet szolgálja, amely ugyanolyan törvényes cél, mint a terrorizmus elleni küzdelem. Az Egyesült Királyság úgy véli, hogy a továbbítható adatok skálája, a megőrzési időtartam és a más hatósághoz való továbbítás lehetősége megfelel e céloknak és azokkal arányos, tekintettel különösen az utasok magánéletét érintő veszélyek csökkentése érdekében a kötelezettségvállalásokban és a megfelelőségi határozatban foglalt számos garanciára. Végül kifejti, hogy álláspontja szerint az arányosság kritériumát a szóban forgó célok jellegének és jelentőségének fényében egyszerre kell a Bíróság és az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata alapján alkalmazni.
2. Értékelés
207. E jogalapokkal a Parlament fenntartja, hogy a tanácsi határozat, valamint a megfelelőségi határozat megsérti az EEJE 8. cikkében biztosított, a személyes adatok védelméhez való jogot.
208. Az állandó ítélkezési gyakorlat szerint az alapvető jogok a közösségi jog általános elveinek részét képezik, amelyek tiszteletben tartását a Bíróság biztosítja.(92) Ennek érdekében a Bíróság a tagállamok közös alkotmányos hagyományaiból, valamint azon iránymutatásokból merít, amelyeket az emberi jogok védelmére vonatkozó azon nemzetközi szerződések nyújtanak, amelyek kidolgozásában a tagállamok együttműködtek, illetve amelyekhez csatlakoztak. Úgy ítéli meg, hogy az Emberi Jogok Európai Bírósága e tekintetben „különös jelentőséggel” bír.(93) A Közösségben nem lehet elfogadni olyan intézkedéseket, amelyek összeegyeztethetetlenek az így elismert és biztosított emberi jogok betartásával.(94) Ezen elveket az EU 6. cikkének (2) bekezdése megismétli.
209. Ezen ítélkezési gyakorlat nyomán a Bíróság úgy ítélte meg, hogy a magánélet tiszteletben tartásához való jogot beépítette a közösségi jogba.(95) A személyes adatok védelméhez való jog a magánélet tiszteletben tartásához való jog egyik vonatkozása, tehát az EEJE 8. cikke védi, beleértve a közösségi jogrendben az általános jogelvek általi védelmet is.
210. Megvizsgálom – követve az EEJE 8. cikkéből eredő elemzési mintát – hogy a PNR-rendszer megsérti‑e a magánélet tiszteletben tartásához való jogot. Így, miután megállapításra került, hogy a fenti rendszer beavatkozik a légi utasok magánéletébe, meghatározom, hogy e beavatkozás kellően indokolt‑e.
a) A magánéletbe való beavatkozás fennállásáról
211. Véleményem szerint a megállapodást jóváhagyó tanácsi határozat, a megfelelőségi határozat és a CBP kötelezettségvállalásainak együttese által megvalósított magánéletbe történő beavatkozás kétségtelenül megállapítható. Világos számomra, hogy a légi szállítóknak a tagállamok területén elhelyezkedő helyfoglalási rendszereiben tárolt, a légi utasok adataiba való CBP általi betekintés, felhasználás és ez utóbbinak ezen adatok rendelkezésre bocsátása ezen utasok magánéletébe való, hatóságok részéről történő beavatkozásnak minősül.
212. A légi utasok magánéletébe történő beavatkozás számomra még akkor is megállapítottnak tűnik, ha bizonyos, külün-külön vett PNR-adatelemeket úgy lehetne tekinteni, mint amelyek egyenként nem sértik az érintett utasok magánéletét. Véleményem szerint a CBP által bekért PNR-adatelemek listáját egészében kell tekinteni, mivel ezen adatok átfedése személyes profilok létrehozását teszi lehetővé.
213. A magánéletbe történő beavatkozás sérti a magánélet tiszteletben tartásához való jogot, kivéve ha kellően indokolt.
b) A magánéletbe való beavatkozás indokoltsága
214. Ahhoz, hogy a magánéletbe történő beavatkozás megengedhető legyen, három feltételnek kell teljesülnie: törvényben meghatározott esetben történhet, törvényes célt kell követnie, és egy demokratikus társadalomban szükségesnek kell lennie.
i) A beavatkozás törvényben meghatározott?
215. Az Emberi Jogok Európai Bíróságának (EJEB) állandó ítélkezési gyakorlata szerint e feltétel megkívánja, hogy a kifogásolt intézkedésnek legyen jogi alapja, és a szóban forgó törvény minőségére is vonatkozzon.(96) A törvény minőségének vizsgálata azt is jelenti, hogy a törvény az állampolgárok számára hozzáférhető, pontos, és következményei előre láthatók. Ez feltételezi, hogy kellő pontossággal meghatározza a biztosított jog korlátozásának módját és feltételeit, annak érdekében, hogy az állampolgár számára lehetővé váljon magatartásának irányítása és az önkényességgel szemben megfelelő védelemben való részesülése.(97)
216. A Parlament úgy véli, hogy a beavatkozást előíró intézkedés következményei nem hozzáférhetőek és nem előre láthatóak. Nem osztom ezt a véleményt.
217. Ellenkezőleg, úgy vélem, hogy a tanácsi határozat és a hozzá csatolt megállapodás, valamint a mellékletben a CBP kötelezettségvállalásait tartalmazó megfelelőségi határozat lehetővé teszi az érintett személyeknek, nevezetesen a légitársaságoknak és a légi utasoknak, hogy kellően pontosan tájékozottak legyenek magatartásuk irányítása érdekében.
218. E tekintetben megjegyzem, hogy a CBP kötelezettségvállalásainak 48 bekezdése viszonylag részletes és pontos tájékoztatást ad az alkalmazandó jogi keretről. Továbbá a megfelelőségi határozat a preambulumában utal a releváns amerikai törvényre és a CBP által az alapján elfogadott végrehajtási rendelkezésekre.(98) Ennélfogva számomra túlzottnak tűnik azt előírni, hogy az alkalmazandó amerikai törvényi és rendeleti rendelkezések egészét tegyék közzé az Európai Unió Hivatalos Lapjában. Azon kívül, hogy – amint arra a Tanács rámutat – a Hivatalos Lapnak nem feladata harmadik országok törvényeinek közzététele, úgy vélem, hogy az ott közzétett CBP kötelezettségvállalási nyilatkozata tartalmazza az adatoknak a CBP általi felhasználási eljárásáról és az eljárást övező garanciákról szóló lényeges információkat.
219. A jogbiztonság követelményének megfelelően a PNR-rendszerrel érintett légitársaságokat tájékoztatják a megállapodás alapján őket terhelő kötelezettségekről, és a légi utasokat tájékoztatják jogaikról, különösen az adataikhoz való hozzáférésről és azok helyesbítéséről.(99)
220. Figyelemmel a PNR-rendszer elemeinek egymással való összefüggésére, sajnálatos, hogy a megállapodás hibákat tartalmaz a megfelelőségi határozatra való utalással és annak dátumával kapcsolatban. E hibák összetettebbé teszik azon európai állampolgár eljárását, aki tájékozódni szeretne az Egyesült Államokkal tárgyalt rendszer tartalmáról. Mindazonáltal e hibák nem nehezítik meg túlzottan e keresést, ugyanis a megfelelőségi határozatot a Hivatalos Lapban közzétették, és az – informatikai – keresési eszközök megkönnyítik annak megtalálását. Továbbá a Tanács vállalta egy helyesbítésnek a Hivatalos Lapban történő közzétételét, amely meg is történt.(100)
221. E megfontolásokra tekintettel úgy vélem, hogy az érintett légi utasok magánéletébe való beavatkozást az EEJE 8. cikkének (2) bekezdése értelmében „törvényben meghatározottnak” kell tekinteni.
ii) A beavatkozás törvényes célt követ?
222. Az EEJE 8. cikkének (2) bekezdésében említett különböző célok fényében úgy vélem, hogy a jelen ügy tárgyául szolgáló magánéletbe való beavatkozás törvényes célt követ. Különösen ez a helyzet a terrorizmus elleni küzdelmet illetően.
223. A Tanácshoz hasonlóan úgy gondolom, hogy az egyéb súlyos bűncselekmények elleni küzdelem(101) is az EEJE 8. cikkének (2) bekezdésében említett több törvényes érdek kategóriájába tartozik, mint például a nemzetbiztonság, a közbiztonság, zavargás vagy bűncselekmény megelőzése. Ennélfogva úgy vélem, hogy a PNR-rendszer törvényes célt követ, amennyiben ezen egyéb súlyos bűncselekményekre vonatkozik.
224. Jelenleg a beavatkozás arányosságát kell vizsgálni azon kérdés feltevésével, hogy az szükséges‑e egy demokratikus társadalomban a terrorizmus és egyéb súlyos bűncselekmények megelőzése és az ellenük folytatott küzdelem érdekében.
iii) Szükséges‑e demokratikus társadalomban a beavatkozás e cél eléréséhez?
225. Az arányosság feltétele betartásának pontos vizsgálata előtt néhány előzetes megjegyzést teszek a Bíróság általi felülvizsgálat terjedelmével kapcsolatban.
226. Az Emberi Jogok Európai Bírósága szerint a „szükséges” melléknév az EEJE 8. cikke (2) bekezdésének értelmében „sürgető társadalmi igény” fennállását jelenti, és hogy az elfogadott intézkedés legyen „arányos a követett céllal”(102). Továbbá „a nemzeti hatóságok mérlegelési joggal bírnak, amelynek terjedelme nem csupán a beavatkozás céljától, hanem annak pontos jellegétől is függ”(103).
227. Az államok mérlegelési jogköre felülvizsgálatának keretében az Emberi Jogok Európai Bírósága hagyományosan meghatározza, hogy a beavatkozás alátámasztására szolgáló indokok helytállók és elegendők‑e, majd azt, hogy a beavatkozás arányos‑e a követett céllal, és megállapítja, hogy egyensúly jött létre az általános érdek és az egyéni érdek között.(104) Ezen ítélkezési gyakorlatból a következtetést levonva megállapíthatta, hogy „[a] valamely törvényes érdek és az annak elérésére szolgáló eszközök között megfelelőségi követelményt közvetítő arányosság elve tehát a nemzeti mérlegelési jogkör felülvizsgálatának középpontjában helyezkedik el”(105).
228. Az arányosságnak az Emberi Jogok Európai Bírósága általi felülvizsgálata változik az olyan körülmények szerint, mint a szóban forgó jogok és tevékenységek jellege, a beavatkozás célja és az államok jogrendszerében esetlegesen jelen lévő közös nevező.
229. A szóban forgó jogok és tevékenységek jellegéről lévén szó, ha az egyén magánszféráját szorosan érintő jogról van szó, mint például az egészségre vonatkozó személyes adatok bizalmas kezeléséhez való jogról,(106) az Emberi Jogok Európai Bírósága úgy ítéli meg, hogy az állam mérlegelési joga korlátozott, és saját bírói felülvizsgálatának szorosabbnak kell lennie.(107)
230. Mindazonáltal, amikor a beavatkozás célja a nemzetbiztonság megőrzése(108) vagy a terrorizmus elleni küzdelem(109), az Emberi Jogok Európai Bírósága hajlik arra, hogy az államoknak nagyobb mértékű mérlegelést engedjen.
231. Tekintettel a PNR-rendszer keretében látszólag döntőnek minősülő terrorizmus elleni küzdelem céljának természetére és jelentőségére, és figyelemmel arra a politikailag érzékeny környezetre, amelyben a Közösség és az Egyesült Államok közötti tárgyalások folytak, úgy vélem, a jelen ügyben a Bíróságnak úgy kell tekinteni, hogy a Tanács és a Bizottság jelentős mérlegelési jogkörrel rendelkezett a PNR-rendszer tartalmának az amerikai hatóságokkal történő megtárgyalásához. Ebből következik, hogy e nagy mérlegelési jogkör tiszteletben tartása érdekében a Bíróság által a beavatkozás szükségességét illetően gyakorolt felülvizsgálatának véleményem szerint arra kell korlátozódnia, hogy történt‑e e két intézmény részéről esetleges nyilvánvaló mérlegelési hiba.(110) A Bíróság e korlátozott felülvizsgálat gyakorlásával elkerülné azt a nehézséget, amely abban áll, hogy saját mérlegelésével helyettesíti a közösségi politikai intézmények mérlegelését a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem legmegfelelőbb és legalkalmasabb eszközei jellegét illetően.
232. A Bíróság az általa gyakorolni kívánt felülvizsgálat terjedelmének meghatározása érdekében az Emberi Jogok Európai Bíróságának fent hivatkozott ítélkezési gyakorlatán felül saját ítélkezési gyakorlatára támaszkodhat, amelyben úgy véli, hogy amikor valamely közösségi intézmény széles mérlegelési joggal rendelkezik egy meghatározott területen, „[…] az e területen kibocsátott valamely intézkedés jogellenessége csak akkor állapítható meg, ha az nyilvánvalóan nem alkalmas az illetékes intézmények által kitűzött cél elérésére”(111). A Bíróság arányosságot érintő felülvizsgálati jogkörének e „korlátozása különösen akkor áll fenn”, ha „a Tanácsnak szembenálló érdekeket kell összebékítenie, és ennek megfelelően a saját feladatkörébe tartozó politikai választási lehetőségekkel élve kell bizonyos lépéseket választania”(112). A felülvizsgálat korlátozását indokolhatja az a körülmény is, hogy egy cselekvési területen a közösségi intézménynek összetett mérlegelést kell végeznie.(113)
233. Úgy tűnik számomra, hogy ezen ítélkezési gyakorlatot és az ezt megalapozó okokat jelen esetben alkalmazni kell, mivel a PNR-rendszer kidolgozása keretében a Tanács és a Bizottság nehezen kibékíthető érdekek közötti politikai választási lehetőségekkel és összetett mérlegelésekkel szembesült.(114) Ez megfelel a hatalmi ágak szétválasztásának, amely a Bíróság számára azt írja elő, hogy tartsa tiszteletben a közösségi jogalkotó és közigazgatási szervek hatáskörébe tartozó politikai felelősséget, és ebből következően tartózkodjon az utóbbiakra háruló politikai választási lehetőségek közötti döntés átvételétől.
234. Jelenleg pontosan vizsgálni kell, hogy a PNR-rendszert alkotó különböző elemek elfogadása során a Tanács és a Bizottság nyilvánvalóan túllépte‑e mérlegelési jogkörének határait a magánélet tiszteletben tartását, és pontosabban a légi utasok személyes adatai védelmét illetően, figyelemmel a követett célra.
235. E vizsgálat keretében a CBP kötelezettségvállalási nyilatkozata különös jelentőséggel bír, mivel ez tartalmazza a PNR-rendszert övező garanciák részleteit. E tekintetben jelzem, hogy véleményem szerint hibás azt gondolni, hogy a nyilatkozat semmiféle kötelező erővel nem bír, és az amerikai hatóságok által szabadon módosítható vagy visszavonható kötelezettségvállalásokat tartalmaz.
236. A kötelezettségvállalási nyilatkozat ugyanis, amelyet – emlékeztetek rá – csatoltak a megfelelőségi határozathoz, a PNR-rendszer egyik összetevője, és így annak be nem tartása az egész rendszer megbénításához vezetne. E tekintetben kiemelem, hogy a megállapodás 1. és 2. bekezdése a PNR-adatok feldolgozásának a légi szállítókat terhelő kötelezettségét alárendeli a megfelelőségi határozat szigorú alkalmazásának, e kötelezettség csak addig alkalmazandó, „amíg ez utóbbi alkalmazandó”. Továbbá a megállapodás 3. bekezdése szerint a CBP „kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”. Végül a megfelelőségi határozat 3., 4. és 5. cikke meghatározza a kötelezettségvállalási nyilatkozatban előírt védelmi normák megsértése esetén meghozandó intézkedéseket. Ezen intézkedések között előírják, hogy a tagállamok illetékes hatóságai felfüggeszthetik a CBP felé történő adatáramlást, és ha a személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, a megfelelőségi határozat hatályon kívül helyezhető vagy felfüggeszthető, amelynek következtében a megállapodás 1. és 2. bekezdése nem lenne alkalmazandó.
237. A Parlament – annak a Bíróság általi megállapítása érdekében, hogy ezen utasok magánéletébe történő beavatkozás nem tartja tiszteletben az arányosság elvét – elsőként a CBP által a légitársaságoktól bekért adatok túlzott számára utal. Egyébiránt úgy véli, hogy a bekért PNR-adatelemek közül egyesek különleges adatokat tartalmazhatnak.
238. Véleményem szerint a Bizottság a 34 személyes adatelemből álló lista létrehozásával, amint azt a megfelelési határozathoz csatolták, nem nyilvánvalóan alkalmatlan intézkedést fogadott el a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem céljának elérése érdekében. Egyrészt ugyanis ki kell emelni a hírszerző tevékenység jelentőségét az antiterrorista küzdelemben, mivel a megfelelő információk megszerzése lehetővé teszi az állam biztonsági szolgálatai számára egy esetleges terrorista merénylet megelőzését. E szempontból a lehetséges terroristák profilja kialakításának szükségessége az adatok nagyszámához való hozzáférést igényelheti. Másrészt az a körülmény, hogy az Európai Unió keretén belül az információcserére vonatkozó egyéb eszközök kevesebb adat közlését írják elő, nem elég annak bizonyításához, hogy az antiterrorista küzdelem speciális eszközének minősülő PNR-rendszer keretében túl sok adatot kérnek.(115)
239. Ezenkívül, még ha igaz is, amint azt a Parlament megjegyzi, hogy három bekért adatelem különleges adatot tartalmazhat(116), megjegyzem egyrészt, hogy a CBP‑nek e három adatelemhez történő hozzáférését szigorúan korlátozták a kötelezettségvállalási nyilatkozat 5. bekezdése alapján, másrészt e nyilatkozat 9–11. bekezdése szerint a CBP nem használja fel a különleges adatokat, és végül a CBP a kötelezettségvállalásának megfelelően ezen adatokat szűrő rendszert hozott létre.(117)
240. Másodsorban a Parlament úgy véli, hogy a légi utasok PNR-adatait az amerikai hatóságok túl hosszú ideig őrzik a követett célra tekintettel.
241. Ezen adatok megőrzésének idejét a kötelezettségvállalási nyilatkozat 15. bekezdése említi, amely lényegében az engedéllyel rendelkező CBP felhasználók számára előírja az online hozzáférést hétnapos időtartamra. Ezen időszak után a PNR-adatok megtekintése korlátozott számú feljogosított tisztviselő számára lehetséges három év és hathónapos időtartamra. Végül e második időszak után azok a PNR-adatok, amelyekbe ezen időszak alatt manuálisan nem tekintettek be, megsemmisítésre kerülnek, míg azokat a PNR-adatokat, amelyekbe a kezdeti 3,5 évben manuálisan betekintettek, a CBP archívumba helyezi, ahol további nyolc év tárolás után megsemmisítik azokat(118).
242. E rendelkezésből következik, hogy a PNR‑ből eredő adatok átlagos megőrzési ideje három év és hat hónap, kivéve az ezen időszak alatt manuális betekintésre felhasznált adatokat. Úgy vélem, hogy ezen időtartam nem nyilvánvalóan túlzott, figyelemmel különösen arra a tényre, amint a Tanács is rámutat, hogy a terrorista merényleteket vagy egyéb súlyos bűncselekményeket követő nyomozás néha több évig is eltarthat. Következésképpen, bár elvben kívánatos, hogy a személyes adatokat rövid ideig őrizzék, jelen ügyben a PNR‑ből származó adatok tárolási idejét a hasznosságuk fényében kell megítélni, nem csupán a terrorizmus megelőzése céljából, hanem szélesebb értelemben bűnüldözési célból is.
243. E megfontolásokra tekintettel az adatok tárolási rendszere, ahogyan azt a kötelezettségvállalási nyilatkozat 15. bekezdése előírja, úgy tűnik számomra, hogy nem sérti nyilvánvalóan a magánélet tiszteletben tartásához való jogot.
244. Harmadsorban a Parlament azt rója a PNR-rendszer terhére, hogy a személyes adatok amerikai hatóságok általi feldolgozásával szemben nem biztosít bírósági felülvizsgálatot.
245. Megjegyzem, hogy mind a 108. egyezmény, mind a 95/46 irányelv előírja a bírósági felülvizsgálatot az e két jogi aktus szabályait végrehajtó nemzeti jogi rendelkezések megsértése esetére.(119)
246. Az EEJE 8. cikkének (2) bekezdése szempontjából véleményem szerint a kötelezettségvállalási nyilatkozat 36. és azt követő bekezdéseiben meghatározott, információval, az adatokhoz való hozzáféréssel és az érintett légi utasok számára fennálló jogorvoslattal kapcsolatos számos garancia lehetővé teszi az esetleges visszaélések elkerülését. E garanciák együttesére tekintettel úgy vélem, hogy – figyelemmel a Tanácsnak és a Bizottságnak jelen esetben elismerendő széles mérlegelési jogkörére –, a légi utasok magánéletébe történő beavatkozás arányos a PNR-rendszer által követett céllal.
247. Pontosabban meg kell jegyezni, hogy azon általános tájékoztatáson kívül, amelynek a légi utasok számára történő megadását a CBP vállalta,(120) a kötelezettségvállalási nyilatkozat 37. bekezdése előírja, hogy az érintett az információs szabadságról szóló törvénynek megfelelően(121) másolatot kérhet a CBP-adatbázisban szereplő vele kapcsolatos PNR-adatokról.(122)
248. Igaz, hogy a kötelezettségvállalási nyilatkozat 38. bekezdése előírja, hogy „bizonyos kivételes körülmények között” a CBP‑nek jogában áll, hogy az érintettre vonatkozó PNR-adat vagy egy részének közzétételét megtagadja, illetve elhalassza, például, ha a FOIA értelmében végrehajtott közzététel várhatóan „ellentmond a végrehajtási eljárásoknak” vagy „bűnüldözési eljárásokat vagy módszereket hoz nyilvánosságra”. Azonban azon kívül, hogy a CBP számára fennálló e lehetőséget törvény szabályozza, meg kell jegyezni, hogy a kötelezettségvállalási nyilatkozat ugyanezen bekezdése alapján a FOIA „értelmében bárkinek, aki kérdést fogalmaz meg, jogában áll közigazgatási vagy bírósági útonkifogásolni, ha a CBP az információ visszatartásáról dönt.(123)
249. Továbbá, ami a CBP adatbázisában található PNR-adatok helyesbítésére vonatkozó kérelmeket, illetve ez utóbbi által magánszemélyek PNR-adatainak kezelésével kapcsolatos egyéni panaszokat illeti, a kötelezettségvállalási nyilatkozat 40. bekezdése kimondja, hogy ezeket a CBP „Assistant Comissioner” részére kell küldeni.(124)
250. Ennélfogva, ha a CBP nem tudja orvosolni a panaszt, akkor azt a Chief Privacy Officernek kell megküldeni.(125)
251. Egyébiránt a kötelezettségvállalási nyilatkozat 42. bekezdése szerint „a DHS Privacy Office által a tagállamok adatvédelmi hatóságai (DPA) által felé továbbított és az Európai Unió területén lakóhellyel rendelkező polgártól beérkező panaszokat gyorsított eljárásban kezeli, ha a kérdéses polgárok felhatalmazzák a DPA‑t arra, hogy az ő nevükben lépjen fel, illetve úgy vélik, hogy PNR‑rel kapcsolatos panaszukat a CBP vagy a DHS Privacy Office nem vizsgálta ki kielégítően e kötelezettségvállalások 37–41. bekezdésének megfelelően”.
252. Ugyanezen bekezdés azt is előírja, hogy egyrészt a Privacy Office „következtetéseit jelentésbe foglalja, és minden meghozott intézkedésről értesíti az érintett adatvédelmi hatóságokat”. másrészt a DHS Chief Privacy Officernek „a Kongresszushoz intézett jelentése tartalmazza a személyes adatok – mint a PNR – kezelésével kapcsolatos panaszokat és azok orvoslását”(126).
253. A Parlament helyesen jegyzi meg, hogy a Chief Privacy Officer nem bírósági szerv. Mindazonáltal megjegyzem, hogy a belbiztonsági minisztériumtól bizonyos fokban független közigazgatási szervről van szó, amelynek határozatai kötelező erejűek.(127)
254. Ennélfogva a légi utasoknak biztosított azon lehetőség, hogy a Chief Privacy Officernél panaszt tehetnek, és hogy a FOIA keretében bírósági felülvizsgálat illeti meg őket, jelentős garanciáknak minősülnek a magánélet tiszteletben tartásához való jog szempontjából. E garanciák miatt úgy vélem, hogy a Tanács és a Bizottság nem lépte túl a mérlegelési jogkörének határait a PNR-rendszer elfogadása során.
255. Végül a Parlament úgy véli, hogy a PNR-rendszer túlmegy azon, ami a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelemhez szükséges, mivel lehetővé teszi a légi utasok adatainak továbbítását más hatóságoknak. Szerinte a CBP szabadon mérlegeli a PNR-adatoknak más hatóságok részére történő továbbítását, beleértve külföldi kormányzati szerveket is, amely összeegyeztethetetlen az EEJE 8. cikkének (2) bekezdésével.
256. Nem osztom ezt a véleményt. Itt ugyanis a PNR-adatok más kormányzati szervekhez történő továbbítását övező garanciák véleményem szerint megint úgy tekinthetők, hogy a légi utasok magánéletébe történő beavatkozás arányos a PNR-rendszer által követett céllal.
257. Még ha a kötelezettségvállalási nyilatkozat jelentős mérlegelési jogkört is ismer el a CBP‑nek, megjegyzem, hogy e jogkörnek vannak keretei. Így a kötelezettségvállalási nyilatkozat 29. bekezdése alapján PNR-adat kormányzati szerveknek – beleértve a „terrorizmusellenes vagy bűnüldözési tevékenységet folytató külföldi kormányokat” – egyedi elbírálási alapon csak olyan célokból továbbítható, „amelyek a 3. bekezdésben felsorolt események megelőzését és leküzdését szolgálják”. A nyilatkozat 30. bekezdése alapján a CBP először megállapítja, hogy a PNR-adat egy másik kijelölt hatóság előtti felfedése összeegyeztethető‑e a megállapított célokkal.
258. Igaz, hogy a kötelezettségvállalási nyilatkozat 34. és 35. bekezdése szélesíti e célokat, mivel lehetővé teszi egyrészt a PNR-adatok felhasználását vagy közzétételét a megfelelő kormányzati szervek által vagy felé, „ha ez szükséges az érintett vagy más személyek létfontosságú érdekének védelméhez, különös tekintettel az egészséget jelentősen fenyegető kockázatokra”, másrészt PNR-adatok felhasználását vagy közzétételét „büntetőjogi bírósági eljárásban, vagy más, törvény által meghatározott esetben”.
259. Mindazonáltal azon kívül, hogy e célok nagyrészt kötődnek a PNR-rendszer által követett törvényes célhoz, megjegyzem, hogy a kötelezettségvállalási nyilatkozat tartalmaz bizonyos garanciákat. Így például annak 31. bekezdése előírja, hogy „a többi kijelölt hatósággal is megosztható PNR-adatok terjesztésének szabályozása tekintetében az adat »gazdája« a CBP, és a kijelölt hatóságokat a közzététel egyértelmű feltételei értelmében” több kötelezettség terheli. Az adatokat befogadó hatóságokat terhelő e kötelezettségek között megjelenik, hogy: „összhangban a kijelölt hatóságok adattárolási eljárásaival kötelesek biztosítani a beérkezett PNR-adatok rendszeres megsemmisítését” és „az adatok bármilyen továbbításához kötelesek elnyerni a CBP kifejezett felhatalmazását”.
260. Továbbá a kötelezettségvállalási nyilatkozat 32. pontja kimondja, hogy „[a] PNR-adatokat a CBP aszerint teszi közzé, hogy az adott adatot a befogadó ügynökség bizalmas kereskedelmi és a bűnüldözés szempontjából fontos információként, vagy az érintettről szóló bizalmas, személyes információként kezeli […], amely utóbbi a Freedom of Information Act […] értelmében nem hozható nyilvánosságra”. Ezenkívül ugyanezen bekezdés utal arra, hogy „[a] fogadó ügynökséget értesíteni kell arról, hogy az ilyen információ továbbadása tilos a CBP előzetes kifejezett felhatalmazása nélkül”, ez utóbbi nem engedélyezi „a PNR-adatok továbbítását a 29., 34. és 35. bekezdésben említett céloktól eltérő esetekben”. Végül a 33. bekezdés úgy rendelkezik, hogy „[a] kijelölt hatóságok alkalmazásában álló, és PNR-adatokat felhatalmazás nélkül közzétevő személyek büntetőjogi intézkedéssel is sújthatók”.
261. Véleményem szerint e garanciák összességére tekintettel nem lehet úgy tekinteni, hogy a Tanács és a Bizottság túllépte széles mérlegelési jogkörének határait, amelyet – úgy gondolom, hogy – számukra el kell ismerni a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem érdekében.
262. Ebből következik, hogy a személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapok nem alaposak, következésképpen azokat el kell utasítani.
D – A tanácsi határozat nem megfelelő indokolására alapított jogalapról
263. A Parlament azzal érvel, hogy a tanácsi határozat nem felel meg az EK 253. cikkben előírt indokolás követelményének. Azt sérelmezi e határozattal szemben, hogy semmiféle magyarázatot nem tartalmaz arra nézve, hogy ezen aktusnak tárgya‑e – és mennyiben – a belső piac működése.
264. Ellenben az Egyesült Királyság és a Bizottság által támogatott Tanács úgy véli, hogy határozatának indokolása megfelel a Bíróság által támasztott követelményeknek.
265. Véleményem szerint a tanácsi határozat indokolása, még ha rövid is, megfelelő.
266. A Bíróság állandó ítélkezési gyakorlata szerint az EK 253. cikk által megkövetelt indokolásnak „a szóban forgó aktus jellegének kell megfelelnie, továbbá világosan és egyértelműen fel kell tüntetnie az aktust elfogadó intézmény indokolását oly módon, hogy az érintettek megismerhessék az elfogadott intézkedés indokait, és a Bíróság gyakorolhassa a felülvizsgálatot”. Ezen ítélkezési gyakorlatból következik, hogy „az indokolásnak nem kell az összes lényeges ténybeli és jogi elemet részleteznie, mivel azon kérdést, hogy az indokolás megfelel‑e az [EK 253. cikk] követelményeinek, nem csupán a szövegezése alapján, hanem a kontextus és az érintett tárgyat szabályozó jogszabályok összessége alapján kell megítélni”(128).
267. Az aktus jellegét illetően emlékeztetni kell arra, hogy a határozat elsődleges tárgya a Közösség és az Egyesült Államok közötti megállapodásnak az előbbi nevében történő jóváhagyása. A határozat e tekintetben tartalmazza a szükséges részleteket a követett eljárásra vonatkozóan, vagyis a Tanács által az EK 300. cikk (2) bekezdésének első albekezdésében meghatározott eljárásnak megfelelő elfogadást, valamint arra történő utalást, hogy a Szerződés 300. cikke (3) bekezdésének első albekezdése szerint a Tanács által meghatározott határidőn belül a Parlament nem terjesztett elő véleményt. Megjegyzem ezenkívül, hogy a tanácsi határozat bevezető hivatkozása megemlíti az EK 95. cikket.
268. Továbbá, figyelemmel a határozat különös jellegére, amelyet nem lehet teljesen elkülöníteni a tárgyát képező nemzetközi megállapodástól, az indokolás elegendő voltának ellenőrzése véleményem szerint a megállapodás preambulumát is magában kell, hogy foglalja. E tekintetben a tanácsi határozat és a megállapodás preambulumának együttes olvasata lehetővé teszi – amint azt a megelőző jogalapok vizsgálata mutatja – a Bíróság számára a felülvizsgálatot, különösen ami a választott jogi alap megfelelő jellegét illeti.
269. Következésképpen úgy vélem, hogy a tanácsi határozat nem megfelelő indokolására alapított jogalap nem megalapozott, ezért el kell utasítani.
E – Az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértésére alapított jogalapról
270. E jogalappal a Parlament fenntartja, hogy még ha az EK 300. cikk (3) bekezdésének első albekezdése lehetővé is teszi a Tanácsnak, hogy az ügy sürgősségétől függően határidőt állapítson meg a Parlament számára véleménye közlésére, és a Bíróság előzetes véleményének kikérésére vonatkozó, az EK 300. cikk (6) bekezdésében előírt eljárás nem felfüggesztő hatályú, a Tanács a megállapodás elfogadási eljárása során megsértette az EK 10. cikkben előírt, őt terhelő jóhiszemű együttműködés kötelezettségét.
271. A Bizottság és az Egyesült Királyság által támogatott Tanács úgy véli, hogy a megállapodás megkötésével nem sértette meg a jóhiszemű együttműködés kötelezettségét, a Parlament ennek ellenére az EK 300. cikk (6) bekezdése alapján a Bíróság véleményét kérte.
272. Az EK 10. cikk a tagállamok számára előírja a közösségi intézményekkel szembeni jóhiszemű együttműködés kötelezettségét, de nem mondja ki kifejezetten az intézmények közötti jóhiszemű együttműködés alapelvét. Mindazonáltal a Bíróság úgy ítélte meg, hogy az intézményközi párbeszéd során – amelyen a konzultációs eljárás is alapul – ugyanazok, a jóhiszemű együttműködésre vonatkozó kölcsönös kötelezettségek irányadók, mint amelyek a tagállamok és a közösségi intézmények közötti kapcsolatokat szabályozzák.(129)
273. A jelen ügy tényállásából kiderül, hogy 2004. március 17‑én a Bizottság megküldte a Parlamentnek a tanácsi határozat iránti javaslatot, és a Tanács 2004. március 25‑i levelében azt kérte, hogy a Parlament legkésőbb 2004. április 22‑ig adjon véleményt e javaslatról. E levélben a Tanács hangsúlyozta, hogy „[a] javasolt intézkedések indoka a terrorizmus elleni küzdelem, amely az Európai Unió alapvető prioritása. Jelenleg a légi fuvarozók és az utasok bizonytalanságban vannak, amit sürgősen fel kell oldani. Továbbá lényeges az érintettek pénzügyi érdekeinek védelme is.
274. A Parlament 2004. április 21‑én az EK 300. cikk (6) bekezdésének megfelelően úgy határozott, hogy a Bíróság véleményét kéri a tervezett megállapodásnak a Szerződés rendelkezéseivel való összeegyeztethetőségéről.
275. A Tanács április 28‑án az EK 300. cikk (3) bekezdésének első albekezdése alapján levelet intézett a Parlamenthez, amelyben azt kérte, hogy a Parlament 2004. május 5‑ig adjon véleményt a megállapodás megkötéséről szóló határozat tervezetéről. A kérelem sürgősségét a 2004. március 25‑i levelében előadottakkal indokolta.
276. E sürgősség iránti kérelmet a Parlament elutasította, amelynek elnöke felszólította a Tanácsot és a Bizottságot, hogy ne folytassák eljárásukat, amíg a Bíróság meg nem hozza a 2004. április 21‑én kért véleményét. A Tanács ennek ellenére 2004. május 17‑én elfogadta a megtámadott határozatot.
277. Nem gondolom, hogy a Tanács megsértette a jóhiszemű együttműködés kötelezettségét a Parlamenttel szemben, amikor elfogadta a megállapodást a Közösség nevében jóváhagyó határozatot, a Parlament által az EK 300. cikk (6) bekezdése alapján benyújtott, a Bíróság véleményét kérő eljárás befejeződése előtt.
278. Ugyanis, amint azt maga a Parlament is elismeri, a Bíróság véleményének kérése iránti eljárás nem felfüggesztő hatályú. Annak megindítása tehát nem akadályozza a Tanácsot a megállapodást jóváhagyó határozat meghozatalában míg az eljárás folyamatban van, még akkor sem, ha a Bíróság véleménye iránti kérelem benyújtása és a megállapodást jóváhagyó határozat közötti időtartam – mint jelen esetben – viszonylag rövid.
279. E tekintetben utalni kell arra, hogy az EK 300. cikk (6) bekezdése alapján benyújtott, a Bíróság véleménye iránti kérelem felfüggesztő hatályának hiánya levezethető mind e cikk megfogalmazásából, amely nem írja elő kifejezetten a felfüggesztő hatályt, mind a Bíróság ítélkezési gyakorlatából. Ugyanis a 3/94. sz. véleményében(130) úgy ítélte meg, hogy az ilyen vélemény iránti kérelem tárgytalanná válik, és nem szükséges arra választ adni, ha a megállapodást, amelyre a kérelem vonatkozik, és amely a Bíróság megkeresésekor tervezett megállapodás volt, időközben megkötötték. A Bíróság azt is kifejtette, egyrészt, hogy az EK 300. cikk (6) bekezdése szerinti eljárás „célja elsőként az, hogy megelőzze a Közösséget kötelező nemzetközi megállapodásoknak a Szerződéssel való összeegyeztethetetlenségéből eredő nehézségeket és nem a véleményt kérő tagállam vagy a közösségi intézmény érdekeinek és jogainak védelme”(131), másrészt „[a] vélemény iránti kérelmet benyújtó állam, illetve közösségi intézmény a Tanácsnak a megállapodás megkötéséről szóló határozatával szemben mindenképpen indíthat megsemmisítés iránti keresetet […]”(132).
280. Egyébiránt mind az iratokból, mind a tanácsi határozat második preambulumbekezdéséből az következik, hogy a Tanács kellően megindokolta a sürgősséget, amelyre a Parlament véleményének rövid határidőn belül történő kérését alapozta az EK 300. cikk (3) bekezdése első albekezdésének megfelelően. Megjegyzem végül, hogy ez utóbbi kimondja, hogy „[h]a ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat”.
281. Figyelemmel ezen elemek összességére, úgy vélem, hogy a Tanácsot terhelő, jóhiszemű együttműködés kötelezettségének megszegésén alapuló jogalap nem megalapozott, ezért el kell utasítani.
VII – A költségekről
282. A C‑318/04. sz. ügyben a Parlament által benyújtott kereset megalapozott, ez azt jelenti, hogy a Bíróság eljárási szabályzata 69. cikke 2. §‑ának megfelelően a Bizottság viseli a költségeket. Ugyanezen szabályzat 69. cikkének 4. §‑a alapján az eljárásba beavatkozó felek, nevezetesen az Egyesült Királyság és az EAB maguk viselik saját költségeiket.
283. A C‑317/04. sz. ügyben a Parlament által benyújtott kereset megalapozott, ez azt jelenti, hogy a Bíróság eljárási szabályzata 69. cikke 2. §‑ának megfelelően a Bizottság viseli a költségeket. Ugyanezen szabályzat 69. cikkének 4. §‑a alapján az eljárásba beavatkozó felek, nevezetesen az Egyesült Királyság, a Bizottság és az EAB maguk viselik saját költségeiket.
VIII – Végkövetkeztetések
284. Az előző megfontolások összessége alapján azt javaslom, hogy a Bíróság:
„– a C‑318/04. sz. ügyben semmisítse meg az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i 2004/535/EK bizottsági határozatot;
– a C‑317/04. sz. ügyben semmisítse meg az Európai Unió és az Egyesült Államok közötti, a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i 2004/496/EK tanácsi határozatot.”
1 – Eredeti nyelv: francia.
2 – 2004/496/EK határozat (HL L 183., 83. o., a továbbiakban: tanácsi határozat).
3– 2004/535/EK határozat (HL L 235., 11. o., a továbbiakban: megfelelőségi határozat).
4 – E problémakör a Közösségnek harmadik országokkal való kapcsolatait is érinti. Így jelzem, hogy ugyanolyan jellegű megállapodást írt alá az Európai Közösség és Kanada 2005. október 3‑án, mint a 317/04. sz. ügyben szereplő.
5 – Lásd a 2001. november 19‑i Aviation and Transportation Security Actet (ATSA)(Public Law 107–71, 107th Congress, title 49, United States Code, section 44909(c)(3)). Ezt a törvényt az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodája által elfogadott végrehajtási rendeletek követték (United States Bureau of Customs and Border Protection, a továbbiakban: CBP), mint például a Federal Registerben (amerikai szövetségi nyilvántartás) 2001. december 31‑én közzétett Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States és a Federal Registerben 2002. június 25‑én közzétett Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States (19. cím, Code of Federal Regulations, section 122.49b).
6 – Az 1999. február 8‑i 323/1999/EK rendelettel (HL L 40., 1. o.; magyar nyelvű különkiadás 7. fejezet, 4. kötet, 251. o.) módosított, a számítógépes helyfoglalási rendszerek ügyviteli szabályzatáról szóló, 1989. július 24‑i 2299/89/EGK tanácsi rendelet (HL L 220., 1. o.; magyar nyelvű különkiadás 7. fejezet, 1. kötet, 277. o.).
7 – HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o., a Bizottságot az EK‑Szerződés 251. cikkében említett eljárásnak megfelelően elfogadott jogi aktusokban megállapított végrehajtási hatásköreinek gyakorlása során segítő bizottságokkal kapcsolatos rendelkezéseknek az 1999/468/EK tanácsi határozathoz történő hozzáigazításáról szóló, 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel (HL L 284., 1. o.; magyar nyelvű különkiadás 1. fejezet, 4. kötet, 447. o.) módosított irányelv.
8 – E munkacsoportot a 95/46 irányelv alapján hozták létre. Független tanácsadó szervezetről van szó, amely a személyesadat-feldolgozás vonatkozásában az egyének védelme területén lép fel. Feladatait a fenti irányelv 30. cikke, valamint az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv („elektronikus hírközlési adatvédelmi irányelv”) (HL L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) 15. cikkének (3) bekezdése határozza meg.
9 – Az Egyesült Államokban az utasok adatainak továbbítása számára biztosított védelmi szintről szóló 4/2003. sz. vélemény.
Lásd a http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm. internetoldalt.
10 – Az Egyesült Államok Vámügyi és Határvédelmi Irodája (US CBP) rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok (PNR) megfelelő védelméről szóló 2/2004. sz. vélemény.
Lásd a http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2004_fr.htm. internetoldalt.
11– Az 1999/468/EK határozat (HL L 184., 23. o.; magyar nyelvű különkiadás 1. fejezet, 3. kötet, 124. o.).
12 – Lásd a jelen indítvány 8. pontját.
13 – Keresetlevelében a Parlament azzal indokolja az elutasítást, hogy a tanácsi határozati javaslatnak nem állt rendelkezésre mindegyik nyelvi változata.
14– E vélemény iránti kérelmet a Bíróság elnöke 2004. december 16‑i végzésével törölte a Bíróság nyilvántartásából.
15 – Európai szerződések sorozat, 108. szám (a továbbiakban: 108. egyezmény). Ezen egyezmény 1985. október 1‑jén lépett hatályba. Az Európa Tanács Miniszteri Bizottsága 1999. június 15‑én módosításokat fogadott el az egyezményhez az Európai Közösségek csatlakozásának lehetővé tétele érdekében (e módosításokat jelenleg nem fogadta el minden, a 108. egyezményben részes állam). Lásd a 108. egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló 2001. november 8‑án aláírt és 2004. július 1‑jén hatályba lépett kiegészítő jegyzőkönyvét is (Európai szerződések sorozat, 181. szám).
16 – HL C 364., 1. o. Az Európai Parlament, a Tanács és a Bizottság elnöke által 2000. december 7‑én a Nizzai Európai Tanács során aláírt chartát az európai alkotmány létrehozásáról szóló, jelenleg még nem hatályos szerződés (HL 2004. C 310., 41. o.) II. része tartalmazza. Amint azt az Európai Közösségek Elsőfokú Bírósága hangsúlyozta, „bár [az Európai Unió Alapjogi Chartája] nem bír kötelező erővel, a közösségi jogrendben mutatja a benne foglalt jogok jelentőségét”. Lásd a T‑377/00., T‑379/00., T‑380/00., T‑260/01. és T‑272/01. sz., Philip Morris International és társai kontra Bizottság egyesített ügyekben 2003. január 15‑én hozott ítélet (EBHT 2003., II‑1. o.) 122. pontját.
17 – Az EK 286. cikk (2) bekezdése pedig a következőképpen szól:
„Az (1) bekezdésben említett időpontot megelőzően a Tanács a 251. cikkben megállapított eljárásnak megfelelően független ellenőrző szervet hoz létre, amely figyelemmel kíséri az ilyen közösségi jogi aktusok közösségi intézményekre és szervekre történő alkalmazását, és szükség szerint egyéb megfelelő rendelkezéseket fogad el.”
Az EK 286. cikk alapján fogadták el a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendeletet (HL 2001. L 8., 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet, 102. o.).
18 – Az általános környezet – amelyben az irányelvet kidolgozták – és az irányelv rendelkezéseinek részletes bemutatása érdekében lásd de Boulanger, M.-H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau D., és Poullet, Y., „La protection des données à caractère personnel en droit communautaire”, JTDE, 1997., 40., 41. és 42. szám. Lásd Simitis, S., Data Protection inthe European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, Volume VIII, Book I, 2001., 95. o. is. Felhívom a figyelmet arra is, hogy különös irányelv, nevezetesen a 2002/58 irányelv szabályozza az elektronikus hírközlési ágazatot.
19 – Hetedik preambulumbekezdés.
20 – Nyolcadik preambulumbekezdés.
21 – Kilencedik preambulumbekezdés.
22 – Példaként említhetők a személyek mozgásához, az elektronikus kereskedelemhez és a vállalkozások csoportján belüli továbbításhoz kapcsolódó adatáramlást.
23 – A 95/46 irányelv ötvenhetedik preambulumbekezdése.
24 – A Benelux Gazdasági Unió államai, a Németországi Szövetségi Köztársaság és a Francia Köztársaság kormányai között a közös határaikon történő ellenőrzések fokozatos megszüntetéséről szóló, 1985. június 14‑i Schengeni Megállapodás végrehajtásáról szóló, Schengenben, 1990. június 19‑én aláírt egyezmény (HL 2000. L 239, 19. o.; magyar nyelvű különkiadás 19. fejezet, 2. kötet, 9. o.).
25 – Lásd az említett egyezmény 102–118. cikkét. A második generációs Schengeni Információs Rendszerről (SIS II) lévén szó, a Bizottság javaslatokat terjesztett elő a Tanács által egy határozat (COM(2005) 230 végleges) és két rendelet (COM(2005) 236 végleges és COM(2005) 237 végleges) elfogadása érdekében.
26 – HL 1995. C 316., 2. o.; magyar nyelvű különkiadás 19. fejezet, 1. kötet, 7. o. (a továbbiakban: Europol-egyezmény).
27 – A bűnözés súlyos formái elleni fokozott küzdelem céljából az Eurojust létrehozásáról szóló, 2002. február 28‑i tanácsi határozat (HL L 63., 1. o.; magyar nyelvű különkiadás 19. fejezet, 4. kötet, 197. o., a továbbiakban: Eurojust-határozat). Lásd e határozat 14. és azt követő cikkeit.
28 – HL 2005. C 68., 1. o.
29 – HL 1995. C 316., 34. o. Lásd a fenti egyezménynek különösen a 13., 14., 15., 17. és 18. cikkét.
30 – Az Európai Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezménynek az Európai Unióról szóló szerződés 34. cikke szerinti létrehozásáról szóló, 2000. május 29‑i tanácsi jogi aktus. (HL 2000. C 197., 1. o.; magyar nyelvű különkiadás 19. fejezet, 1. kötet, 172. o.). Lásd különösen ennek 23. cikkét.
31 – COM(2005) 475 végleges. Ez a kerethatározat-javaslat az EU‑Szerződés 30., 31. és a 34. cikke (2) bekezdésének b) pontján alapul. A javaslat a szabadság, a biztonság és a jog érvényesülése megerősítéséről szóló hágai program (HL 2005. C 198., 1. o. (3.1.) bekezdés) végrehajtására irányuló tanácsi és bizottsági cselekvési terv által előírt intézkedések egyike.
32– A megfelelőségi határozatot – mint a 95/46 irányelv végrehajtási rendelkezését – az irányelv 31. cikkének (2) bekezdése alapján fogadták el, amely maga is előírja az 1999/468 határozat alkalmazását. A Bizottságot a fenti irányelv végrehajtási rendelkezésének elfogadása során a tagállamok képviselőiből álló bizottság segíti, amelynek elnöke a Bizottság képviselője. Jelen esetben a „31. cikk” bizottságról van szó.
33 – Lásd a kötelezettségvállalási nyilatkozat 47. bekezdését.
34 – A következő adatelemekről van szó: „1) Nyilvántartási helymeghatározó kód; 2) A foglalás időpontja; 3) Tervezett indulási időpont(ok); 4) Név; 5) A PNR‑ben szereplő egyéb nevek; 6) Cím; 7) A fizetés módjával kapcsolatos információk; 8) Számlázási cím; 9) Kapcsolattartó személy(ek) telefonszáma(i); 10) Az utazás útvonalával kapcsolatos PNR információk; 11) Törzsutas adatok (csak a repült mérföldek száma és a cím(ek)); 12) Utazási iroda; 13) Utazási ügynök; 14) Code share (megosztott járattal kapcsolatos) PNR információ; 15) Az utas utazási státusza; 16) Megosztott/kettős PNR információ; 17) E‑mail cím; 18) A jegy kiállításával kapcsolatos információk; 19) Általános megjegyzések; 20) A repülőjegy száma; 21) Az ülés száma; 22) A jegy kiállításának időpontja; 23) No-show (jegykezelésre nem jelentkezett utas); 24) A csomagjegy száma; 25) Go show (foglalás nélkül utazó utas); 26) OSI-információ; 27) SSI/SSR-információ; 28) A foglalást készítő, vagy azt módosító utas; 29) A PNR utólagos módosításai; 30) A PNR-ben nyilvántartott utazók száma; 31) Üléshelyzet; 32) Csak odaútra szóló jegy; 33) Összegyűjtött APIS-információk; 34) ATFQ-mezők”.
35– A továbbiakban: megállapodás.
36 – Lásd az Európai Közösség és az Amerikai Egyesült Államok között a légi szállítók PNR-adatainak az Egyesült Államok Védelmi Minisztériuma Vám- és Határvédelmi Igazgatóságának részére történő feldolgozásáról és átadásáról szóló megállapodás hatálybalépésének időpontjára vonatkozó információkat (HL 2004. C 158. 1. o.).
37 – E tekintetben meg kell említeni, hogy a megállapodás preambuluma hibásan hivatkozik a megfelelőségi határozatra. Valójában a C(2004) 1914 szám alatt közölt, 2004. május 14‑i 2004/535/EK határozatról van szó, és nem a 2004. május 17‑i C(2004) 1799 határozatról. E hibát az Európai Közösségek Hivatalos Lapjában helyesbítették. Lásd a megállapodás helyesbítő jegyzőkönyvét (HL 2005. L 255., 168. o.).
38 – A légiutas-szállítók általi adattovábbítás a „push” elnevezésű rendszernek felel meg, míg a CBP közvetlen hozzáférése ezen adatokhoz a „pull” rendszernek.
39 – A megfelelőségi határozatról van szó, a megállapodás preambulumában említett egyetlen „határozat”‑ról.
40 – Ugyanazon megjegyzés, mint az előző lábjegyzetben.
41 – A megállapodás 5. bekezdése.
42 – A megállapodás 6. bekezdése.
43 – Sorrendben a Bíróság elnökének 2004. november 18‑i és 2005. január 18‑i végzése.
44 – A Bíróság 2005. március 17‑i végzése.
45 – A Bíróság elnökének 2004. december 17‑i végzése.
46 – A Bíróság 2005. március 17‑i végzése.
47 – A C‑101/01. sz. Lindqvist‑ügyben 2003. november 6‑án hozott ítélet (EBHT 2003., I‑12 971. o.) 63. pontja.
48 – Emlékeztetek arra, hogy e tényezők között megjelenik különösen az adatok jellege, a tervezett adatfeldolgozási művelet vagy műveletek célja és időtartama.
49 – A fent hivatkozott Lindqvist‑ügyben hozott ítélet 56. pontja. Ebben az ügyben a Bíróság kimondta, hogy személyes adatoknak egy internetoldalra való beírása csupán abból az okból, hogy így harmadik országbeli személyek számára hozzáférhetővé válik, nem minősül „harmadik országba történő adattovábbítás”‑nak a 95/46 irányelv 25. cikke értelmében. E végkövetkeztetéshez a Bíróság figyelembe vette egyrészt a szóban forgó műveletek technikai jellegét, és másrészt a fenti irányelv 25. cikkét tartalmazó IV. fejezetének célját és szerkezetét.
50 – Még ha az adatot a szóban forgó harmadik ország belső közigazgatási szervezetének egy konkrét egysége kapja is meg.
51– Érdemes megjegyezni, hogy a személyesadat-feldolgozás és -továbbítás fogalmak bizonyos mértékben átfedik egymást. Így a közlés továbbítása, terjesztése vagy hozzáférhetővé tétele számomra úgy tűnik, hogy egyszerre minősülhet adatfeldolgozásnak- és továbbításnak a fenti irányelv értelmében. Jelen ügyben a továbbítás és a feldolgozás fogalmak átfedik egymást, mivel a létrehozott rendszer célja a PNR-adatoknak a CBP részére történő hozzáférhetővé tétele. E megállapítást magyarázza véleményem szerint a feldolgozás nagyon széles meghatározása, amely a műveletek kiterjedt mintáját fedi. E feltevésben a harmadik országba történő adattovábbítás az adatkezelés speciális formájának tekinthető. Ebben az értelemben lásd a Bizottság kerethatározat-javaslatát, amelynek „[a] harmadik országok hatáskörrel rendelkező hatóságainak vagy nemzetközi szervezeteknek való továbbítására vonatkozó 15. cikke” a „Speciális feldolgozási formák” című III. fejezet része.
52 – Példaként megjegyzem, hogy a 95/46 irányelv alapján a személyes adatok Magyarországon biztosított megfelelő védelméről szóló, 2000. július 26‑i 2000/519/EK bizottsági határozat (HL L 215., 4. o.) az 1. cikkében úgy rendelkezik, hogy „a 95/46 irányelv 25. cikkének (2) bekezdésére tekintettel Magyarország úgy tekintendő, mint amely megfelelő védelmi szintet biztosít a Közösségtől továbbított személyes adatoknak az irányelv hatálya alá tartozó minden tevékenység esetében” (kiemelés tőlem).
53– Kiemelés tőlem. A fent hivatkozott Lindqvist‑ügyben hozott ítéletben a Bíróság azt mondta ki, hogy az irányelv 3. cikke (2) bekezdésének első francia bekezdésében példálózó jelleggel említett tevékenységek [...] minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé” (43. pont).
54 – Hatodik preambulumbekezdés.
55 – Hetedik preambulumbekezdés.
56 – Nyolcadik preambulumbekezdés.
57 – Lásd ebben az értelemben Poullet, Y. és Peres Asinan M. V., „Données des voyageurs aériens: le débat Europe – États-Unis” című cikkét, JTDE 2004., 113. szám, 274. o. E szerzők szerint „egy meghatározott típusú határon átnyúló adatáramlást törvényesítő megoldásnak garantálnia kell a külföldi közigazgatási szerveknek a terrorizmus elleni küzdelem érdekében történő adattovábbítás érvényességét [...], ami közismerten túlmegy egy első pillérbe tartozó irányelv hatályán”. Hozzáteszik, hogy „[e]z európai szinten egy harmadik pillérbe tartozó területnek felel meg, amely megkérdőjelezi a Bizottságnak a területen történő eljárási jogosultságát [...]”. Lásd De Schutter O., „La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme” in Lutte contre le terrorisme et droits fondamentaux; Bribosia E. és Weyembergh A. (ed.), Collection droit et justice, Bruylant, Brüsszel, 2002., 112. o., 43. jegyzet: a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése idézését követően a szerző megjegyzi, hogy „az irányelv hatályának korlátozása az Európai Közösség korlátozott hatáskörével magyarázható, a Közösség az emberi jogok területén nem rendelkezik általános jogalkotói hatáskörrel, hanem e területen ott járhat el, ahol és amennyiben – amint az irányelvvel is ez a helyzet –, a belső piac kialakításának megkönnyítése az áruk szabad mozgásának és a szolgáltatásnyújtás szabadságának akadályai eltörlésével jár”.
58 – A PNR-adatok feldolgozás alá kerülnek a Közösségen belül, amely abban áll, hogy a CBP részére hozzáférhetővé teszik azokat. A továbbítást követően is feldolgozzák azokat, a CBP általi felhasználás miatt.
59 – Ez nem jelenti azt, hogy a jelen ügyhöz hasonló körülmények között elfogadott megfelelőségi határozat az Európai Unió jogrendjében mentesülhet a személyes adatok védelmének lényeges garanciái – mint például a 108. egyezményben felsoroltak – betartásának kötelezettsége alól. Ebből a szempontból mégis úgy vélem, hogy a 95/46 irányelv nem a megfelelő hivatkozási alap, mivel – mint láttuk – a megfelelőségi határozat célja túlmegy az irányelv mint alapaktus hatályán. Ennélfogva – mivel nincs olyan másodlagos jogi norma, amely alkalmazandó lenne személyes adatoknak bűnüldözési és közbiztonsági célból való feldolgozása esetén – nem lehetséges az említett garanciákat elvont bírósági felülvizsgálatnak alávetni. Ilyen esetben a jogi védelem mégsem hiányzik. A személyes adatok védelme lényeges garanciáinak ellenőrzése ugyanis – mint látható lesz – szorosan kötődik az EEJE 8. cikkének (2) bekezdése által előírt feltételek vizsgálatához.
60 – A továbbiakban: PNR-rendszer.
61 – A 22/70. sz., Bizottság kontra Tanács ún. AETR‑ügyben 1971. március 31‑én hozott ítélet (EBHT 1971., 263. o.).
62 – Lásd különösen a C‑300/89. sz., Bizottság kontra Tanács ún. „titán-dioxid”‑ügyben 1991. június 11‑én hozott ítélet (EBHT 1991., I‑2867. o.) 10. pontját; a C‑84/94. sz., Egyesült Királyság kontra Tanács ügyben 1996. november 12‑én hozott ítélet (EBHT 1996., I‑5755. o.) 25. pontját; a C‑164/97. és 165/97. sz., Parlament kontra Tanács egyesített ügyekben 1999. február 25‑én hozott ítélet (EBHT 1999., I‑1139. o.) 12. pontját; a C‑269/97. sz., Bizottság kontra Tanács ügyben 2000. április 4‑én hozott ítélet (EBHT 2000., I‑2257. o.) 43. pontját; a C‑336/00. sz. Huber‑ügyben 2002. szeptember 19‑én hozott ítélet (EBHT 2002., I‑7699. o.) 30. pontját; a C‑338/01. sz., Bizottság kontra Tanács ügyben 2004. április 29‑én hozott ítélet (EBHT 2004., I‑4829. o.) 54. pontját és a C‑176/03. sz., Bizottság kontra Tanács ügyben 2005. szeptember 13‑án hozott ítélet (EBHT 2005., I‑7879. o.) 45. pontját.
63 – A 45/86. sz., Bizottság kontra Tanács ügyben 1987. március 26‑án hozott ítélet (EBHT 1987., 1493. o.) 11. pontja.
64 – Az EK 300. cikknek (6) bekezdése alapján hozott 2/00. sz. 2001. december 6‑i vélemény (EBHT 2000., I‑9713. o.) 5. pontja.
65 – A következőkben a „terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem” kifejezést használom e cél jelölésére.
66 – Sőt mi több, a terrorizmus olyan nemzetközi jelenség, amely kijátssza a területi akadályokat.
67 – Lásd Tesauro főtanácsnok indítványának 10. pontját a fent hivatkozott „titán-dioxid”‑ügyben.
68 – A C‑376/98. sz., Németország kontra Parlament és Tanács ügyben 2000. október 5‑én hozott ítélet (EBHT 2000., I‑8419. o.) 83., 84. és 95. pontja és a C‑491/01. sz., British American Tobacco (Investments) és Imperial Tobacco ügyben 2002. december 10‑én hozott ítélet (EBHT 2002., I‑11 453. o.) 60. pontja.
69 – Lásd ebben az értelemben a C‑350/92. sz., Spanyolország kontra Tanács ügyben 1995. július 13‑án hozott ítélet (EBHT 1995., I‑1985. o.) 35. pontját, valamint a fent hivatkozott Németország kontra Parlament és Tanács ügyben hozott ítélet 86. pontját, a C‑377/98. sz., Hollandia kontra Parlament és Tanács ügyben 2001. október 9‑én hozott ítélet (EBHT 2001., I‑7079. o.) 15. pontját, a fent hivatkozott British American Tobacco (Investments) és Imperial Tobacco ügyben hozott ítélet 61. pontját és a C‑434/02. sz. Arnold André-ügyben 2004. december 14‑én hozott ítélet (EBHT 2004., I‑11 825. o.) 31. pontját.
70 – Lásd különösen a C‑426/93. sz., Németország kontra Tanács ügyben 1995. november 9‑én hozott ítélet (EBHT 1995., I‑3723. o.) 33. pontját.
71 – Lásd különösen a C‑155/91. sz., Bizottság kontra Tanács ügyben 1993. március 17‑én hozott ítélet (EBHT 1993., I‑939. o.) 19. és 21. pontját; a C‑42/97. sz., Parlament kontra Tanács ügyben 1999. február 23‑án hozott ítélet (EBHT 1999., I‑869. o.) 39. és 40. pontját; a C‑36/98. sz., Spanyolország kontra Tanács ügyben 2001. január 30‑án hozott ítélet (EBHT 2001., I‑779. o.) 59. pontját és a C‑281/01. sz., Bizottság kontra Tanács ügyben 2002. december 12‑én hozott ítélet (EBHT 2002., I‑12 049. o.) 34. pontját.
72 – Lásd különösen a fent hivatkozott Bizottság kontra Tanács ügyben 1991. június 11‑én hozott ítélet 13. és 17. pontját; a Parlament kontra Tanács ügyben 1999. február 23‑án hozott ítélet 38. és 43. pontját; a Huber‑ügyben hozott ítélet 31. pontját és a Bizottság kontra Tanács ügyben 2002. december 12‑én hozott ítélet 35. pontját.
73 – A fent hivatkozott Bizottság kontra Tanács ügyben 2002. december 12‑én hozott ítélet 46. pontja.
74 – A C‑465/00., C‑138/01. és a C‑139/01. sz., Österreichischer Rundfunk és társai egyesített ügyekben 2003. május 20‑án hozott ítélet (EBHT 2003., I‑4989. o.) 39. pontja. Figyelemmel arra, hogy a megállapodás és a 95/46 irányelv célja és tartalma eltér, azt is gondolom, hogy nem valószínű – amint azt a Bizottság állítja –, hogy az irányelvet érintette volna az AETR-ítélet értelmében, ha a tagállamok külön-külön vagy közösen kötöttek volna a közösségi kereten kívül ilyen jellegű megállapodást.
75 – Megjegyzem, hogy a légitársaságok birtokában lévő személyes adatok Egyesült Államokba történő továbbításának „harmadik pillér” dimenzióját néha említik. Így a „29. cikk” adatvédelmi csoport 2002. október 24‑i véleményében (az utasokra és a személyzet tagjaira vonatkozó információknak és egyéb adatoknak a légitársaságok által az Egyesült Államokba történő továbbításáról szóló 6/2002. sz. vélemény) kifejezhette azt a véleményt, amely szerint „[a]lapvetően egy harmadik ország hatóságai részére ezen ország közrendjéhez kapcsolódó okokból történő adattovábbítást a harmadik pillérben létrejött együttműködési mechanizmus kontextusában kell érteni (rendőrségi és igazságügyi együttműködés) [...]”. El kell kerülni a harmadik pillérben létrehozott együttműködési mechanizmusoknak az első pilléren keresztüli megkerülését. Lásd az alábbi internetoldalt:
http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2002_fr.htm.
76 – A hatóságok közötti közvetlen információcseréről szólva megemlítem az Europol igazgatójának a harmadik államokkal és nem európai uniós szervekkel kötendő megállapodásokra irányuló tárgyalások megkezdésére való felhatalmazásáról szóló, 2000. március 27‑i tanácsi határozatot (HL C 106., 1.o.). Ez alapján az Europol és az Egyesült Államok között a személyes adatok cseréjéről szóló megállapodást írtak alá 2002. december 20‑án.
77 – E probléma az adatoknak a telefónia- és elektronikus hírközlési szolgáltatók általi visszatartására vonatkozó intézményközi vita középpontjában található. E vita során kifejezett ellentétes álláspontok – e problémakörnek az első pillérben történő figyelembevételét támogatók és azok között, akik ellenkezőleg, úgy vélik, hogy a terület a harmadik pillérbe tartozik –, a kereskedelmi adatok bűnmegelőzési célú felhasználására vonatkozó problémakör egyszerre újszerűségéről és összetettségéről tanúskodnak. Lásd ezzel kapcsolatban a nyilvánosság számára hozzáférhető elektronikus hírközlési szolgáltatások nyújtásával kapcsolatban feldolgozott és tárolt adatoknak vagy a nyilvános hírközlési hálózaton keresztül továbbított adatoknak a bűncselekmények megelőzése, kutatása, felderítése és üldözése, beleértve a terrorizmust is, visszatartásáról szóló kerethatározat-javaslatot (a Francia Köztárasaság, Írország, Svéd Királyság és az Egyesült Királyság kezdeményezésére 2004. április 28‑án előterjesztett javaslat), és az ezzel versengő, a nyilvános elektronikus hírközlési szolgáltatások nyújtása keretében feldolgozott adatok megőrzéséről és a 2002/58 irányelv módosításáról szóló, a Bizottság által 2005. szeptember 21‑én előterjesztett európai parlamenti és tanácsi irányelvjavaslatot (COM(2005) 438 végleges).
78– Lásd a terrorizmus pénzeléséhez való hozzájárulással gyanúsított személyek és szervezetek elleni gazdasági és pénzügyi szankciók – mint például a pénzkészletek befagyasztása – elrendelését illetően az Elsőfokú Bíróság T‑306/01. sz., Yusuf és Al Barakaat International Foundation kontra Tanács és Bizottság ügyben 2005. szeptember 21‑én hozott ítélet (EBHT 2005., II‑3533. o.) 152. pontját, valamint T‑315/01. sz., Kadi kontra Tanács és Bizottság ügyben 2005. szeptember 21‑én hozott ítélet (EBHT 2005., II‑3649. o.) 116. pontját. Ezen ügyek különleges összefüggésében az Elsőfokú Bíróság mindazonáltal figyelembe vette „a Közösségnek az EK 60. cikk és az EK 301. cikk alapján elrendelt szankciókra vonatkozó tevékenységei és az EU‑Szerződés külkapcsolatok területén megfogalmazott céljai között a maastrichti felülvizsgálat során sajátosan létrehozott áthidalást” (a T‑306/01. sz. ügyben hozott ítélet 159. pontja és a T‑315/01. sz. ügyben hozott ítélet 123. pontja). Általánosabb jelleggel azt is megállapította, hogy „a nemzetközi terrorizmus és annak pénzelése elleni küzdelem vitathatatlanul az Uniónak a KKBP‑vel kapcsolatos – az EU 11. cikkben meghatározott – célkitűzései közé tartozik [...]” (a T‑306/01. sz. ügyben hozott ítélet 167. pontja és a T‑315/01. sz. ügyben hozott ítélet 131. pontja). Hozzáteszem, hogy az EU‑Szerződés 2. cikke szerint „[a]z Unió a következő célokat tűzi ki maga elé: [...]az Unió fenntartása és fejlesztése a szabadságon, a biztonságon és a jog érvényesülésén alapuló olyan térségként, ahol a személyek szabad mozgásának biztosítása a külső határok ellenőrzésére, a menekültügyre, a bevándorlásra, valamint a bűnmegelőzésre és bűnüldözésre vonatkozó megfelelő intézkedésekkel párosul [...]” (kiemelés tőlem). Továbbá az EU 29. cikkének második albekezdése szerint az Unió célja, hogy biztosítsa a polgárok magas szintű biztonságát egy olyan térségben, amely a szabadságon, a biztonságon és a jog érvényesülésén alapul, „ezt a célkitűzést a szervezett vagy egyéb bűnözés, így különösen a terrorizmus megelőzésével és az ezek elleni küzdelemmel valósítja meg [...]” (kiemelés tőlem). Az európai bűnügyi térség külső dimenziójáról lásd Kerchove, G. és Weyembergh, A., Sécurité et justice: enjeu de la politique extérieure de l’Union européenne, Éditions de l’Université de Bruxelles, 2003.
79 – A Bíróság már határozott egy másik, a Parlament hozzájárulását igénylő ügyben, nevezetesen „a Közösségre nézve jelentős költségvetési kihatással járó megállapodásokra” vonatkozóan: a C‑189/97. sz., Parlament kontra Tanács ügyben 1999. július 8‑án hozott ítélet (EBHT 1999., I‑4741. o.).
80 – Lásd Schmitter, C., „Article 228 ” c. művét, in Constantinesco, V., Kovar, R. és Simon, D., Traité sur l’Union européenne, commentaire article par article, Économica, 1995., 725. o., különösen a 43. pontot.
81 – Lásd ebben az értelemben Schmitter, C. idézett művét.
82 – E tekintetben jelzem, hogy az európai alkotmány létrehozásáról szóló szerződésben elfogadott megközelítés szélesebb és kedvezőbb a Parlament hozzájárulására vonatkozóan. E szerződésnek a nemzetközi megállapodások megkötésére irányuló eljárásokat szabályozó III‑325. cikke (6) bekezdése a) pontjának v) alpontjában előírja ugyanis, hogy a Tanács a megállapodás megkötéséről a Parlament egyetértését követően „a rendes törvényalkotási eljárás, vagy a különleges, az Európai Parlament egyetértéséhez kötött eljárás alkalmazási körébe tartozó területekre vonatkozó megállapodások megkötéséről” határozatot fogad el (kiemelés tőlem).
83 – Kiemelés tőlem.
84– A jelen indítvány 107. pontja.
85 – Lásd a jelen indítvány 109. és azt követő pontjait.
86 – A Parlament ezzel kapcsolatban a C‑108/01. sz., Consorzio del Prosciutto di Parma ügyben 2003. május 20‑án hozott ítélet (EBHT 2003., I‑5121. o.) 89. pontját idézi.
87 – A Parlament ezzel kapcsolatban az Europol-egyezményt idézi, amely a 8. cikkének (2) bekezdésében öt adat feldolgozását írja elő, valamint a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004. április 29‑i tanácsi irányelvet (HL L 261., 24. o.; magyar nyelvű különkiadás 19. fejezet, 7. kötet, 74. o.). Ezen irányelv – amelynek jogi alapja az EK 62. cikk (2) bekezdésének a) pontja és az EK 63. cikke (3) bekezdésének b) pontja – 3. cikke előírja azt a kötelezettséget a fuvarozók részére, hogy a külső határokon a személyek ellenőrzésének végrehajtásáért felelős hatóságok kérésére összesen kilenc adatot továbbítsanak.
88 – Véleménye szerint a 11. „»Törzsutas« adatok (csak a repült mérföldek száma és a cím[ek])”; a 19. „Általános megjegyzések” a 26. „OSI-információ (Other Service information)”; a 27. „SSI/SSR-információ (Special Service Request)” a 30. „A PNR‑ben nyilvántartott utazók száma” és a 33. „Összegyűjtött APIS-információk (Advanced Passenger Information System)” elemekről van szó.
89 – A 19., 26. és 27. adatelemről van szó (lásd az előző lábjegyzetet).
90 – A kötelezettségvállalási nyilatkozat 5. bekezdése a következőképpen rendelkezik:
„Az OSI- és SSI/SSR-adatelemek esetében (a továbbiakban rendszerint általános megjegyzések vagy nyílt mezők) a CBP automatizált rendszere a kért PNR-adatelemek listájában szereplő egyéb adatokra keresi e mezőket. A CBP személyzete nem jogosult arra, hogy kézi úton nézze át valamennyi OSI és SSI/SSR mezőt, kivéve, ha az adott PNR-utast a CBP a jelen dokumentum 3. bekezdésében meghatározott célok bármelyikével kapcsolatban álló magas kockázati besorolású utasként azonosítja.”
91 – A kötelezettségvállalási nyilatkozat 9. bekezdése előírja :
„A CBP a lent leírt különleges PNR-adatokat nem használja fel (pl. a faji vagy kisebbségi hovatartozással kapcsolatos személyes adatok, politikai nézet, vallási vagy filozófiai meggyőződések, szakszervezeti tagság, illetve az egyén egészségével vagy szexuális életével kapcsolatos adatok.”
A fenti nyilatkozat 10. bekezdése kimondja:
„A CBP a lehető legrövidebb határidőn belül egy olyan automatizált rendszert hoz létre, amely kiszűri és törli azokat a különleges PNR-kódokat és kifejezéseket, amelyeket a CBP az Európai Bizottsággal való konzultáció során határozott meg [...]”.
A kötelezettségvállalási nyilatkozat 11. bekezdése a következőképpen rendelkezik:
„Amíg ezek az automatizált szűrők nem működnek, a CBP álláspontja szerint nem használja és a jövőben sem fogja használni a különleges PNR-adatokat, és a 28–34. bekezdés értelmében vállalja, hogy a különleges adatokat törli a PNR továbbadásra szánt adatainak listájáról.”
A kötelezettségvállalási nyilatkozat e bekezdései a PNR-adatok más kormányzati szervekhez történő továbbítására vonatkoznak.
92 – Lásd különösen a 29/69. sz. Stauder-ügyben 1969. november 12‑én hozott ítélet (EBHT 1969., 419. o.) 7. pontját; a 11/70. sz., Internationale Handelsgesellschaft ügyben 1970. december 17‑én hozott ítélet (EBHT 1970., 1125. o.) 4. pontját és a 4/73. sz., Nold kontra Bizottság ügyben 1974. május 14‑én hozott ítélet (EBHT 1974., 491. o.) 13. pontját.
93 – Lásd különösen a C‑260/89. sz. ERT‑ügyben 1991. június 18‑án hozott ítélet (EBHT 1991., I‑2925. o.) 41. pontját; a C‑299/95. sz. Kremzow‑ügyben 1997. május 29‑én hozott ítélet (EBHT 1997., I‑2629. o.) 14. pontját és a C‑274/99. P. sz., Connolly kontra Bizottság ügyben 2001. március 6‑án hozott ítélet (EBHT 2001., I‑1611. o.) 37. pontját.
94 – Az 5/88. sz. Wachauf‑ügyben 1989. július 13‑án hozott ítélet (EBHT 1989., 2609. o.) 19. pontja.
95 – A 136/79. sz., National Panasonic kontra Bizottság ügyben 1980. június 26‑án hozott ítélet (EBHT 1980., 2033. o.) 18. és 19.pontja. E jog az orvosi titoktartáshoz való jogra vonatkozik (lásd a 62/90. sz., Bizottság kontra Németország ügyben 1992. április 8‑án hozott ítéletet [EBHT 1992., I‑2575. o.] és a C‑404/92. sz., X kontra Bizottság ügyben 1994. október 5‑én hozott ítéletet [EBHT 1994., I‑4737. o.]). Mivel a személyes adatok védelméhez való jogról van szó, ismét megemlítem a fent hivatkozott Österreichischer Rundfunk és társai ügyben hozott ítéletet, valamint a fent hivatkozott Lindqvist‑ügyben hozott ítéletet.
96 – Lásd az EJEB, 1990. április 24‑i Kruslin kontra Franciaország ítéletet, A. sorozat 176. szám, 27. §.
97 – Lásd az EJEB, 1988. március 24‑i Olsson kontra Svédország ítéletet, A. sorozat 130. szám 61. és 62. §. A korlátozásokat kellően pontos normatív rendelkezéseknek kell előírni annak lehetővé tétele érdekében, hogy az érintettek szükség esetén világos tanács igénybevételével irányíthassák magatartásukat (az EJEB, 1979. április 26‑i Sunday Times kontra Egyesült Királyság ítélete A. sorozat 30. szám, 49. §).
98 – Lásd a megfelelőségi határozat hatodik preambulumbekezdését és a határozathoz fűzött 2. és 3. lábjegyzetet.
99 – Lásd a kötelezettségvállalási nyilatkozat 36–42. bekezdését.
100 – Lásd a megállapodás helyesbítési jegyzőkönyvét, amely – emlékeztetek rá – a 2005. szeptember 30‑i HL L 255. számában került közzétételre.
101 – Emlékeztetek arra, hogy a megállapodás preambuluma utal a terrorizmus megelőzésére és az ellene folytatott küzdelemre, valamint „az ehhez kapcsolódó bűncselekményekre, valamint a nemzeteken átnyúló, súlyos bűncselekményekre – ideértve a szervezett bűnözést is”. Továbbá a CBP kötelezettségvállalási nyilatkozatának 3. bekezdése úgy rendelkezik, hogy „[a] PNR-adatokat a CBP kizárólag a következők megelőzésére és leküzdésére használja fel: 1) terrorizmus és kapcsolódó bűncselekmények; 2) egyéb súlyos bűncselekmények, beleértve a transznacionális jelleget öltő szervezett bűnözést és 3) a fenti bűncselekmények elkövetése után esedékes letartóztatás, illetve elfogatóparancs előli menekülés”. Lásd a megfelelőségi határozat azonos szövegű tizenötödik preambulumbekezdését is.
102 – Lásd az EJEB, 1986. november 24‑i Gillow kontra Egyesült Királyság ítéletet, A. sorozat 109. szám, 55. §.
103 – Lásd az EJEB, 1987. március 26‑i Leander kontra Svédország ítéletet, A. sorozat 116. szám, 59. §.
104 – Lásd például az EJEB, 1978. szeptember 6‑i Klass‑ítéletet, A. sorozat 28. szám, 59. § a polgárok levelezésének és távközlésének titkos megfigyelésére vonatkozóan, a terrorizmus elleni küzdelem érdekében. Ebben az ítéletben az említett Bíróság úgy ítélte meg, hogy az „Egyezmény rendszerével együtt jár a demokratikus társadalom védelmének és az egyéni érdekek védelmének követelményei között egy bizonyos fajta kiegyezés”.
105 – Sudre, F., Droit européen et international des droits de l’homme, 7. átdolgozott kiadás, PUF 2005., 219. o. A szerző azt is megállapítja, hogy „az Emberi Jogok Európai Bírósága attól függően, hogy mennyire veszi mereven az arányosság feltételét – szigorú, igazságos, ésszerű arány –, változtatja felülvizsgálatának intenzitását, és ebből következően az állam mérlegelési jogköre kiterjedésének változását eredményezi [...]”.
106 – Lásd az EJEB, 1997. február 25‑i Z kontra Finnország ítéletet, Ítéletek és Határozatok tára 1997‑I.
107 – Lásd ebben az értelemben Sudre, F. idézett művét, 219. o. Lásd Wachsmann P., „Le droit au secret de la vie privée”, in Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Sudre S., Bruylant, 2005., 141. o.: a fent hivatkozott Z kontra Finnország ítélettel kapcsolatban a szerző megjegyzi, hogy „[a] beavatkozás szükségességének felülvizsgálata jelen esetben szigorú, amelyet egy személy HIV-pozitív állapota harmadik személyekkel történő közlésének rendkívül érzékeny volta magyaráz”.
108 – A fent hivatkozott Leander kontra Svédország ügyben hozott ítélet. Leander úr Svédországban egy tengerészeti múzeumban volt biztonsági őr, és elveszítette az állását egy személyzeti ellenőrzést követően, amely titkos információkat gyűjtött össze róla, és arra a következtetésre vezetett, hogy nem dolgozhat olyan múzeumban, amelynek több raktára tiltott katonai övezetben található. Ezen ügy lehetővé tette az Emberi Jogok Európai Bíróságának azon alapelv egyértelmű kimondását, amely szerint a személyes adatok tárolása és közlése, összekapcsolva azok kifogásolása lehetőségének elutasításával, a magánélet megsértésének minősül. Ilyen beavatkozás igazolásának vizsgálata során az EJEB úgy ítélte meg, hogy „[a] nemzetbiztonság megőrzése érdekében a szerződő államoknak vitathatatlanul szüksége van olyan törvényekre, amelyek az illetékes belső hatóságokat feljogosítják személyekre vonatkozó információknak titkos adatállományban való gyűjtésére és tárolására, amelyeket utána felhasználhatnak a biztonság szempontjából fontos állásokra jelentkezők alkalmasságának értékelésekor” (59. §). Figyelemmel a svéd személyzetellenőrzési rendszert övező garanciákra és az államnak biztosított széles mérlegelési jogkörre, a Bíróság kimondta, hogy „az alperes kormánynak jogában állt úgy ítélni, hogy a nemzetbiztonsági érdekek jelen esetben megelőzik a felperes egyéni érdekeit”. A Leander úr által elszenvedett beavatkozás tehát nem volt aránytalan a követett törvényes célra tekintettel (67. §).
109 – Lásd az EJEB, 1994. október 28‑i Murray kontra Egyesült Királyság ítéletet, A. sorozat, 300‑A. szám, 47. és 90. §. Ebben az ügyben a terrorizmus elleni küzdelem célja indokolja az első felperes személyét érintő részleteknek a fegyveres erők általi rögzítését. E Bíróság megjegyzi, hogy nem feladata „a saját értékelésével helyettesíteni a nemzeti hatóságok értékelését a terrorista bűncselekmények üldözésével kapcsolatos legjobb politika meghatározásában” (90. §). Lásd szintén a fent hivatkozott Klass-ítéletet, 49. §.
110 – Ritleng, D. szerint csakúgy, mint a „nyilvánvaló figyelmen kívül hagyás” szinonim fogalmával, nyilvánvaló értékelési hiba van „a törvényi rendelkezések olyan súlyos megsértése esetében, amelyek már nyilvánvalók. Bármennyire is tetszés szerinti a tények értékelése, nem indíthatja a közösségi intézményeket arra, hogy bármilyen döntést hozzanak; a nyilvánvaló mérlegelési hiba felülvizsgálatával a bíróság megtiltja a mérlegelési szabadság súlyosan hibás alkalmazását”. Lásd a „Le contrôle de le légalité des actes communautaires par la Cour de justice et le Tribunal de première instance des Communautés européennes” című, az Université Robert Schuman de Strasbourg előtt 1998. január 24‑én megvédett dolgozatot, 538. o., 628. pont.
111– Lásd a közös agrárpolitika területén a Bíróság C‑331/88. sz., Fedesa és társai ügyben 1990. november 13‑án hozott ítéletének (EBHT 1990., I‑4023. o.) 14. pontját. Lásd a dömpingellenes vámok tárgyában az Elsőfokú Bíróság T‑162/94. sz., NMB Franciaország és társai kontra Bizottság ügyben 1996. június 5‑én hozott ítéletének (EBHT 1996., II‑427. o.) 70. pontját is.
112– Lásd a közös agrárpolitika területén a Bíróság C‑280/93. sz., Németország kontra Tanács ügyben 1994. október 5‑én hozott ítéletének (EBHT 1994., I‑4973. o.) 91. pontját. Ezen ítélkezési gyakorlat más területeket érint, például a szociálpolitikát, ahol a Bíróság a Tanácsnak „széles körű mérlegelési jogkört ismert el egy olyan területen, amely [...] a jogalkotó részéről szociálpolitikai döntéseket és összetett mérlegelést igényel” (a fent hivatkozott Egyesült Királyság kontra Tanács ügyben hozott ítélet 58. pontja). Utalok arra is, hogy a közösségi intézmények dokumentumaihoz való nyilvános hozzáférés terén, és elutasító határozat törvényességére vonatkozó bírósági felülvizsgálat terjedelméről szólva az Elsőfokú Bíróság széles mérlegelési jogkört ismert el a Tanácsnak a nemzetközi kapcsolatokban a közérdek védelmére vagy a közbiztonságra vonatkozó közérdek védelmére alapított elutasító határozat esetében: lásd különösen a terrorizmus elleni küzdelem terén az Elsőfokú Bíróság T‑110/03. sz., T‑150/03. sz. és T‑450/03. sz., Sison kontra Tanács egyesített ügyekben 2005. április 26‑án hozott ítéletének (EBHT 2005., II‑1429. o.) 46. és 71–82. pontját.
113– A fent hivatkozott Egyesült Királyság kontra Tanács ügyben hozott ítéleten kívül számos példa van arra, hogy a közösségi bíróság elismerte a közösségi intézményeket terhelő mérlegelés összetettségét: lásd különösen a letelepedés szabadsága területén a C‑233/94. sz., Németország kontra Parlament és Tanács ügyben 1997. május 13‑án hozott ítélet (EBHT 1997., I‑2405. o.) 55. pontját. A „teljes körű gazdasági és szociális értékelés”‑nek az Elsőfokú Bíróság általi elismerésére lásd a T‑244/93. és T‑486/93. sz., TWD kontra Bizottság egyesített ügyekben 1995. szeptember 13‑án hozott ítéletének (EBHT 1995., II‑2265. o.) 82. pontját.
114 – Így például a Bizottság véleményem szerint széles mérlegelési joggal rendelkezett annak meghatározásában, hogy a PNR-adatok továbbítása konkrét esetében az Egyesült Államok megfelelő védelmi szintet tudott‑e biztosítani ezen személyes adatoknak.
115 – A Bizottság szerint „a PNR-rendszer speciális megoldást ad egy speciális problémára [...]. Ugyanis a Közösség és az Egyesült Államok a CBP‑re jellemző zárt adatvédelmi rendszert tárgyaltak meg, amely elkülönül az amerikai rendszertől, és az amerikai felülvizsgálat közigazgatási többletgaranciái, valamint az európai közigazgatási és törvényi felülvizsgálata vonatkoznak rá” (a 318/04. sz. ügyben az EAB beavatkozási beadványára tett észrevételek 13. pontja).
116 – Emlékeztetek rá, hogy a 19. „Általános megjegyzések”; a 26. „OSI-információ (Other Service Information)” és a 27. „SSI/SSR-információ (Special Service Request) ” adatelemről van szó.
117 – Lásd a 318/04. sz. ügyben a Bizottságnak az EAB beavatkozási beadványára tett észrevételeinek 20. és 21. pontját.
118 – A kötelezettségvállalási nyilatkozat 7. lábjegyzete kifejti, hogy a PNR-rekord az archívumba kerülésekor technikai értelemben nem törlődik, ún. nyers adatként (raw data) tárolják, amely nem könnyen kereshető formátumú, ezért a „hagyományos” bűnüldözési vizsgálatok során nem tudják használni.
119 – Lásd a 108. egyezmény 8. pontjának d) alpontját és 10. pontját, valamint a 95/46 irányelv 22. cikkét.
120 – Lásd a kötelezettségvállalási nyilatkozat 36. pontját, amely kimondja:
„A CBP tájékoztatja az utazóközönséget arról, hogy mely adatok szükségesek a PNR-adatállomány feltöltéséhez, valamint a PNR-adatok felhasználásával kapcsolatos kérdésekről, például általános tájékoztatást nyújt arról a hatóságról, amelynek hatáskörében az adatot begyűjtötték, az adatgyűjtés céljáról, az adatvédelemről, az adatmegosztásról, az illetékes ügyintéző személyazonosságáról, lehetséges jogorvoslati eljárásokról, a kérdésekkel, problémákkal rendelkező személyek kapcsolattartóiról stb., és ezeket a CBP weboldalán, illetve utazási tájékoztatókban jelenteti meg.”
121 – A Freedom of Information Actről van szó (United States Code 5. cím, 552. szakasz, a továbbiakban: FOIA). Ami a CBP által birtokolt dokumentumokat illeti, a FOIA ezen rendelkezéseit a Code of Federal Regulations 19. címe, 103.0 és azt követő szakaszaival együtt kell olvasni.
122 – A FOIA felállítja azt a vélelmet, hogy minden szövetségi kormányzati dokumentumot mindenkinek a rendelkezésére kell bocsátani. Azonban az érintett kormányzati szerv mentesülhet e közzétételi vélelem alól, ha bizonyítja, hogy a keresett információ e közzétételi kötelezettség alól mentes információk csoportjába tartozik. E tekintetben meg kell jegyezni, hogy a kötelezettségvállalási nyilatkozat 37. bekezdése szerint „amennyiben a kérés az érintettől származik, úgy – mivel a CBP a PNR-adatokat az adatalanyról szóló bizalmas és személyes információként, illetve a légi fuvarozóról szóló bizalmas kereskedelmi információként kezeli – e tényt az Iroda nem arra fogja felhasználni, hogy a FOIA‑ra való hivatkozással az adatalany elől visszatartsa az őt érintő információkat.”
123 – Kiemelés tőlem. A kötelezettségvállalási nyilatkozat 38. bekezdése e tekintetben az United States Code 5. cím 552(a)(4)(B) szakaszára, valamint a Code of Federal Regulations 19. címének 103.7–103.9 szakaszára utal. E szövegekből kiderül, hogy egy közzétételi kérelem CBP általi elutasítása elleni bírósági felülvizsgálatát (judicial review) a FOIA Appeals Officer előtti közigazgatási felülvizsgálatnak kell megelőznie (Code of Federal Regulations 19. cím, 103.7 szakasz). Ha a közigazgatási felülvizsgálatot követően is elutasítják a közzétételt, a kérelmező bírósági felülvizsgálatot nyújthat be egy szövetségi „District Court” előtt, amely egy kormányzati szerv által hibásan visszatartott bármely információ közzétételének elrendelésére jogosult.
124 – Az „Assistant Commissioner” címét ugyanezen bekezdés említi.
125 – Címe a kötelezettségvállalási nyilatkozat 41. bekezdésében jelenik meg.
126 – Lásd ebben az értelemben a belbiztonságról szóló 2002. évi törvény 222. szakaszának 5. bekezdését (Homeland Security Act – Public Law, 2002. november 25., 107–296.), amely előírja, hogy a Chief Officer évente jelentést nyújt be a Kongresszusnak a belbiztonsági minisztériumnak a magánélet védelmével és a magánélet megsértése miatti esetleges panaszokkal kapcsolatos tevékenységéről.
127 – Lásd a kötelezettségvállalási nyilatkozat 11. lábjegyzetét, amelyből következik, hogy a „DHS Chief Privacy Officer a Department of Homeland Security minden részlegétől függetlenül végzi munkáját. A Chief Privacy Officer státuszánál fogva köteles biztosítani, hogy a személyes jellegű információkat az idevágó jogszabályoknak megfelelő módon használják fel [...]. [A Chief Privacy Officer] véghatározatai a DHS részére kötelező jellegűek, és nem szolgálhatnak politikai célokat”. Egyébiránt megjegyzem, hogy azon lehetőségre vonatkozó követelmény, hogy döntéshozatali jogkörrel felruházott független szervhez fellebbezést lehet benyújtani, az Emberi Jogok Európai Bíróságának 1989. július 7‑i Gaskin kontra Egyesült Királyság ítéletéből (A. sorozat, 160. szám, 49. §) ered. Megjegyzem azt is, hogy az Európai Unió Alapjogi Chartája a 3. cikkében kimondja, hogy e szabályok tiszteletben tartását „független hatóságnak kell ellenőriznie”.
128 – Lásd a C‑56/93. sz., Belgium kontra Bizottság ügyben 1996. február 29‑én hozott ítélet (EBHT 1996., I‑723. o.) 86. pontját.
129 – A 204/86. sz., Görögország kontra Tanács ügyben 1988. szeptember 27‑én hozott ítélet (EBHT 1988., I‑5323. o.) 16. pontja és a C‑65/93. sz., Parlament kontra Tanács ügyben 1995. március 30‑án hozott ítélet (EBHT 1995., I‑643. o.) 23. pontja.
130 – A Németországi Szövetségi Köztársaság kérelmére 1995. december 13‑án hozott vélemény (EBHT 1995., I‑4577.o.) az Európai Közösség és Kolumbia, Costa Rica, Nicaragua és Venezuela közötti banánról szóló keretmegállapodásnak a Szerződéssel való összeegyeztethetősége tárgyában.
131 – A vélemény 21. pontja (kiemelés tőlem).
132 – A vélemény 22. pontja.