6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/1

1.

Az Európai Unió elnöksége a 2008. június 12-i EU-csúcstalálkozóra figyelemmel 2008. május 28-án bejelentette a COREPER-nek, hogy az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport (a továbbiakban: HLCG) véglegesítette jelentését. E jelentést (1)2008. június 26-án hozták nyilvánosságra.

2.

A jelentés célja az Egyesült Államokkal a terrorizmus és a súlyos nemzetközi bűnözés elleni küzdelem érdekében való információcsere felé vezető út első lépéseként a magánélet és az adatok védelmére vonatkozó közös alapelvek meghatározása.

3.

A Tanács elnöksége bejelentésében megállapította, hogy szívesen lát a jelentés továbbvitelét szolgáló bármely gondolatot, különösen a jelentésben nevesített további lépésekre vonatkozó ajánlásokra való reakciókat. Az európai adatvédelmi biztos e felkérésre az alábbi vélemény kiadásával válaszol, amely a helyzet jelenlegi állásáról a nyilvánosság elé tárt információkon alapul, és amely nem befolyásolja a kérdés alakulására figyelemmel esetlegesen kialakított bármely további állásfoglalását.

4.

Az európai adatvédelmi biztos megállapítja, hogy a magas szintű kapcsolattartó csoport munkáját olyan keretben végezte, melyre – különösen 2001. szeptember 11-ét követően – az USA és az EU közötti adatcsere nemzetközi megállapodásokon és más típusú jogi eszközökön keresztüli fejlődése volt jellemző. Ezen eszközök között találhatók az Egyesült Államok és az Europol valamint az Eurojust közötti megállapodások, a PNR-megállapodások, és a SWIFT-ügy, mely az EU és az USA tisztviselői között a minimális adatvédelmi garanciák meghatározása érdekében folytatott levélváltáshoz vezetett (2).

5.

Ezenfelül az EU szintén tárgyalásokat folytat és hasonló jogi eszközöket fogad el a személyes adatok harmadik országokkal való cseréjére vonatkozóan. Közelmúltbeli példa erre az Európai Unió és Ausztrália közötti, az Európai Unióból származó utasnyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Ausztrál Vámszolgálat részére történő továbbításáról szóló megállapodás (3).

6.

Ennek alapján úgy tűnik, hogy a harmadik országok bűnüldöző hatóságainak a személyes adatok iránti igénye folyamatosan növekszik, és a hagyományos kormányzati adatbázisokon túl más típusú – különösen a magánszektor által gyűjtött – adatfájlokra is kiterjed.

7.

Az európai adatvédelmi biztos fontos háttér-információként emlékeztet, hogy a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében személyes adatok harmadik országok felé való továbbításának kérdését a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló tanácsi kerethatározat (4) szabályozza, melynek elfogadására valószínűleg 2008 vége előtt sor kerül.

8.

Ez a transzatlanti információcsere csak bővülni fog, és olyan további ágazatokat is érint majd, melyekben személyes adatokat dolgoznak fel. Ilyen körülmények között a transzatlanti bűnüldözésről szóló párbeszéd egyszerre üdvözlendő és érzékeny is. Üdvözlendő abban az értelemben, hogy világosabb keretet adhat a jelenlegi vagy később megvalósuló adatcseréknek. Érzékeny is, mivel egy ilyen keret olyan területen – a bűnüldözés területén – tehet törvényessé tömeges adattovábbításokat, ahol különösen komoly az egyéneket érintő hatás, és ahol ennélfogva szigorú és megbízható biztosítékokra és garanciákra van szükség (5).

9.

E vélemény a következő fejezetben a jelenlegi helyzettel és a lehetséges további lépésekkel foglalkozik. A III. fejezet az információmegosztást lehető tévő eszköz alkalmazási körére és jellegére összpontosít. A vélemény a IV. fejezetben általánosságban elemzi a lehetséges megállapodás tartalmával kapcsolatos jogi kérdéseket. Olyan problémákkal foglalkozik, mint például az Egyesült Államokban biztosított védelem szintjének értékelésére vonatkozó kritériumok, és tárgyalja az uniós szabályozási keret e védelmi szint értékelésére szolgáló referenciamutatóként való felhasználását. E fejezet ezenkívül felsorolja azon alapkövetelményeket, melyeket egy ilyen megállapodásnak tartalmaznia kell. Végül a vélemény V. fejezete a jelentés mellékletét képező, magánéletre vonatkozó elvek elemzését adja.

10.

Az európai adatvédelmi biztos jelenlegi helyzetre vonatkozó értékelése a következő: Az információmegosztás, valamint a magánélet és a személyes adatok védelme közös szabványainak meghatározásában sikerült némi eredményt elérni.

11.

Azonban az EU és az USA közötti bármely típusú megállapodás előkészítése még nem ért véget. További munkára van szükség. Magának a magas szintű kapcsolattartó csoportnak a jelentése is számos lezáratlan kérdést említ, melyek közül kiemelkedik a jogorvoslat kérdése. A bíróság előtti jogorvoslat szükséges alkalmazási körét illetően nem sikerült megegyezni (6). A jelentés 3. fejezete további öt lezáratlan kérdést határozott meg. E véleményből következik továbbá, hogy sok más kérdés sem került még lezárásra, így például az információmegosztásra vonatkozó eszköz alkalmazási körének és jellegének kérdése.

12.

Mivel a jelentés – ahogyan az európai adatvédelmi biztos is – jogilag kötelező megállapodás lehetőségét részesíti előnyben, annál inkább óvatosságra van szükség. További gondos és részletes előkészületekre van szükség, mielőtt megállapodás születhetne.

13.

Végül az európai adatvédelmi biztos szerint az lenne a legmegfelelőbb, ha a megállapodás a Lisszaboni Szerződésen alapulna, természetesen annak hatálybalépésétől függően. A Lisszaboni Szerződés mint jogalap ugyanis nem hagyna jogi bizonytalanságot az EU pilléreit elválasztó határral kapcsolatban. Ezenfelül biztosítva lenne az Európai Parlament teljes mértékű részvétele és az Európai Bíróság általi felülvizsgálat.

14.

Ilyen körülmények között a legjobb lépés egy egy későbbi szakaszban megkötendő esetleges megállapodás felé vezető ütemterv kidolgozása lenne. Az ütemterv az alábbi elemeket tartalmazhatná:

15.

Az európai adatvédelmi biztos szerint a lehetséges eszköz továbbfejlesztésének első lépésében alapvető fontosságú az eszköz alkalmazási körének és jellegének – így az adatvédelmi elveknek is – a pontos meghatározása.

16.

Alkalmazási körét illetően az alábbi fontos kérdésekre kell választ adni:

17.

A jelleg meghatározásának az alábbi kérdésekre kell választ adnia:

18.

Noha a magas szintű kapcsolattartó csoport jelentésében nem adja meg egyértelműen a jövőbeli eszköz alkalmazási körét, a benne említett alapelvekből következtetni lehet arra, hogy a tervek szerint szabályozni fogja a magán- és a köz-szektor szereplői (7), valamint a hatóságok közötti adattovábbítást.

19.

Az európai adatvédelmi biztos érti a jövőbeli eszköz magán- és állami szereplők közötti adattovábbításra való alkalmazhatóságának logikáját. Egy ilyen eszköz kidolgozására az USA részéről a magánszektor szereplőitől kért adatok miatt kerül sor az elmúlt években. Az európai adatvédelmi biztos megállapítja, hogy a magánszektor szereplői a bűnüldözési információk szisztematikus forrásává válnak, mind uniós, mind nemzetközi szinten (8). A SWIFT-ügy – amikor is egy magánvállalatot arra kértek, hogy szisztematikusan továbbítson tömegesen adatokat egy harmadik állam bűnüldöző hatóságainak (9)– ennek ékes példája. A légitársaságoktól való PNR-adatgyűjtés ugyanezt a logikát követi. Az európai PNR-rendszerre vonatkozó kerethatározat-tervezetről szóló véleményében az európai adatvédelmi biztos már megkérdőjelezte e tendencia jogszerűségét (10).

20.

Két másik ok is kérdésessé teszi a jövőbeli eszköznek a magán- és az állami szféra szereplői közötti adattovábbításra való kiterjesztését.

21.

Először is e kiterjesztés nem kívánt hatással járhat az EU területén belül. Az európai adatvédelmi biztosnak komoly fenntartása van amiatt, hogy ha magánvállalatok (pl. pénzintézetek) adatait elvben továbbítani lehet harmadik országoknak, ez erős nyomást fejthet ki annak irányában, hogy az ugyanilyen típusú adatokat az EU-n belül is a bűnüldöző hatóságok rendelkezésére bocsássák. A PNR-rendszer példa egy ilyen nem kívánt fejleményre, mely azzal kezdődött, hogy az USA nagy tömegben gyűjtött az utasokra vonatkozó adatokat, amit az Európán belüli keretre is átültettek (11) anélkül, hogy a rendszer szükségessége vagy arányossága egyértelmű bizonyítást nyert volna.

22.

Másodszor, az EU-PNR-re vonatkozó bizottsági javaslatról szóló véleményében az európai adatvédelmi biztos szintén felvetette a magán- és a közszektor szereplői közötti együttműködés feltételeire alkalmazandó adatvédelmi keret (első vagy harmadik pillér) kérdését: a szabályokat az adatkezelői minőségre (magánszektor) vagy a célra (bűnüldözés) alapozzák-e? Az első és harmadik pillér közötti választóvonal korántsem egyértelmű az olyan helyzetekben, amikor a magánszektor szereplőit személyes adatok bűnüldözési célból való feldolgozására vonatkozó kötelezettségek terhelik. Ebben az összefüggésben fontos, hogy az adatmegőrzési ügyben (12) megfogalmazott közelmúltbeli véleményében Yves Bot főtanácsnok e helyzetek egymástól való elválasztását javasolja, de e javaslatot az alábbiakkal egészíti ki: „Ezt a választóvonal természetesen lehet kritizálni, és az bizonyos szempontból mesterségesnek tűnhet.” Az európai adatvédelmi biztos azt is megállapítja, hogy a Bíróság PNR-ítélete (13) nem ad teljes mértékben választ az alkalmazandó jogi keret kérdésére. Például az a tény, hogy a 95/46/EK irányelv nem terjed ki bizonyos tevékenységekre, nem jelenti automatikusan azt, hogy azon tevékenységeket a harmadik pillér alatt lehet szabályozni. Ennek esetlegesen az alkalmazandó jogra vonatkozó joghézag az eredménye, de az adatalanyok rendelkezésére álló jogi garanciák tekintetében mindenképpen jogbizonytalanságot okoz.

23.

Az európai adatvédelmi biztos ezek alapján hangsúlyozza, hogy biztosítani kell, hogy az általános adatvédelmi elvekkel rendelkező jövőbeli eszköz ne tehesse jogszerűvé a személyes adatoknak a magán- és a közszektor szereplői közötti transzatlanti továbbítását mint olyat. Ezen adattovábbítást csak akkor lehet egy jövőbeli eszközbe belefoglalni, amennyiben

Az európai adatvédelmi biztos ezenfelül rámutat az alkalmazandó adatvédelmi keret körüli bizonytalanságra, és ennélfogva azt kéri, hogy az uniós jogot jelenlegi állapotában semmi esetre sem terjesszék ki a személyes adatoknak a magán- és a közszektor szereplői közötti továbbítására.

24.

Az információcsere pontos alkalmazási köre nem világos. A közös eszköz érdekében folytatott további munka első lépéseként pontosítani kell az ilyen eszköz tervezett alkalmazási körét. Különösen az kérdéses, hogy vajon:

25.

A lehetséges megállapodás céljának meghatározásával kapcsolatban is bizonytalanság merül fel. A bűnüldözési célokat világosan megjelöli a bevezetés és a jelentéshez mellékelt első alapelv, és ezen vélemény IV. fejezete további elemzi azokat. Az európai adatvédelmi biztos már most megállapítja, hogy e nyilatkozatokból úgy tűnik, hogy az adatcsere a harmadik pillér területeire összpontosít, de felmerül a kérdés, hogy ez vajon csupán a szélesebb körű információcsere felé tett első lépés-e. Egyértelműnek tűnik, hogy a jelentésben említett közbiztonsági célok közé tartozik a terrorizmus, a szervezett bűnözés és más bűncselekmények elleni küzdelem. Azonban vajon az is cél, hogy lehetővé tegyék az egyéb közérdekű területekre – így esetleg a közegészségügyi kockázatokra – vonatkozó adatcserét?

26.

Az európai adatvédelmi biztos a cél pontosan meghatározott adatfeldolgozásra való korlátozását ajánlja, és az ilyen célmeghatározáshoz vezető szakpolitikai döntések igazolását javasolja.

27.

E jelentés széles körre kiterjedő jellegét a jövő-munkacsoport által megvitatott átfogó transzatlanti biztonsági térség keretében kell értelmezni (14). E munkacsoport 2008 júniusában kiadott jelentése némi hangsúlyt helyez a belügyi politika külső dimenziójára. Amellett érvel, hogy „Az Európai Uniónak 2014-ig döntést kell hoznia a szabadság, biztonság és jogérvényesülés területén az Egyesült Államokkal folytatandó euroatlanti együttműködési térség kialakítására vonatkozó politikai szándékról.” Az ilyen együttműködés túllépne a szoros értelemben vett biztonságon, és legalább az EK-Szerződés jelenlegi IV. címében tárgyalt kérdésekre – mint a bevándorlás, a vízumpolitika, a menekültügy és a polgári jog terén folytatott együttműködés – is kiterjedne. Fel kell tenni a kérdést, hogy az olyan alapvető adatvédelmi elvekről szóló megállapodás, mint amelyeket a magas szintű kapcsolattartó csoport jelentése is említ, milyen mértékben szolgálhat alapul és kell, hogy alapul szolgáljon egy ilyen széles területen való információcseréhez.

28.

A tervek szerint 2014-re a pilléres rendszer megszűnik, és magán az EU-n belüli adatvédelemre egyetlen jogi alap lesz alkalmazandó (a Lisszaboni Szerződés hatályba lépését követően az Európai Unió működéséről szóló szerződés 16. cikke). Az a tény azonban, hogy az adatvédelem szabályozását uniós szinten harmonizálják, nem jelenti azt, hogy egy harmadik országgal kötött bármely megállapodás lehetőséget adhatna bármely személyes adat bármilyen céllal való továbbítására. Az adatkezelés körülményétől és feltételétől függően eltérő adatvédelmi garanciákra lehet szükség olyan speciális területeken, mint például a bűnüldözés. Az európai adatvédelmi biztos javasolja, hogy egy jövőbeli megállapodás előkészítése során mérlegeljék e különféle szempontok következményeit.

29.

Legalábbis rövid távon lényeges meghatározni, hogy a megállapodást melyik pillér szerint tárgyalják meg. Erre főleg a belső adatvédelmi szabályozási keret miatt van szükség, melyre a megállapodás hatással lesz. Az első pillér szerinti keret lesz-e – lényegében a 95/46/EK irányelv, a harmadik országok részére való adattovábbítás speciális szabályaival – vagy a harmadik pillér szerinti keret, mely a harmadik országok részére való adattovábbítást kevésbé szigorú szabályokhoz köti (15)?

30.

Noha – mint már említettük – a bűnüldözési célok a legfontosabbak, a magas szintű kapcsolattartó csoport jelentése megemlíti a magánszektor szereplőitől való adatgyűjtést, és a célokat is lehet a biztonságon túllépve, tágabban értelmezni, amely kiterjedhet például a bevándorlásra és a határellenőrzésre de akár esetleg a közegészségügyre is. E bizonytalanságokra tekintettel sokkal célszerűbb lenne megvárni az uniós jog pilléreinek a Lisszaboni Szerződésben előirányzott harmonizálását, és azt követően világosan meghatározni a tárgyalások jogi alapját és az európai intézmények – különösen az Európai Parlament és a Bizottság – pontos szerepét.

31.

Egyértelművé kell tenni, hogy a megbeszélések egyetértési megállapodás vagy más, nem kötelező érvényű eszköz kiadásához vezetnek-e, vagy pedig kötelező erejű nemzetközi megállapodás elfogadásához.

32.

Az európai adatvédelmi biztos támogatja a jelentésben előnyben részesített kötelező erejű megállapodást. Az európai adatvédelmi biztos nézete szerint a hivatalos, kötelező erejű megállapodás az EU-n kívülre irányuló bármely adattovábbítás elengedhetetlen előfeltétele, tekintet nélkül az adattovábbítás céljára. Konkrét (és kötelező erejű) jogi keretbe foglalt feltételek és biztosítékok hiányában nem kerülhet sor harmadik országba irányuló adattovábbításra. Más szavakkal, az egyetértési megállapodás vagy más, nem kötelező erejű eszköz hasznos iránymutatásul szolgálhat a tárgyalásokhoz, de nem helyettesítheti a kötelező erejű megállapodást.

33.

Az eszköz rendelkezéseinek kötelező erejűnek kell lenniük mind az Egyesült Államokra, mind az EU-ra és annak tagállamaira nézve.

34.

Közösen elfogadott elvek alapján biztosítani kell továbbá az egyének számára jogaik gyakorlását, különösen a jogorvoslat tekintetében. Az európai adatvédelmi biztos véleménye szerint ez az eredmény akkor érhető el, ha az eszköz lényegi rendelkezéseit úgy fogalmazzák meg, hogy azok közvetlen hatással járjanak az Európai Unió lakosaira, és azokra bíróság előtt hivatkozni lehessen. A megállapodásban ezért egyértelművé kell tenni az abban foglalt rendelkezések által kifejtett közvetlen hatást, valamint a belső európai és nemzeti jogba való átültetés feltételeit, az intézkedések hatékonyságának biztosítása érdekében.

35.

Alapvető kérdés az is, hogy a megállapodás milyen mértékben önálló, vagy azt eseti alapon ki kell-e egészíteni további, konkrét adatcserére vonatkozó megállapodásokkal. Ténylegesen kérdés az, hogy egyetlen megállapodás – kizárólag az abban foglalt szabályokkal – megfelelően le tudja-e fedni a harmadik pillér hatálya alá tartozó adatfeldolgozás számtalan sajátosságát. Ennél is kétségesebb az, hogy – további tárgyalások és biztosítékok nélkül – lehetővé teheti-e személyes adatok továbbításának általános engedélyezését az érintett adatok céljára és jellegére való tekintet nélkül. A harmadik országokkal kötött megállapodások ezenkívül nem szükségszerűen állandó jellegűek, mivel azok konkrét veszélyhelyzetekhez kapcsolódhatnak, valamint felülvizsgálat és megszüntetési záradékok tárgyát képezhetik. Másrészt a kötelező erejű eszközben elismert közös minimumszabályok megkönnyíthetik a személyes adatok konkrét adatbázisokkal vagy feldolgozási műveletekkel kapcsolatos továbbítására vonatkozó további megbeszéléseket.

36.

Az európai adatvédelmi biztos ezért – egy önálló megállapodás helyett – minimális adatvédelmi kritériumok kidolgozását támogatja, amelyek eseti alapon kiegészíthetőek további konkrét rendelkezésekkel, amint az a magas szintű kapcsolattartó csoport jelentésében is szerepel. A megállapodást kiegészítő konkrét rendelkezések megléte a konkrét esetben történő adattovábbítás engedélyezésének előfeltétele. Ez ösztönzőleg hatna az adatvédelemmel kapcsolatos harmonizált megközelítésre.

37.

Megvizsgálandó az is, hogy egy esetleges általános megállapodás hogyan kapcsolódna az EU és az Egyesült Államok között már létező megállapodásokhoz. Megjegyzendő, hogy e meglévő megállapodások nem rendelkeznek ugyanilyen kötelező jelleggel: megemlítendő különösen a PNR-megállapodás (amely a legnagyobb jogbiztonságot képviseli), az Europol- és az Eurojust-megállapodás, vagy a SWIFT-tel kapcsolatos levélváltás (16). Egy új általános keret kiegészítené-e ezeket a meglévő eszközöket vagy érintetlenül hagyná-e azokat, és személyes adatoknak csak más jövőbeni cseréjére vonatkozna? Az európai adatvédelmi biztos véleménye szerint a jogi egységesség harmonizált szabályokat tenne szükségessé, amelyek az adatátvitelre vonatkozó meglévő és jövőbeni megállapodásokra egyaránt vonatkoznának és kiegészítenék azokat.

38.

Az általános megállapodásnak a meglévő eszközökre való alkalmazása azzal az előnnyel járna, hogy megerősítené kötelező jellegüket. Ez különösen üdvözlendő lenne a jogilag nem kötelező erejű eszközök – mint a SWIFT-tel kapcsolatos levélváltás – tekintetében, mivel kötelezővé tenné legalább a magánélet védelmével kapcsolatos általános elvek betartását.

39.

Ez a fejezet egy adott keret-jogszabályban vagy eszközben foglalt védelmi szint értékelésének a módját fogja vizsgálni, beleértve az ehhez felhasználandó referenciamutatókat és a szükséges alapkövetelményeket.

40.

Az európai adatvédelmi biztos véleménye szerint egyértelműsíteni kell, hogy egy jövőbeni eszköz egyik fő eredménye az lenne, hogy személyes adatoknak az Egyesült Államok részére történő átadására kizárólag akkor kerülhet sor, ha az Egyesült Államok hatóságai megfelelő védelmi szintet garantálnak (és fordítva).

41.

Az európai adatvédelmi biztos úgy véli, hogy kizárólag valós megfelelőségi vizsgálat biztosítaná kellő garanciák nyújtását a személyes adatok védelmi szintje tekintetében. Nézete szerint egy általános keretmegállapodás olyan tág alkalmazási körrel amilyet a magas szintű kapcsolattartó csoport jelentése tartalmaz, nehezen felelne meg egy ilyen valós megfelelőségi vizsgálatnak. Az általános megállapodás csak akkor lenne megfelelőnek tekinthető, ha ahhoz megfelelő, eseti alapon kötött egyedi megállapodások társulnának.

42.

A harmadik országok által nyújtott védelmi szint értékelése nem szokatlan eljárás, különösen az Európai Bizottság esetében: a megfelelőség az első pillér hatálya alatt az adattovábbítás tekintetében fennálló követelmények egyike. A megfelelőségi szint mérésére számos alkalommal sor került a 95/46/EK irányelv 25. cikke szerint, konkrét kritériumok alapján, amely mérésekről az Európai Bizottság határozatokat fogadott el (17). A harmadik pillér nem rendelkezik kimondottan ilyen rendszerről: a megfelelő védelmi szint méréséről kizárólag a még el nem fogadott adatvédelmi kerethatározat 11. és 13. cikkében szereplő konkrét helyzetben rendelkeznek (18), és az a tagállamok hatáskörében marad.

43.

Jelen esetben az alkalmazási kör bűnüldözési célokra terjed ki, és a megbeszéléseket a Bizottság folytatja a Tanács felügyelete alatt. A megbeszélések – a „biztonságos kikötő” elveknek vagy a kanadai jogszabályok megfelelőségének az értékelésétől eltérően – inkább kapcsolódnak az Egyesült Államokkal és Ausztráliával a közelmúltban folytatott PNR-tárgyalásokhoz, amelyekre a harmadik pillér jogi keretén belül került sor. A magas szintű kapcsolattartó csoport elvei azonban a vízummentességi program összefüggésében is említésre kerültek, amely határőrizeti és bevándorlási – és ily módon az első pillér alá tartozó – kérdéseket érint.

44.

Az európai adatvédelmi biztos azt ajánlja, hogy a jövőbeni eszköz szerinti megfelelőségi vizsgálat e különböző területeken szerzett tapasztalatokon alapuljon. Javasolja a „megfelelőség” fogalmának további pontosítását a jövőbeni eszköz összefüggésében, a korábbi megfelelőségi vizsgálatok során alkalmazottakhoz hasonló kritériumok alapján.

45.

A védelmi szint másik eleme az EU és az Egyesült Államok rendszereinek kölcsönös elismeréséhez kapcsolódik. A magas szintű kapcsolattartó csoport jelentése e tekintetben megemlíti, hogy a cél „az ezen elvek hatálya alá tartozó területeken egymás magánélet- és adatvédelmi rendszerei hatékonyságának kölcsönös elismerése” (19), valamint „a magánélet és a személyes adatok védelmére vonatkozó jogszabályok azonos és viszonosságon alapuló alkalmazásának” elérése.

46.

Az európai adatvédelmi biztos számára nyilvánvaló, hogy a kölcsönös elismerés (vagy viszonosság) kizárólag megfelelő szintű védelem garantálása mellett lehetséges. Más szavakkal, a jövőbeni eszköznek egységesítenie kell a védelem minimális szintjét (megfelelőségi vizsgálat révén, eseti alapon konkrét megállapodások szükségességének figyelembe vételével). A viszonosság elismerése kizárólag ezzel a feltétellel lehetséges.

47.

Az első figyelembe veendő elem az adatvédelemre vonatkozó lényegi rendelkezések viszonossága. Az európai adatvédelmi biztos véleménye szerint a megállapodásnak oly módon kell foglalkoznia az adatvédelemre vonatkozó lényegi rendelkezések viszonosságának kérdésével, hogy egyrészt biztosított legyen az, hogy az EU (és az Egyesült Államok) területén történő adatfeldolgozás során teljes mértékben betartsák az adatvédelemmel kapcsolatos hazai jogszabályokat, másrészt pedig hogy biztosított legyen az, hogy az adatnak a származási országon kívüli, a megállapodás hatálya alá tartozó feldolgozása során tiszteletben tartsák a megállapodásban foglalt adatvédelmi elveket.

48.

A második elem a jogorvoslati mechanizmusok viszonosságának a kérdése. Biztosítani kell, hogy az európai polgárok megfelelő jogorvoslati eszközökkel rendelkezzenek a rájuk vonatkozó adatok egyesült államokbeli feldolgozása esetén (függetlenül az adott feldolgozásra vonatkozó jogtól), de az Európai Unió és tagállamai is ugyanilyen jogokat biztosítsanak az Egyesült Államok állampolgárai számára.

49.

A harmadik elem a bűnüldözési hatóságok személyes adatokhoz való hozzáférésével kapcsolatos viszonosság. Amennyiben bármely eszköz lehetővé teszi az Egyesült Államok hatóságai számára az Európai Unióból származó adatokhoz való hozzáférést, a viszonosság értelmében ugyanilyen hozzáférést kellene biztosítani az EU hatóságai számára az Egyesült Államokból származó adatok tekintetében. A viszonosság nem sértheti az adatalany védelmének hatékonyságát. Ez a bűnüldözési hatóságok adatokhoz való „transzatlanti” hozzáférésének az előfeltétele. Ez konkrétan a következőket jelenti:

50.

Az értékelési kritériumok (megfelelőség, egyenlőség, kölcsönös elismerés) pontos meghatározása alapvető fontosságú, mivel az pontosság, jogbiztonság és a védelem hatékonysága tekintetében meghatározza a tartalmat. A jövőbeni eszköz tartalmának pontosnak és helytállónak kell lennie.

51.

Emellett egyértelmű, hogy a későbbi szakaszban kötött konkrét megállapodásoknak is részletes és teljes adatvédelmi biztosítékokat kell tartalmazniuk a tervezett adatcsere alanya tekintetében. Kizárólag a konkrét adatvédelmi elvek e kettős szintje biztosíthatja az általános megállapodás és a konkrét megállapodások egymáshoz közelállóságát, amint az már e vélemény 35. és 36. pontjában is szerepel.

52.

Külön figyelmet érdemel annak kérdése, hogy az Egyesült Államokkal kötendő megállapodás milyen mértékben szolgálhat mintaként egyéb harmadik országok tekintetében. Az európai adatvédelmi biztos megállapítja, hogy a jövő-munkacsoport fent említett jelentése az Egyesült Államok mellett Oroszországot is az EU stratégiai partnereként jelöli meg. Az elvek semlegességük és az alapvető uniós biztosítékokkal való összhangjuk esetén hasznos precedenst teremthetnek. Egyes sajátosságok, melyek például a fogadó ország jogszabályi keretéhez kötődnek vagy az adattovábbítás célja azonban megakadályozhatja a megállapodás egyszerű átültetését. Ugyanilyen döntő erővel bír a harmadik országokban a demokrácia helyzete: meg kell győződni arról, hogy a megállapodás tárgyát képező elveket a fogadó országban ténylegesen garantálják és betartják-e.

53.

A kimondott vagy kimondatlan megfelelőségnek mindenképpen összhangban kell állnia a nemzetközi és európai jogszabályi kerettel, különösen pedig a közösen elfogadott adatvédelmi biztosítékokkal. Ezeket az ENSZ iránymutatása, az Európa Tanács 108. sz. egyezménye és annak kiegészítő jegyzőkönyve, az OECD-iránymutatás, az adatvédelmi kerethatározat tervezete, valamint – az első pillérrel kapcsolatos szempontok tekintetében – a 95/46/EK irányelv foglalja magában (20). Ezen eszközök mindegyike hasonló elveket tartalmaz, amelyek a személyes adatok védelmének magjaként általánosan elismertek.

54.

A fent említett elvek kellő figyelembevétele egy esetleges megállapodás – mint amilyen a magas szintű kapcsolattartó csoport jelentésében is szerepel – hatásának tekintetében még nagyobb fontosságot nyer. Egy adott harmadik ország bűnüldözési ágazatának egészét érintő eszköz eddig példa nélkül áll. Az első pillér keretében meglévő megfelelőségi határozatok, valamint az EU harmadik pillére keretében harmadik országokkal kötött megállapodások (Europol- és Eurojust-megállapodás) minden esetben konkrét adattovábbításra vonatkoznak, míg itt az adatátvitel sokkal szélesebb köréről lehetne szó, tekintettel a tág célkitűzésre (a bűnözés elleni küzdelem, nemzet- és közbiztonság, határvédelem) és az érintett adatbázisok nem ismert számára.

55.

A személyes adatok harmadik országok részére történő továbbítása esetén betartandó feltételeket a 29. cikk alapján létrehozott munkacsoport munkadokumentuma (21) tartalmazza. A magánélet védelmével kapcsolatos minimumelvekre vonatkozó minden megállapodásnak megfelelőségi vizsgálaton kellene átesnie az adatvédelmi biztosítékok hatékonyságának biztosítása érdekében.

56.

E három alapkövetelmény mellett különös figyelmet kell fordítani a személyes adatok bűnüldözéssel összefüggésben történő feldolgozásának sajátosságaira. Ez ugyanis egy olyan terület, ahol az alapvető jogok korlátozások hatálya alá eshetnek. Ezért ennek az egyénekre gyakorolt hatásaira tekintettel biztosítékokat kell meghatározni az egyének jogait érintő korlátozások kompenzálására, különösen az alábbi szempontok tekintetében:

57.

Ez a fejezet a magas szintű kapcsolattartó csoport dokumentumában foglalt 12 elvet elemzi az alábbi nézőpontból:

58.

A magas szintű kapcsolattartó csoport jelentésének mellékletében szereplő első elv szerint a személyes információk feldolgozására jogszerű bűnüldözési célokból fog sor kerülni. A fentiekben említetteknek megfelelően az Európai Unióban ez a bűncselekmények megelőzését, felderítését, kivizsgálását és az elkövetők bíróság elé állítását jelenti. Az Egyesült Államokban azonban a bűnüldözés fogalmának értelmezése meghaladja a bűncselekményeket, és az adatfeldolgozás határőrizeti, közbiztonsági és nemzetbiztonsági célokra is kiterjed. Az EU és az USA céljai közötti ilyen különbségek következményei nem egyértelműek. Noha a jelentés szerint a gyakorlatban e célok nagymértékben egybe eshetnek, döntő jelentőségű annak ismerete, hogy milyen mértékben nem esnek egybe. A bűnüldözés területén – tekintettel az intézkedéseknek az egyénekre gyakorolt hatására – szigorúan be kell tartani a célkorlátozási elvet, a meghatározott céloknak pedig egyértelműnek és jól körülhatároltnak kell lenniük. Figyelemmel a jelentésben előirányzott viszonosságra, szintén lényeges e célok közelítése. Röviden, pontosítani kell e cél értelmezését.

59.

Az európai adatvédelmi biztos üdvözli azon rendelkezést, amely előírja, hogy a személyes adatoknak – jogszerű feldolgozásuk érdekében – pontosnak, relevánsnak, időszerűnek és hiánytalannak kell lenniük. Ez az elv az adatok hatékony feldolgozásának egyik előfeltétele.

60.

Az elv egyértelmű kapcsolatot teremt a gyűjtött információ és az információnak a törvényben megállapított bűnüldözési célnak való megfelelése között. A jogszabályi alapra vonatkozó követelmény pozitív elem a feldolgozás jogszerűségének biztosítása tekintetében. Az európai adatvédelmi biztos megjegyzi, hogy a feldolgozás jogalapja – noha az erősíti a feldolgozással kapcsolatos jogbiztonságot – egy harmadik ország törvénye. Egy harmadik ország törvénye önmagában nem teremt jogalapot a személyes adatok továbbítására (22). A magas szintű kapcsolattartó csoport jelentésének összefüggésében megállapítható, hogy egy harmadik ország – vagyis az Egyesült Államok – törvényének a legitimitása elismerést nyert. Szem előtt kell tartani, hogy ha ez az érvelés itt elfogadható tekintettel arra, hogy az Egyesült Államok demokratikus állam, ugyanez nem lenne érvényes és nem lenne átültethető bármely más harmadik országra.

61.

A magas szintű kapcsolattartó csoport jelentésének mellékletében foglaltak szerint a személyes adatok átadásának mindenkor relevánsnak, szükségesnek és helyénvalónak kell lennie. Az európai adatvédelmi biztos hangsúlyozza, hogy az arányosság érdekében a feldolgozás nem lehet indokolatlanul mélyreható, és a feldolgozásra vonatkozó szabályoknak kiegyensúlyozottnak kell lenniük, figyelembe véve az adatalanyok jogait és érdekeit is.

62.

Ennek érdekében az információhoz való hozzáférés kizárólag eseti alapon történhet, a konkrét vizsgálat összefüggésében felmerülő gyakorlati szükségletek függvényében. Harmadik országok bűnüldözési hatóságainak az EU területén található adatbázisokhoz való állandó jellegű hozzáférése aránytalan és indokolatlan lenne. Az európai adatvédelmi biztos emlékeztet arra, hogy az adatcsere még a meglévő vonatkozó megállapodások – például a PNR-megállapodás (23) – összefüggésében is konkrét körülményektől függ és megvalósulása korlátozott időtartamú.

63.

E logikát követve az adatmegőrzés időtartamát is szabályozni kell: az adatokat kizárólag addig lehet megőrizni, ameddig azokra a felhasználás konkrét céljához szükség van. Amennyiben a meghatározott cél tekintetében már nem bírnak jelentőséggel, az adatokat törölni kell. Az európai adatvédelmi biztos határozottan ellenzi adatraktárak létrehozását, ahol gyanún kívül álló személyekre vonatkozó adatokat tárolnának azok esetleges későbbi felhasználása céljából.

64.

Az elvek tartalmaznak az adatoknak az azokkal való visszaélés, azok eltérítése és az azokkal kapcsolatos egyéb kockázatokkal szembeni védelmét szolgáló intézkedéseket és eljárásokat, valamint az engedéllyel rendelkező személyekhez való hozzáférés korlátozásáról szóló rendelkezést. Az európai adatvédelmi biztos ezt elegendőnek tartja.

65.

Az elvet ezenkívül ki lehetne egészíteni egy olyan rendelkezéssel, amelynek értelmében naplót kellene vezetni az adatokhoz hozzáférő személyekről. Ez erősítené az adatokhoz való hozzáférés korlátozását és az azokkal való visszaélés megakadályozását célzó biztosítékok hatékonyságát.

66.

Emellett rendelkezni kellene egymás kölcsönös tájékoztatásáról a biztonsági szabályok megszegésének esetére: az adatok átvevői az Egyesült Államokban és az EU-ban felelősek lennének partnereik tájékoztatásáért az általuk átvett adatokhoz való jogszerűtlen hozzáférés esetén. Ez hozzájárul az adatok biztonságos feldolgozásával kapcsolatos felelősség erősítéséhez.

67.

Az európai adatvédelmi biztos véleménye szerint jelentősen gyengíti az érzékeny adatok feldolgozásának tilalmára vonatkozó elvet az a kivétel, amely lehetővé teszi az érzékeny adatok minden olyan feldolgozását, amelynek tekintetében a hazai jogszabályok „megfelelő biztosítékokról” rendelkeznek. A tilalmi elvtől való bármilyen eltérést – éppen az adatok érzékeny jellege miatt – megfelelően és pontosan indokolni kell azon célok és körülmények felsorolásával, amelyek esetében az érzékeny adatok meghatározott típusa feldolgozható, valamint az ilyen típusú adatok feldolgozására jogosultak beosztásának megjelölésével. Az elfogadandó biztosítékokkal kapcsolatban az európai adatvédelmi biztos úgy véli, hogy gondoskodni kell arról, hogy érzékeny adatok ne vezethessenek vizsgálat megindításához. Gondoskodni kell arról, hogy azok meghatározott körülmények között esetleg rendelkezésre álljanak, de kizárólag már vizsgálat alanyát képező adatalannyal kapcsolatos kiegészítő adatként. Ezeket a biztosítékokat és körülményeket röviden fel kell sorolni az elvhez tartozó szövegben.

68.

Az e vélemény 55–56. pontjában kifejtettek szerint a személyes adatokat feldolgozó közjogi szervek tényleges elszámoltathatóságát megfelelően biztosítani kell, és a megállapodásban rögzíteni kell ezen elszámoltathatóság megvalósulásának garanciáit. Ez annál is inkább fontos, mivel a személyes adatok bűnüldözéssel kapcsolatos feldolgozását hagyományosan az átláthatóság hiánya jellemzi. Erre tekintettel nem elégséges garancia a közjogi szervek elszámoltathatóságának a megemlítése az elszámoltathatóság módjának és következményeinek további ismertetése nélkül, amint az jelenleg a mellékletben szerepel. Az európai adatvédelmi biztos ajánlja, hogy a jogi eszköz szövege tartalmazzon erre vonatkozó magyarázatot.

69.

Az európai adatvédelmi biztos teljes mértékben támogatja a független és hatékony – egy vagy több felügyelő hatóság által gyakorolt – felügyeletről szóló rendelkezés beillesztését. Úgy véli, hogy a függetlenség értelmezésének módját egyértelművé kell tenni, mindenekelőtt azt, hogy e hatóságok kitől függetlenek és kinek tartoznak beszámolóval. E tekintetben kritériumokat kell meghatározni, melyeknek – a végrehajtó és jogalkotó szervek tekintetében – figyelembe kell venniük az intézményi és funkcionális függetlenséget. Az európai adatvédelmi biztos emlékeztet arra, hogy ez az elfogadott elvek tényleges betartása biztosításának lényeges eleme. E hatóságok intervenciós és végrehajtási hatáskörei szintén alapvető fontosságúak a személyes adatokat feldolgozó közjogi szervek fentiekben említett elszámoltathatósága tekintetében. Az adatalanyoknak – jogaik gyakorlásának lehetővé tétele érdekében – egyértelmű ismeretekkel kell rendelkezniük ezek létéről és hatásköreiről, különösen akkor, ha a feldolgozás céljától függően több hatóság is rendelkezik illetékességgel.

70.

Az európai adatvédelmi biztos ezenkívül ajánlja, hogy a jövőbeni megállapodás rendelkezzen a felügyelő szervek közötti együttműködési mechanizmusokról is.

71.

A bűnüldözés összefüggésében speciális garanciákra van szükség az adatokhoz való hozzáférés és azok helyesbítése tekintetében. Ebben az értelemben az európai adatvédelmi biztos üdvözli azt az elvet, amely szerint az egyének számára biztosítani kell a rájuk vonatkozó személyes adatokhoz való hozzáférést, valamint az azok helyesbítését és/vagy törlését lehetővé tevő eszközöket. Továbbra is fennáll azonban némi bizonytalanság az egyén fogalmának meghatározása (valamennyi adatalanyt védeni kell, nemcsak az érintett ország állampolgárait) és azon körülmények megállapítása tekintetében, amelyek esetén az egyén kifogásolhatja a rá vonatkozó adatok feldolgozását. Pontosítani kell a „megfelelő eset” fogalmát, vagyis azt, hogy mikor emelhető kifogás és mikor nem. Az adatalanyok számára egyértelművé kell tenni, hogy mely körülmények fennállása esetén – például a hatóság vagy a vizsgálat típusától, vagy egyéb kritériumoktól függően – képesek jogaik gyakorlására.

72.

Emellett az adatfeldolgozás felügyeletéért felelős független hatóság általi közvetett ellenőrzési mechanizmusról kell gondoskodni, amennyiben jogszerű okok miatt nem lehetséges közvetlenül kifogást emelni az adatfeldolgozás ellen.

73.

Az európai adatvédelmi biztos ismételten hangsúlyozza a tényleges átláthatóság fontosságát, amely lehetővé teszi, hogy az egyének gyakorolhassák jogaikat, és hozzájárul a személyes adatokat feldolgozó közjogi szervek általános elszámoltathatóságához. Támogatja a megfogalmazott elveket, és hangsúlyozza különösen az egyéneknek nyújtott általános és egyéni tájékoztatás szükségességét. Ezt tükrözi a melléklet 9. pontjában megfogalmazott elv.

74.

A jelentés 2. fejezetének A. és B. részében („Elfogadott elvek”) azonban az szerepel, hogy az Egyesült Államokban az átláthatóság fogalmába beletartozhat – önmagában vagy együttesen – a Szövetségi Közlönyben (Federal Register) való közzététel, az egyéni tájékoztatás és a bírósági eljárások során való közzététel is. Egyértelműnek kell lennie annak, hogy hivatalos közlönyben való közzététel önmagában nem garantálja kellőképpen az adatalany megfelelő tájékoztatását. Az egyéni tájékoztatás szükségessége mellett az európai adatvédelmi biztos emlékeztet arra, hogy a tájékoztatást az adatalany számára könnyen érthető formában és nyelven kell megadni.

75.

Az egyének számára – jogaik tényleges gyakorlásának garantálása céljából – lehetővé kell tenni panasz benyújtását a független adatvédelmi hatósághoz, valamint a független vagy pártatlan bíróság előtti jogorvoslatot. Mindkét jogorvoslati lehetőséget egyformán biztosítani kell.

76.

A független adatvédelmi hatósághoz való hozzáférésre azért van szükség, mivel az rugalmasan és kevésbé költséges módon tud segítséget nyújtani egy olyan összefüggésben (bűnüldözés), amely az egyének számára kevéssé átlátható. Az adatvédelmi hatóságok a hozzáférési jogoknak az adatalany nevében való gyakorlásával is tudnak segítséget nyújtani olyan esetekben, amikor a szabályok alóli kivételek nem teszik lehetővé az érintett közvetlen hozzáférését személyes adataihoz.

77.

Az bírósághoz való hozzáférés kiegészítő és elengedhetetlen garanciája annak, hogy az adatalany a demokratikus rendszer valamely – az adatfeldolgozást ténylegesen végző közintézményétől eltérő – ágához tartozó hatóság előtt jogorvoslattal élhessen. Az ilyen, bíróság előtti tényleges jogorvoslat az Európai Bíróság szerint (24)„lényeges az egyén jogainak hatékony védelme biztosítása céljából. (…) [Ez] a közösségi jog olyan általános elvét tükrözi, amely a tagállamok alkotmányos hagyományainak alapja és amelyet az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 6. és 13. cikke foglal magában.”. A bíróság előtti jogorvoslat meglétéről kifejezetten rendelkezik az Európai Unió alapjogi chartájának 47. cikke, valamint a 95/46/EK irányelv 22. cikke is, a közigazgatási jogorvoslatok sérelme nélkül.

78.

Az európai adatvédelmi biztos üdvözli azt a rendelkezést, amely megfelelő biztosítékokat ír elő személyes adatok automatizált feldolgozásának esetére. Megállapítja, hogy „az egyén vonatkozó érdekeit súlyosan sértő intézkedés” mibenlétének egységes értelmezése pontosítaná ezen elv alkalmazásának feltételeit.

79.

A továbbadásra vonatkozó feltételek néhány esetben nem egyértelműek. Különösen akkor, ha a továbbadás során nemzetközi megállapodásokat, valamint a küldő és a fogadó ország közötti megállapodásokat kell betartani, meg kell határozni, hogy ez az első adattovábbítást kezdeményező két ország közötti megállapodásokra vonatkozik-e, vagy a továbbadásban érintett két ország közötti megállapodásokra. Az európai adatvédelmi biztos véleménye szerint mindenképpen ideértendők az első adattovábbítást kezdeményező két ország közötti megállapodások.

80.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy az adatok továbbadását lehetővé tevő „jogos közérdek” fogalommeghatározása rendkívül tág. A közbiztonság fogalma nem egyértelmű, és a bűnüldözés összefüggésében indokolatlan és túlzott az adattovábbítás kiterjesztése szabályozott foglalkozások szakmai szabályainak megszegésére.

81.

Az európai adatvédelmi biztos üdvözli az EU és az Egyesült Államok hatóságai által az adatvédelem szempontjából alapvető fontosságú bűnüldözés területén végzett közös munkát. Hangsúlyozza mindazonáltal a kérdés összetett jellegét, különösen a pontos alkalmazási kör és jelleg tekintetében, valamint azt, hogy ezért körültekintő és alapos elemzésre van szükség. Egy transzatlanti adatvédelmi eszköznek a meglévő jogi keretre gyakorolt hatását és a polgárokat érintő következményeit körültekintően mérlegelni kell.

82.

Az európai adatvédelmi biztos további pontosítást és konkrét rendelkezéseket tart szükségesnek, különösen az alábbiak tekintetében:

83.

Az európai adatvédelmi biztos hangsúlyozza, hogy el kell kerülni az elvek kidolgozásának elsietését, mivel az nem kielégítő, az adatvédelem céljával ellentétes hatású eredményekhez vezetne. Ebben a szakaszban a legjobb lépés egy később megkötendő, esetleges megállapodás felé vezető ütemterv kidolgozása lenne.

84.

Az európai adatvédelmi biztos nagyobb mértékű átláthatóságot sürget az adatvédelmi elvek kidolgozásának folyamata tekintetében. Az eszköz kizárólag az érintettek mindegyikének – az Európai Parlamentet is beleértve – részvételével folytatott demokratikus vita esetén kaphatja meg a szükséges támogatást és elismerést.

—

Az Amerikai Egyesült Államok és az Európai Rendőrségi Hivatal között 2001. december 6-án kötött megállapodás, valamint az Europol és az USA közötti kiegészítő megállapodás a személyes adatok és az azokkal kapcsolatos információk cseréjéről, melyet az Europol weboldalán tettek közzé;

—

Az Amerikai Egyesült Államok és az Eurojust között az igazságügyi együttműködésről 2006. november 6-án kötött megállapodás, melyet az Eurojust weboldalán tettek közzé;

—

Az Európai Unió és az Amerikai Egyesült Államok közötti, az utas-nyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás (2007. évi PNR-megállapodás), melyet Brüsszelben 2007. július 23-án és Washingtonban 2007. július 26-án írtak alá (HL L 204., 2007.8.4., 18. o.);

—

Az EU és az USA hatóságai között a terrorizmus finanszírozásának felderítését célzó programról szóló, 2007. június 28-i levélváltás.

—

Az ENSZ iránymutatása a számítógépes személyesadat-állományokról, amelyet a Közgyűlés 1990. december 14-én fogadott el, elérhető: www.unhchr.ch/html/menu3/b/71.htm

—

az Európa Tanács 1981. január 28-i egyezménye az egyének személyes adataik gépi feldolgozása során való védelméről, elérhető: www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

az OECD 1980. szeptember 23-án elfogadott iránymutatása a magánélet védelméről és a személyes adatok határokon átnyúló áramlásáról (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), elérhető:www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Tervezet – A Tanács kerethatározata a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről, elérhető: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

az Európai Parlament és a Tanács 1995. október 24-i 95/46/Ek irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23., 31. o.).

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/13

1.

A Tanácsnak, az Európai Parlamentnek és az Európai Gazdasági és Szociális Bizottságnak szóló, „Úton az európai e-igazságügyi stratégia felé” című bizottsági közlemény (a továbbiakban: a közlemény) 2008. május 30-án elfogadásra került. Az európai adatvédelmi biztos a 45/2001/EK rendelet 41. cikkével összhangban benyújtja véleményét.

2.

A közlemény olyan javaslatra irányul, amelynek célja fokozni a polgárok által az európai igazságügyi térségbe vetett bizalmat. Az e-igazságszolgáltatás elsődleges célja egész Európában a polgárok javára fokozni az igazságszolgáltatás hatékonyságát. Az EU fellépése révén a polgárok anélkül juthatnak információhoz, hogy a rendszerek sokféleségéből kifolyólag nyelvi, kulturális vagy jogi akadályok gátolnák őket. A közlemény melléklete a különféle projektek vonatkozásában cselekvési tervre és ütemtervre irányuló javaslatot tartalmaz.

3.

Az adatvédelmi biztos e véleménye a személyes adatok feldolgozására, az elektronikus kommunikáció során a magánélet védelmére és az adatok szabad áramlására vonatkozó részeket vizsgálja a közleményből.

4.

Az IB-Tanács (3) 2007 júniusában az e-igazságszolgáltatás fejlesztésére számos prioritást határozott meg.

5.

Az e-igazságszolgáltatással kapcsolatos munka azóta rendes ütemben haladt. A Bizottság véleménye szerint az e keretben végzett munkának – az uniós szintű koordináció nyújtása mellett – az operatív projektek és a decentralizált struktúrák részére elsőbbséget kell biztosítania, hatékonyságuk fokozása érdekében a meglévő jogi eszközök felhasználásával és IT-eszközök alkalmazásával. Az Európai Parlament szintén kifejezte az e-igazságszolgáltatási projekt iránti támogatását (4).

6.

A Bizottság következetesen támogatja a modern informatikai technológiáknak a polgári és bűnüldözési területen való felhasználását. Ez olyan eszközöket eredményezett, mint az európai fizetési meghagyás. A Bizottság 2003 óta kezeli a polgári és kereskedelmi ügyekkel kapcsolatos Európai Igazságügyi Hálózat portálját, mely 22 nyelven áll a polgárok rendelkezésére. A Bizottság továbbá kidolgozta és létrehozta az Európai Igazságügyi Atlaszt. Ezek a jövőbeli európai e-igazságszolgáltatási keret előzetes elemei. A Bizottság a bűnüldözés terén olyan eszköz kidolgozásával foglalkozik, melynek célja a tagállamok bűnügyi nyilvántartásaiból nyert információk cseréjének lehetővé tétele (5). A Bizottságon kívül az Eurojust is kidolgozott a nemzeti hatóságokkal közösen biztonságos kommunikációs rendszereket.

7.

Az e-igazságszolgáltatás célja sok lehetőséget nyújtani ahhoz, hogy a jog érvényesülésén alapuló európai térség az elkövetkező években kézzelfoghatóbbá váljon a polgárok számára. A Bizottság az e fontos kérdésre vonatkozó átfogó stratégia meghatározása érdekében elfogadta az e-igazságügyről szóló ezen közleményt. A közlemény objektív kritériumokat határoz meg a – különösen az uniós szintű jövőbeli projektekre vonatkozó – prioritások kijelöléséhez annak érdekében, hogy ésszerű határidőn belül konkrét eredmények szülessenek.

8.

A Bizottság szervezeti egységeinek munkadokumentuma, a közleményt kísérő, a hatásvizsgálat összefoglalását tartalmazó dokumentum (6) szintén szolgál háttér-információval. A hatásvizsgálati jelentést a tagállamok, az igazságügyi hatóságok, a jogi szakmák képviselői, a polgárok és az üzleti világ reakcióinak figyelembevételével készítették el. Az európai adatvédelmi biztossal nem konzultáltak. A hatásvizsgálati jelentés a problémák kezelésére előnyben részesítette az uniós dimenziót és a nemzeti hatáskört kombináló szakpolitikai megoldást. A közlemény ezt a szakpolitikai megoldást választotta. A stratégia az alábbiakra összpontosít: videokonferencia alkalmazása, e-igazságszolgáltatási portál létrehozása, a fordítási lehetőségek automatikus online fordítási eszközök kidolgozása általi javítása, az igazságügyi hatóságok közötti kommunikáció javítása, a nemzeti nyilvántartások közötti szorosabb kapcsolat és online eszközök az európai eljárások (pl. az európai fizetési meghagyásos eljárás) számára.

9.

Az európai adatvédelmi biztos támogatja, hogy a stratégia a fenti fellépésekre összpontosítson. Általában támogatja az e-igazságszolgáltatásra vonatkozó átfogó megközelítést. Elfogadja, hogy szükség van az igazságszolgáltatáshoz való hozzáférés, az európai jogi hatóságok közötti együttműködés és maga az igazságszolgáltatási rendszer hatékonyságának javítására. E megközelítés eredményeként számos intézmény és személy vált érintetté:

10.

A közlemény szorosan kapcsolódik az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) létrehozásáról szóló tanácsi határozati javaslatra. Az európai adatvédelmi biztos 2008. szeptember 16-án nyilvánított véleményt e javaslatra vonatkozóan (7). Támogatta a javaslatot azzal a feltétellel, hogy számos szempontot figyelembe kell venni. Különösen arra mutatott rá, hogy további adatvédelmi garanciáknak kell pótolniuk a rendőri és igazságügyi hatóságok közötti együttműködés terére vonatkozó átfogó adatvédelmi jogi keret jelenlegi hiányát. Ennélfogva hangsúlyozta, hogy a rendszer adatvédelmi felügyeletének hatékony koordinálására van szükség, mely a tagállamok hatóságaira és a Bizottságra mint a közös kommunikációs infrastruktúra biztosítójára terjed ki.

11.

E vélemény néhány említésre méltó ajánlása:

12.

Ezen ajánlások a jelenlegi közlemény elemzésének összefüggésében is érvényesek.

13.

Az e-igazságszolgáltatás alkalmazási köre igen széles, általánosságban kiterjed az IKT-nek az európai uniós igazságszolgáltatásban való felhasználására. Ez számos olyan kérdést foglal magába, mint például a peres felek hatékonyabb tájékoztatása. Ezek közé tartoznak az igazságügyi rendszerekre, a jogalkotásra és esetjogra vonatkozó online információk, a peres feleket és a bíróságokat összekapcsoló elektronikus kommunikációs rendszerek, valamint a teljes mértékben elektronikus eljárások kialakítása. Továbbá olyan uniós projektekre is kiterjed, mint az elektronikus eszközöknek a meghallgatások rögzítésére való felhasználása és az adatcserével vagy összekapcsolással járó projektek.

14.

A széles alkalmazási kör ellenére az európai adatvédelmi biztos megállapította, hogy a bűnügyi eljárásokkal és a polgári és kereskedelmi igazságügyi rendszerekkel kapcsolatban nyújt majd tájékoztatást, a közigazgatási igazságügyi rendszerekkel kapcsolatban azonban nem. Lesz továbbá kapcsolat a Bünügyi és Polgári Atlasszal, azonban a Közigazgatási Atlasszal nem, holott esetleg előnyösebb lenne, ha a polgárok és a vállalatok rendelkeznének az igazságügyi közigazgatási rendszerekhez (azaz a közigazgatási jogi és a panasztételi eljárásokhoz) való hozzáféréssel. Ezenkívül kapcsolatot kell biztosítani az Államtanácsok Szövetségével is. Ezen kiegészítések jobban segíthetik a számos bíróságával gyakorta útvesztőnek mutatkozó közigazgatási jogban eltévedt polgárt abban, hogy jobb tájékoztatást kapjon a közigazgatási igazságügyi rendszerekről.

15.

Ezért az európai adatvédelmi biztos javasolja, hogy az e-igazságszolgáltatás a közigazgatási eljárásokra is terjedjen ki. Ezen új elem részeként e-igazságszolgáltatási projekteket kell kezdeményezni az adatvédelmi szabályok és a nemzeti adatvédelmi hatóságok láthatóságának fokozására, különösen az e-igazságszolgáltatás keretében feldolgozott adatok típusaival kapcsolatban. Ez összhangban lenne az adatvédelmi hatóságok által 2006-ban indított úgynevezett londoni kezdeményezéssel, melynek célja „Az adatvédelemről szóló kommunikáció és az adatvédelem hatékonyabbá tétele”.

16.

Azon túl, hogy az igazságügyi hatóságok között a személyes adatoknak a közleményben előirányzott cseréjét javítja, az alkalmazandó adatvédelmi jogi keret még nagyobb jelentőségre tesz szert. Ezzel összefüggésben az európai adatvédelmi biztos megállapítja, hogy az Európai Unió Tanácsa az eredeti bizottsági javaslat után három évvel, november 27-én elfogadta a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló kerethatározatot (8). Ez az új jogi aktus általános adatvédelmi jogi keretet biztosít a harmadik pillér ügyei számára, kiegészítve a 95/46/EK irányelvnek az első pillérre vonatkozó adatvédelmi rendelkezéseit.

17.

Az európai adatvédelmi biztos a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés első jelentős előrelépéseként üdvözli a jogi eszközt. Azonban a végső szövegben elért adatvédelmi szint nem teljes mértékben kielégítő. Konkrétabban a kerethatározat csak a tagállamok, az uniós hatóságok és rendszerek közötti rendőrségi és igazságügyi adatcserére vonatkozik, a belföldi adatcserére nem terjed ki. Továbbá az elfogadott kerethatározat nem teszi kötelezővé az adatalanyok különféle kategóriái (pl. gyanúsítottak, bűnözők, tanúk és áldozatok) közötti különbségtételt annak érdekében, hogy a velük kapcsolatos adatok megfelelőbb biztosítékok mellett kerüljenek feldolgozásra. Nincs teljes összhangban a 95/46/EK irányelvvel, különösen az azon célokra vonatkozó korlátozás tekintetében, melyekre a személyes adatok további feldolgozása lehetséges. Továbbá nem irányozza elő a releváns nemzeti és uniós adatvédelmi hatóságok független csoportját, amely egyrészt az adatvédelmi hatóságok közötti jobb koordinációt biztosíthatná, másrészt érdemben segítené a kerethatározat egységes alkalmazásához.

18.

Ez azt jelentené, hogy – egy olyan keretben, melyben számos erőfeszítés irányul a személyes adatok határokon átnyúló cseréjét szolgáló közös rendszerek kidolgozására – az ezen adatok feldolgozására és a polgárok jogainak a különböző uniós tagállamokban való gyakorlására vonatkozó szabályok tekintetében még mindig nem alakult ki koherencia.

19.

Az európai adatvédelmi biztos még egyszer emlékeztet arra, hogy a rendőrségi és igazságügyi együttműködés keretében feldolgozott adatok magas szintű védelmének, valamint a 95/46/EK irányelvvel való összhangnak a biztosítása szükséges kiegészítője a bűnüldözés terén folytatott, határokon átnyúló személyesadat-csere elősegítésére bevezetett vagy előirányzott más intézkedéseknek. Ez nemcsak a polgároknak a személyes adatok védelmére vonatkozó alapvető jog tiszteletben tartásához való jogából ered, hanem abból is, hogy a bűnüldöző hatóságoknak szükségük van a kicserélt adatok minőségének – amint azt a bűnügyi nyilvántartások összekapcsolása tekintetében a közlemény melléklete megerősíti –, a különböző országok hatóságai közötti bizalomnak és végül az összegyűjtött bizonyíték határokon átnyúló keretben való jogi érvényességének biztosítására.

20.

Az európai adatvédelmi biztos ezért arra bíztatja az uniós intézményeket, hogy ezen elemeket különösen vegyék figyelembe nemcsak a közleményben előirányzott intézkedések végrehajtása során, hanem annak érdekében is, hogy a lehető leghamarabb megkezdjék annak mérlegelését, hogy hogyan lehet javítani a bűnüldözés terén való adatvédelem jogi keretét.

21.

Az európai adatvédelmi biztos elismeri, hogy a személyes adatok cseréje lényeges eleme a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség megteremtésének. Ezért az európai adatvédelmi biztos támogatja az e-igazságszolgáltatási stratégiára irányuló javaslatot, egyben hangsúlyozza ebben az összefüggésben az adatvédelem fontosságát. Az adatvédelem valóban nem csupán jogi kötelesség, hanem az előirányzott rendszerek (pl. az adatcsere-minőség biztosítása) sikerének kulcsfontosságú eleme is. Ez szintén érvényes az intézményekre és szervekre akkor is, amikor személyes adatokat dolgoznak fel, és amikor új irányelveket dolgoznak ki. A szabályokat és az elveket a gyakorlatban kellene alkalmazni és követni, különösen figyelembe véve őket az informatikai rendszerek kidolgozásának és kialakításának szakaszában. A magánélet védelme és az adatvédelem lényegében a virágzó és kiegyensúlyozott információs társadalom sikerének kulcsfontosságú tényezője. Ezért ésszerű a rájuk irányuló beruházás, mégpedig a lehető leghamarabb.

22.

Ezzel összefüggésben az európai adatvédelmi biztos hangsúlyozza, hogy a közlemény nem irányoz elő központi uniós adatbázist. Üdvözli, hogy a közlemény előnyben részesíti a decentralizált struktúrákat. Az európai adatvédelmi biztos emlékeztet arra, hogy az ECRIS-ről (9) és a prümi kezdeményezésről (10) már véleményt nyilvánított. Az ECRIS-ről szóló véleményében az európai adatvédelmi biztos kifejezte, hogy a decentralizált struktúrával elkerülhető a személyes adatoknak a központi adatbázisban való tárolással történő megduplázása. A prümi kezdeményezésről szóló véleményében azt javasolta, hogy az adatbázisok összekapcsolásának megbeszélésekor megfelelően vegyék figyelembe a rendszer méretét. Különösen a nyelvi különbségeket is figyelembe vevő, egyedi adatközlési formátumokat (mint például a bűnügyi nyilvántartásokhoz benyújtandó online kérelmeket) kell megállapítani, és az adatcsere pontosságát folyamatosan felügyelni kell. Ezen elemeket az e-igazságszolgáltatási stratégiából eredő kezdeményezések keretében is figyelembe kell venni.

23.

Az Európai Bizottság hozzá kíván járulni az európai szintű e-igazságszolgáltatási eszközök megerősítéséhez és fejlesztéséhez, szoros együttműködésben a tagállamokkal és más partnerekkel. A tagállamok erőfeszítéseinek támogatása mellett a Bizottság számos számítógépes eszközt kíván önerőből kifejleszteni annak érdekében, hogy fokozza a rendszerek interoperabilitását, elősegítse a nyilvánosságnak az igazságszolgáltatáshoz való hozzáférését és az igazságügyi hatóságok közötti kommunikációt, valamint, hogy számottevő európai szintű méretgazdaságosságot érjen el. A tagállamok által használt szoftver interoperabilitását tekintve nem minden tagállamnak kell feltétlenül ugyanazt a szoftvert használnia (noha ez lenne a legpraktikusabb), ám a szoftvernek teljes mértékben interoperábilisnek kell lennie.

24.

Az európai adatvédelmi biztos azt javasolja, hogy a rendszerek összekapcsolásának és interoperabilitásának figyelembe kellene vennie a célkorlátozás elvét és az adatvédelmi normákra kellene épülnie (beépített magánélet-védelem). Két különböző rendszer közötti interakció bármely formáját szigorúan dokumentálni kellene. Az interoperabilitás nem teremthet olyan helyzetet, amelyben egy hatóság, amely nem jogosult bizonyos adatokhoz való hozzáférésre vagy az adatok használatára, egy másik információs rendszeren keresztül hozzáférést szerezhet ezekhez. Az európai adatvédelmi biztos ismét hangsúlyozni kívánja, hogy az interoperabilitás önmagában nem igazolhatná a célkorlátozás elvének megkerülését (11).

25.

További alapvető fontosságú szempont annak biztosítása, hogy a személyes adatok fokozott határokon átnyúló cseréjét az adatvédelmi hatóságok fokozott felügyelete és együttműködése kísérje. Az európai adatvédelmi biztos a bűnügyi nyilvántartásból származó információk cseréjéről szóló kerethatározatról kiadott 2006. május 29-i véleményében (12) már rámutatott arra, hogy a kerethatározati javaslatnak nem csak a központi hatóságok közötti együttműködésre kell kiterjednie, hanem a különböző illetékes adatvédelmi hatóságok együttműködésére is. Ez az igény még fontosabb most, hogy a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, nemrégiben elfogadott kerethatározatról (13) folytatott tárgyalások eredményeképp törölték azt a rendelkezést, amely létrehozta az uniós adatvédelmi hatóságokat tömörítő és azok tevékenységét a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő adatfeldolgozás tekintetében koordináló munkacsoportot. Ezért a hatékony felügyelet, valamint a bűnügyi nyilvántartásból származó adatok határokon átnyúló forgalma jó minőségének biztosítása érdekében hatékony koordinációs mechanizmusokat kellene kialakítani az illetékes adatvédelmi hatóságok között (14). Ezeknek a mechanizmusoknak figyelembe kell venniük az európai adatvédelmi biztosnak az s-TESTA infrastruktúrával kapcsolatos felügyeleti illetékességét (15). Az e-igazságszolgáltatási eszközök támogathatnák ezeket az adatvédelmi hatóságokkal együttműködésben kialakítható mechanizmusokat.

26.

A közlemény 4.2.1. pontja rámutat, hogy fontos lesz, hogy a bűnügyi nyilvántartásban szereplő információk cseréje túllépjen az igazságügyi együttműködésen, más célokra is – pl. bizonyos állásokhoz való hozzáférésre – kiterjesztve. Az európai adatvédelmi biztos hangsúlyozza, hogy a személyes adatoknak a gyűjtésük céljától eltérő célokra való bármely feldolgozása tiszteletben kell, hogy tartsa az alkalmazandó adatvédelmi törvényekben meghatározott egyedi feltételeket. Különösen a személyes adatok további célokra való feldolgozását csak akkor szabadna engedélyezni, ha a közösségi adatvédelmi jogszabályokban (16) felsorolt érdekek védelme érdekében szükséges, és amennyiben jogalkotási intézkedésekben kerültek meghatározásra.

27.

A közlemény a bűnügyi nyilvántartások összekapcsolásával kapcsolatban megállapítja, hogy a bűnügyi nyilvántartásban szereplő információk cseréjéről szóló kerethatározat hatálybalépése előkészítésének részeként a Bizottság két megvalósíthatósági vizsgálatot indít annak érdekében, hogy a projekt kidolgozása során biztosítsa annak szervezését, valamint az információcserének a bűncselekmények miatt elítélt, harmadik országbeli polgárokra való kiterjesztése céljából. A Bizottság 2009-ben arra a célra kidolgozott szoftvert bocsát a tagállamok rendelkezésére, hogy lehetővé tegye az összes bűnügyi nyilvántartás adatainak rövid idő alatti cseréjét. Ez a referenciarendszer – az s-TESTA információcserére való felhasználásával kombinálva – méretgazdaságosságot produkál, mivel a tagállamoknak nem kell önálló fejlesztési munkát végezniük. Ezenfelül a projekt irányítását is megkönnyíti.

28.

Ennek figyelembevételével az európai adatvédelmi biztos üdvözli az adatcsere tekintetében megbízhatónak bizonyult s-TESTA infrastruktúrájának felhasználását, és azt javasolja, hogy a tervbe vett adatcsere-rendszerekkel kapcsolatos statisztikai adatokat pontosabban meg kell határozni és kellően figyelembe kell venni az adatvédelmi felügyelet biztosításának szükségességét. A statisztikai adatok például kifejezetten tartalmazhatnak olyan elemeket, mint a hozzáférési kérelmeknek vagy a személyes adatok helyesbítésének száma, a naprakésszé tételi folyamat hossza és teljessége, az ezen adatokhoz hozzáférő személyek tisztsége, valamint a biztonság sérülésének esetei. Ezenkívül a statisztikai adatoknak és az ezeken alapuló jelentéseknek teljes mértékben elérhetőknek kell lenniük az illetékes adatvédelmi hatóságok számára.

29.

A gépi fordítás ilyen használata hasznos eszköz, mely valószínűsíthetően elősegíti a tagállamok érintett szereplői számára egymás kölcsönös megértését. Azonban a gépi fordítás használata nem eredményezheti a kicserélt információ minőségének romlását, különösen akkor, ha ezt az információt olyan határozatok meghozatalához használják fel, melyek jogi hatással vannak az érintett személyekre. Az európai adatvédelmi biztos rámutat, hogy fontos a gépi fordítás felhasználásának pontos meghatározása és körülírása. A nem pontosan előfordított információk, mint például az egyes esetekhez fűzött kiegészítő megjegyzések vagy pontosítások esetében a gépi fordítás használata valószínűleg rontja a továbbított információ – és ezáltal az ez alapján hozott döntések – minőségét, és ezért elvben ki kell zárni (17). Az európai adatvédelmi biztos a bizottsági javaslatból eredő intézkedésekben ennek az ajánlásnak a figyelembevételét javasolja.

30.

A közlemény jogi fordítók és tolmácsok adatbázisának létrehozására törekszik annak érdekében, hogy javuljon a jogi fordítás és tolmácsolás minősége. Az európai adatvédelmi biztos támogatja ezt a célt, de emlékeztet arra, hogy ezen adatbázis a vonatkozó adatvédelmi törvény alkalmazásától függ majd. Konkrétan, amennyiben az adatbázis a fordítók munkájának értékelésére vonatkozó adatot tartalmaz, lehetséges, hogy azt az illetékes adatvédelmi hatóság ellenőrzésének kell alávetni.

31.

A közlemény 5. pontja rámutat arra, hogy a Bizottság, a tagállamok és az igazságügyi együttműködésben részt vevő más szereplők között pontosan meg kell határozni a felelősségek elosztását. A Bizottság általános koordinációs feladatot vállal a gyakorlatok cseréjének ösztönzésével, és elvégzi az e-igazságszolgáltatási portálra vonatkozó információ kidolgozását, elrendezését és koordinálását. A Bizottság ezenfelül folytatja a bűnügyi nyilvántartások összekapcsolására irányuló munkát, és továbbra is közvetlen felelősséget vállal a polgári jogi hálózatért, és támogatja a bűnügyi jogi hálózatot. A tagállamoknak frissíteniük kell az e-igazságszolgáltatás weboldalára az igazságügyi rendszerükkel kapcsolatosan feltett információt. Az egyéb szereplőket a polgári és bűnügyi jogi hálózatok és az Eurojust jelentik. Ezek – szoros kapcsolatban a Bizottsággal – kidolgozzák a hatékonyabb igazságügyi együttműködéshez szükséges eszközöket, különösen a gépi fordítási eszközöket és a biztonságos adatcsere-rendszert. A közlemény melléklete a különféle projektek vonatkozásában cselekvési tervre és ütemtervre irányuló javaslatot tartalmaz.

32.

Az európai adatvédelmi biztos ezzel összefüggésben hangsúlyozza, hogy az ECRIS rendszerében egyrészt a jogszabály nem hoz létre központi európai adatbázist, és nem írja elő a más tagállamok bűnügyi nyilvántartási adatbázisaihoz való közvetlen hozzáférést, másrészt azonban nemzeti szinten centralizálja a pontos információra vonatkozó felelősségi köröket a tagállamok központi hatóságai révén. E mechanizmus értelmében a tagállamok felelősek a nemzeti adatbázisok működéséért és az információcsere hatékonyságáért. Nem világos, hogy vajon a tagállamok felelnek-e az összeköttetést biztosító szoftverért. A Bizottság tagállamok rendelkezésére bocsátja az ahhoz szükséges szoftvert, hogy lehetővé váljon az összes bűnügyi nyilvántartás adatainak rövid idő alatti cseréje. Ezt a referenciarendszert kombinálják majd az s-TESTA információcserére való felhasználásával.

33.

Az európai adatvédelmi biztos tudja, hogy analóg e-igazságszolgáltatási kezdeményezések keretében hasonló rendszerek kerülhetnek megvalósításra, és hogy a Bizottság felel a közös infrastruktúráért, noha erre a közlemény nem tér ki pontosan. Az európai adatvédelmi biztos a jogbiztonság érdekében a bizottsági javaslatból eredő intézkedésekben ennek a felelősségnek a pontos meghatározását javasolja.

34.

A melléklet tartalmazza az elkövetkező öt évben kidolgozandó projektek listáját. Az első projekt, az e-igazságszolgáltatás honlapja oldalainak fejlesztése az e-igazságszolgáltatás portáljára vonatkozik. A fellépés megvalósíthatósági tanulmányt és a portál fejlesztését igényli. Emellett szükség van hozzá az irányítási módszerek végrehajtására és az EU összes nyelvén nyújtott online tájékoztatásra. A második és a harmadik projekt a bűnügyi nyilvántartások összekapcsolására vonatkozik. A második projekt a nemzeti bűnügyi nyilvántartások összekapcsolására vonatkozik. A harmadik projekt a harmadik országok bűncselekmények elkövetése miatt elítélt állampolgárainak adatait tartalmazó nyilvántartás létrehozását irányozza elő, megvalósíthatósági tanulmány és jogalkotási javaslat benyújtását követően. Az európai adatvédelmi biztos megjegyzi, hogy az utóbbi projektet már nem említi a Bizottság munkaprogramja, és tudni szeretné, hogy vajon ez a Bizottság tervbe vett projektjeiben való változást tükrözi, vagy csupán ennek a konkrét projektnek az elhalasztásáról van szó.

35.

A közlemény továbbá felsorol három projektet az elektronikus csere, és három projektet a fordítástámogatás területén. Kísérleti projekt indul a többnyelvű összehasonlító jogi szójegyzék fokozatos összeállítása céljából. A többi vonatkozó projekt az uniós jogalkotási szövegek kísérése dinamikus formáinak kidolgozására és a videokonferenciák igazságügyi hatóságok általi ösztönzésére vonatkoznak. Végül az e-igazságszolgáltatási fórumok részeként éves ülésekre kerül sor az e-igazságszolgáltatással kapcsolatos kérdésekről, valamint kidolgozásra kerül az igazságügyi együttműködés területéhez tartozó jogi szakemberek képzése. Az európai adatvédelmi biztos azt javasolja, hogy ezen ülések és képzések kellő mértékben vegyék figyelembe az adatvédelemre vonatkozó jogszabályokat és gyakorlatokat.

36.

Ennélfogva a melléklet uniós eszközök széles skáláját irányozza elő a különböző tagállamok szereplői közötti információcsere elősegítése érdekében. Ezen eszközök között fontos szerepet játszik majd az e-igazságszolgáltatási portál, melyért főleg a Bizottság vállal felelősséget.

37.

Ezen eszközök közül soknak az lesz a közös jellemzője, hogy az információt és a személyes adatokat nemzeti és uniós szinten az adatvédelmi kötelezettségek hatálya alá tartozó különböző szereplők, valamint a 95/46/EK irányelv vagy a 45/2001/EK rendelet alapján létrehozott felügyeleti hatóságok cserélik ki és kezelik. E tekintetben – amint az európai adatvédelmi biztos a belső piaci információs rendszerről (IMI) szóló véleményében (18) már pontosan megfogalmazta – alapvető fontosságú, hogy az adatvédelmi szabályoknak való megfelelésre vonatkozó feladatokat hatékonyan és zökkenőmentesen lássák el.

38.

Ez lényegében egyrészt az ezen rendszereken belüli személyesadat-feldolgozással kapcsolatos feladatkörök pontos meghatározását és elosztását igényli; másrészt azt, hogy szükség esetén megfelelő koordinációs mechanizmusokat kerüljenek meghatározásra, különösen a felügyelet tekintetében.

39.

Az új technológiák alkalmazása az e-igazságszolgáltatási kezdeményezések egyik sarokköve: a nemzeti nyilvántartások összekapcsolása, az elektronikus aláírás kidolgozása, a biztonságos hálózatok, a virtuális csereplatformok és a videokonferencia szélesebb körű használata az e-igazságszolgáltatási kezdeményezések lényeges eleme lesz az elkövetkező években.

40.

Ennek alapján alapvető fontosságú, hogy az adatvédelmi kérdéseket a lehető legkorábbi szakaszban figyelembe vegyék és belefoglalják az előirányzott eszközök struktúrájába. Különösen fontos a rendszer struktúrája és a megfelelő biztonsági intézkedések végrehajtása. Ez a „beépített magánélet-védelmi” megközelítés lehetővé tenné, hogy a vonatkozó e-igazságszolgáltatási kezdeményezések hatékony személyesadat-kezelést nyújtsanak, miközben biztosítják az adatvédelmi elveknek való megfelelést és a különböző hatóságok közötti adatcserék biztonságát.

41.

Az európai adatvédelmi biztos továbbá hangsúlyozza, hogy a technológiai eszközöket nemcsak az adatcsere biztosítására, hanem annak elősegítésére is fel kellene használni, hogy az érintett személyek jogai érvényesüljenek. Az európai adatvédelmi biztos e tekintetben üdvözli, hogy a közlemény megemlíti a polgárok azon jogát, hogy az interneten keresztül erkölcsi bizonyítványt kérhessenek az általuk választott nyelven (19). Ezzel a kérdéssel kapcsolatban az európai adatvédelmi biztos emlékeztet arra, hogy a bűnügyi nyilvántartások cseréjére vonatkozó bizottsági javaslatról szóló véleményében üdvözölte azt a lehetőséget, hogy az érintett személy kérhesse egy tagállam központi hatóságától a rá vonatkozó erkölcsi bizonyítványt, feltéve, hogy az érintett személy jelenleg a kérelmezett vagy a kérelmező tagállam lakosa vagy állampolgára, vagy a múltban az volt. Az európai adatvédelmi biztos szintén felvetette azt az ötletet, hogy az érintett személyhez közelebb lévő hatóság biztosítsa az egyablakos ügyintézést a társadalombiztosítási rendszerek koordinációjának területén. Az európai adatvédelmi biztos ennélfogva ösztönzi a Bizottságot, hogy folytassa az ilyen irányú munkát az olyan technológiai eszközök – és főleg az internetes hozzáférés – támogatásával, melyek lehetővé teszik a polgároknak, hogy fokozottabban ellenőrizhessék személyes adataikat akkor is, ha egyik tagállamból a másikba költöznek.

42.

Az európai adatvédelmi biztos támogatja az e-igazságszolgáltatás létrehozására irányuló jelenlegi javaslatot, és az e véleményben tett – többek között az alábbiakban felsorolt – észrevételek figyelembevételét javasolja:

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/20

1.

A Bizottság 2008. július 2-án elfogadta a határokon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről szóló európai parlamenti és tanácsi irányelvre vonatkozó javaslatot (a továbbiakban: a javaslat) (1). A Bizottság a 45/2001/EK rendelet 28. cikke (2) bekezdésének megfelelően konzultáció céljából megküldte a javaslatot az európai adatvédelmi biztosnak.

2.

A javaslat célja az Európai Unióban a határokon átnyúló egészségügyi ellátás közösségi keretének a létrehozása olyan esetek tekintetében, amikor a betegek számára szükséges ellátás nyújtására a saját országuktól eltérő tagállamban kerül sor. Ez három fő terület köré szerveződik:

3.

E keret célja kettős: a más tagállamokban nyújtott egészségügyi ellátás költségeinek visszatérítésével kapcsolatos jogok kellő pontosítása, valamint annak biztosítása, hogy a magas színvonalú, biztonságos és hatékony egészségügyi ellátáshoz szükséges feltételek a határokon átnyúló ellátás esetében is érvényesüljenek.

4.

A határokon átnyúló egészségügyi ellátás rendszerének létrehozásával szükségessé válik a betegek egészségi állapotával kapcsolatos személyes adatoknak (a továbbiakban: egészségügyi adatok) a különböző tagállamok engedéllyel rendelkező szervezetei és egészségügyi szakemberei közötti cseréje. Ezen adatok érzékeny adatoknak minősülnek, és a 95/46/EK irányelv 8., a különleges adatok feldolgozásáról szóló cikkében megállapított szigorúbb szabályok hatálya alá tartoznak.

5.

Az európai adatvédelmi biztos üdvözli, hogy – a 45/2001/EK rendelet 28. cikkének megfelelően – e kérdéssel kapcsolatban konzultációra kérték fel és a konzultációra a javaslat preambulumában hivatkoztak.

6.

Ez az első olyan alkalom, amikor az egészségügyi ellátás területére vonatkozó irányelvjavaslattal kapcsolatban az európai adatvédelmi biztossal hivatalosan konzultáltak. Az e véleményben szereplő észrevételek némelyike ezért tágabb körre terjed ki, és foglalkozik a személyes adatok egészségügyi ágazatbeli védelmének olyan általános kérdéseivel is, amelyek más vonatkozó (kötelező vagy nem kötelező erejű) jogi eszközre is alkalmazhatók lehetnek.

7.

Az európai adatvédelmi biztos már véleménye elején támogatásáról kívánja biztosítani a határokon átnyúló egészségügyi ellátás feltételeinek javítására irányuló kezdeményezéseket. E javaslatot ténylegesen a polgárok egészségi állapotának az információs társadalomban való javítását célzó átfogó közösségi program összefüggésében kell vizsgálni. Egyéb vonatkozó kezdeményezések az emberiszerv-adományozás és -átültetés vonatkozásában tervezett bizottsági irányelv és közlemény (2), az elektronikus egészségügyi nyilvántartó rendszerek kölcsönös átjárhatóságáról szóló bizottsági ajánlás (3), valamint a távorvoslás vonatkozásában tervezett bizottsági közlemény (4). Az európai adatvédelmi biztost aggodalommal tölti el azonban az, hogy e vonatkozó kezdeményezések egyike sem kapcsolódik szorosan és/vagy kölcsönösen a magánélet védelmének és az adatok biztonságának a területéhez, ami akadályozza egységes adatvédelmi megközelítés elfogadását az egészségügyben, különösen az új IKT-technológiák használatának tekintetében. A jelen javaslatból példaként megemlíthető, hogy noha a javasolt irányelv (10) preambulumbekezdése kifejezetten megemlíti a távorvoslást, nem történt hivatkozás a vonatkozó bizottsági közlemény adatvédelmi dimenziójára. Ezenfelül, noha az elektronikus egészségügyi nyilvántartás az egészségügyi adatok határokon átnyúló átadásának egyik lehetséges módja, a szöveg nem tartalmaz hivatkozást a vonatkozó bizottsági ajánlásban említett adatvédelmi kérdésekre (5). Ez azt a benyomást kelti, hogy még mindig nem került sor az egészségügyi ellátás területével kapcsolatos átfogó adatvédelmi keret egyértelmű meghatározására, és az egyes esetekben egyáltalán nem létezik.

8.

Ez a jelen javaslat esetében is egyértelmű, amelynek tekintetében az európai adatvédelmi biztos sajnálattal állapítja meg, hogy az adatvédelmi vonatkozásokkal nem foglalkoznak konkrétan. Természetesen találhatók a szövegben az adatvédelemre vonatkozó hivatkozások, de azok általában általános jellegűek és nem tükrözik megfelelően a határokon átnyúló egészségügyi ellátás sajátos adatvédelmi szükségleteit és követelményeit.

9.

Az európai adatvédelmi biztos hangsúlyozni kívánja, hogy az egészségügyi ellátás tekintetében javasolt eszközök mindegyikében alkalmazott egységes és határozott adatvédelmi megközelítés nemcsak a polgárok személyes adataik védelméhez fűződő alapvető jogát biztosítja, hanem hozzájárul az EU-ban a határokon átnyúló egészségügyi ellátás továbbfejlesztéséhez is.

10.

Az Európai Közösség elsődleges célja egy belső piac, vagyis egy olyan, belső határok nélküli térség létrehozása volt, amelyben biztosított az áruk, személyek, szolgáltatások és tőke szabad mozgása. Annak lehetővé tétele a polgárok számára, hogy könnyebben telepedhessenek le a származási országuktól eltérő tagállamban, értelemszerűen vezetett az egészségügyi ellátással kapcsolatos kérdésekhez. Emiatt a Bíróság – még a kilencvenes években – a belső piaccal összefüggésben a más tagállamokban felmerült egészségügyi költségek esetleges visszatérítésével kapcsolatos kérdésekkel találta szemben magát. A Bíróság elismerte, hogy az EK-Szerződés 49. cikkében megállapított szolgáltatásnyújtás szabadsága magában foglalja a személyek arra vonatkozó szabadságát is, hogy egészségügyi ellátás igénybevétele céljából más tagállamba utazzanak (6). Ennek következtében a határokon átnyúló egészségügyi ellátást igénybe venni kívánó betegekkel szemben a továbbiakban nem lehetett az adott származási ország ugyanazon egészségügyi ellátásban részesülő állampolgáraitól eltérő bánásmódot alkalmazni.

11.

A Bíróság ezen ítéletei alkotják jelen javaslat magját. Mivel a Bíróság joggyakorlata egyedi eseteken alapul, jelen javaslat célja az egyértelműség fokozása az egészségügyi szolgáltatások igénybevétele és nyújtása szabadságának általánosabb és hatékonyabb módon való alkalmazásának biztosítása érdekében. A javaslat ugyanakkor – amint az már említésre került – egy célratörőbb programnak is részét képezi, melynek célja az információs társadalomban a polgárok egészségi állapotának a javítása, amelynek keretében az EU komoly lehetőségeket lát a határokon átnyúló egészségügyi ellátásnak az információtechnológia felhasználásán keresztüli javítására.

12.

Nyilvánvaló okokból nem könnyű kérdés a határokon átnyúló egészségügyi ellátásra vonatkozó szabályok meghatározása. Az ugyanis olyan érzékeny területet érint, amelynek tekintetében a tagállamok egymástól eltérő nemzeti rendszereket alakítottak ki, például a biztosítás és a költségtérítés, vagy az egészségügyi ellátás infrastruktúrájának szervezése tekintetében, az egészségügyi információs hálózatokat és alkalmazásokat is beleértve. Noha a közösségi jogalkotó a jelen javaslatban kizárólag a határokon átnyúló egészségügyi ellátás kérdésével foglalkozik, a szabályok mindenképpen hatással lesznek a nemzeti egészségügyi ellátórendszerek szervezésének módjára.

13.

A határokon átnyúló egészségügyi ellátás feltételeinek javítása a polgárok hasznát fogja szolgálni. Ugyanakkor a polgárokra nézve bizonyos veszélyeket is magában fog hordozni. Meg kell oldani több, a különböző országokból származó, különböző nyelvet beszélő személyek határokon átnyúló együttműködése során felmerülő gyakorlati problémát. Mivel a jó egészségi állapot minden polgár számára kiemelkedő fontosságú, ki kell zárni a kommunikációs félreértésekből és az azokból adódó tévedésekből eredő minden kockázatot. Magától értetődő, hogy a határokon átnyúló egészségügyi ellátásnak az információtechnológiai fejlődés figyelembevételével történő javítása komolyan érinti a személyes adatok védelmét. Az egészségügyi adatok hatékonyabb és ennélfogva fokozódó cseréje, az érintett személyek és intézmények közötti növekvő távolság, az adatvédelmi szabályokat végrehajtó eltérő nemzeti jogszabályok adat- és jogbiztonsággal kapcsolatos kérdéseket vetnek fel.

14.

Hangsúlyozni kell, hogy az egészségügyi adatok magasabb szintű védelmet igénylő, különleges adatoknak tekintendők. Az Emberi Jogok Európai Bírósága az emberi jogokról szóló európai egyezmény 8. cikkével kapcsolatosan a közelmúltban a következőket állapította meg: „A személyes adatok – különösen az orvosi adatok – védelme alapvető fontosságú az egyéneknek a magán- és a családi élet védelméhez fűződő – az egyezmény 8. cikkében garantált – joguk gyakorlása tekintetében.” (7). Az egészségügyi adatok feldolgozására vonatkozó, a 95/46/EK irányelvben megállapított szigorúbb szabályok ismertetése előtt néhány szót kell szentelni az „egészségügyi adat” fogalmának.

15.

A 95/46/EK irányelv nem tartalmazza az egészségügyi adatok fogalmának konkrét meghatározását. Az egészségügyi adat fogalmának értelmezése általában tág, és az gyakran nem más, mint „az érintett személy egészségi állapotának jellemzéséhez egyértelműen és szorosan kapcsolódó személyes adat” (8). Ebben a tekintetben az egészségügyi adatok általában orvosi adatokat (például gyógyászati beutalókat és orvosi rendelvényeket, orvosi vizsgálati jelentéseket, laboratóriumi vizsgálati eredményeket, radiológiai vizsgálati eredményeket stb.), valamint az egészségügyhöz kapcsolódó adminisztratív és pénzügyi adatokat (például kórházi felvételre vonatkozó dokumentumokat, társadalombiztosítási azonosító jelet, orvosi rendelésen való megjelenés időpontjait, igénybe vett egészségügyi szolgáltatásokról kiállított számlákat stb.) foglalnak magukban. Meg kell jegyezni, hogy az „orvosi adat” kifejezést (9) időnként az egészséggel összefüggő adat értelemben is használják, csakúgy mint „az egészségügyi ellátással kapcsolatos adat” kifejezést (10). E vélemény az „egészségügyi adat” kifejezést fogja használni.

16.

Az ISO 27799 szabvány az „egészségügyi adat” hasznos fogalommeghatározását adja: „minden olyan adat, amely az érintett testi vagy pszichikai egészségi állapotára, vagy az érintettnek nyújtott egészségügyi szolgáltatásra vonatkozik, és amely magában foglalhatja az alábbiakat: a) az érintettnek egészségügyi szolgáltatás igénybevétele céljából való nyilvántartásba vételére vonatkozó információk; b) az érintett számára egészségügyi ellátással kapcsolatban teljesített kifizetésekre vagy az érintett arra való jogosultságára vonatkozó információk; c) az érintett egészségügyi célokból való egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat; a) egészségügyi szolgáltatásnak az érintett általi igénybevétele során az érintettről gyűjtött információk; e) testrész vagy a testet alkotó anyag vizsgálata során nyert információk; és f) az érintett számára egészségügyi ellátást nyújtó személy (egészségügyi szakember) azonosítása.”.

17.

A jelen javaslat összefüggésében az európai adatvédelmi biztos határozottan támogatja az „egészségügyi adat” konkrét fogalommeghatározásának elfogadását, amely a jövőben más vonatkozó közösségi jogi szövegekben is felhasználható lenne (lásd az alábbi III. szakaszt).

18.

A 95/46/EK irányelv 8. cikke meghatározza a különleges adatok feldolgozására vonatkozó szabályokat. E szabályok szigorúbbak az egyéb adatok feldolgozása tekintetében a 95/46/EK irányelv 7. cikkében megállapított szabályoknál. Ez megmutatkozik már abban, hogy a 8. cikk (1) bekezdése kimondja, hogy a tagállamok megtilthatják – többek között – az egészségi állapotra vonatkozó adatok feldolgozását. A cikk ezt követő bekezdései az e tilalom alóli kivételeket tartalmaznak, ám azok korlátozottabbak, mint a nem különleges adatok feldolgozása tekintetében a 7. cikkben foglalt feltételek. A tilalom nem vonatkozik például arra az esetre, ha az érintett kifejezett hozzájárulását adta (8. cikk (2) bekezdés a) pont), szemben a 95/46/EK irányelv 7. cikkének a) pontjában előírt egyértelmű hozzájárulással. A tagállamok jogszabályaiban elő lehet írni továbbá, hogy egyes esetekben az adatalany hozzájárulása sem érvénytelenítheti a tilalmat. A 8. cikk (3) bekezdése kizárólag az adatok egészségügyi célú feldolgozásával foglalkozik. E bekezdés értelmében az (1) bekezdésben meghatározott tilalom nem alkalmazandó, ha az adatok feldolgozása megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy feldolgozás alkalmazása vagy egészségügyi szolgáltatások igazgatása céljából szükséges, és ha az adatokat a nemzeti jog vagy az illetékes nemzeti testületek által meghatározott szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy azzal egyenértékű titoktartási kötelezettség alá eső más személy dolgozza fel.

19.

A 95/46/EK irányelv 8. cikke jelentős hangsúlyt helyez arra, hogy a tagállamoknak megfelelő vagy kellő biztosítékokról kell gondoskodniuk. A 8. cikk (4) bekezdése például lehetővé teszi, hogy a tagállamok megfelelő garanciák mellett, alapvető közérdekből további kivételeket állapítsanak meg az érzékeny adatok feldolgozásának tilalma alól. Ez általánosságban kiemeli az érzékeny adatok – például az egészséggel kapcsolatos adatok – különös körültekintéssel történő feldolgozásával kapcsolatos tagállami felelősséget.

20.

A tagállamoknak különösen szem előtt kell tartaniuk a fent említett felelősséget az egészségügyi adatok határokon átnyúló cseréjének összefüggésében. Amint az a fentiekben már szerepel, az egészségügyi adatok határokon átnyúló cseréje növeli a helytelen vagy jogszerűtlen adatfeldolgozás kockázatát. Ez nyilvánvalóan súlyos hátrányos következményekkel járhat az érintettre nézve. Mind a biztosítás helye szerinti tagállam (amelyben a beteg biztosítottként nyilvántartásba van véve), mind az ellátás helye szerinti tagállam (amelyben a határokon átnyúló egészségügyi ellátás nyújtására ténylegesen sor kerül) részt vesz a feldolgozás folyamatában, ezért felelősségük közös.

21.

Az egészségügyi adatok biztonsága ebben az összefüggésben fontos kérdés. Az Emberi Jogok Európai Bírósága által tárgyalt közelmúltbeli, fent említett esetben különös súlyt kapott az egészségügyi adatok bizalmas jellege: „Az egészségügyi adatok bizalmas jellegének tiszteletben tartása az egyezmény szerződő felei mindegyikének jogrendszerében alapvető fontosságú elv. Nem csupán a beteg méltóságának a tiszteletben tartása bír alapvető fontossággal, hanem általában az egészségügyi hivatásba és az egészségügyi szolgáltatásokba vetett bizalmának a fenntartása is.” (11).

22.

A 95/46/EK irányelvben megállapított adatvédelmi szabályok előírják továbbá, hogy a biztosítás helye szerinti tagállamok kellő, helytálló és naprakész tájékoztatással szolgáljanak a beteg számára személyes adatai más tagállam részére való átadásáról, és biztosítsák az adatok biztonságos átadását az érintett tagállam részére. Az ellátás helye szerinti tagállamnak szintén biztosítania kell ezen adatok biztonságos fogadását, és az adatok tényleges feldolgozása során nemzeti adatvédelmi jogszabályai szerinti, megfelelő szintű adatvédelemről kell gondoskodnia.

23.

Az európai adatvédelmi biztos kedvezőnek tartaná, ha a javaslatban egyértelművé tennék a tagállamok közös felelősségét, különösen az új IKT-alkalmazásokkal összefüggésben, az alábbiakban tárgyalt elektronikus adatközlésre is figyelemmel.

24.

Az egészségügyi adatok határokon átnyúló, fokozódó cseréje főként az információtechnológia felhasználásával történik. Noha az egészségügyi ellátás határokon átnyúló rendszerében sor kerülhet papíralapú adatcserére is (például a beteg másik tagállamba költözik és magával viszi valamennyi vonatkozó egészségügyi dokumentumát, például a laboratóriumi vizsgálatok eredményét, orvosi beutalókat stb.), egyértelműen az elektronikus eszközök használata a cél. Az egészségügyi adatok elektronikus közlését a tagállamokban (kórházakban, klinikákon stb.) létrehozott (vagy létrehozandó) egészségügyi információs rendszerek, valamint új technológiák – például az elektronikus egészségügyi nyilvántartási alkalmazások (esetleg az interneten keresztül) – és egyéb eszközök – például a betegek és az orvosok részére kiadott egészségügyi kártyák – használata fogja támogatni. Természetesen lehetséges kombinált papír- és elektronikus alapú adatcsere megoldások alkalmazása is, a tagállamok egészségügyi ellátórendszereinek függvényében.

25.

A javasolt irányelv hatálya alá tartozó elektronikus egészségügyi és távorvoslási alkalmazások esetében kizárólag elektronikus egészségügyi adatok (például létfontosságú jelek, képek stb.) cseréjére fog sor kerülni, általában az ellátás és a biztosítás helye szerinti tagállamban meglévő egyéb elektronikus egészségügyi információs rendszerekkel összekapcsolódva. Ez magában foglal beteg–orvos alapon működő (például távmegfigyelés és -diagnózis), valamint orvos–orvos alapon működő (például egészségügyi szakemberek között konkrét esetekben való tanácsadás céljából folytatott távkonzultáció) rendszereket is. A határokon átnyúló egészségügyi ellátás egészét támogató egyéb, sajátosabb egészségügyi alkalmazások – például elektronikus gyógyszerfelírás (eRecept) vagy elektronikus beutalás (eBeutaló) – is alapulhatnak kizárólag elektronikus adatcserén, amit néhány tagállamban nemzeti szinten már alkalmaznak (12).

26.

A fent említett szempontokra, valamint a tagállamok egészségügyi rendszereinek különbözőségére és az egyre növekvő számban kifejlesztett elektronikus egészségügyi alkalmazásokra figyelemmel az alábbi két terület ad leginkább aggodalomra okot a személyes adatoknak a határokon átnyúló egészségügyi ellátás során való védelme tekintetében: a) az egyes tagállamokban a személyes adatok védelme tekintetében alkalmazott eltérő biztonsági szintek (technikai és szervezeti intézkedések vonatkozásában), valamint b) adatvédelmi kérdések integrálása az elektronikus egészségügyi alkalmazásokba, különösen az újonnan kifejlesztettekbe. Ezenkívül különös figyelmet érdemelhetnek egyéb szempontok is, például az egészségügyi adatok másodlagos felhasználásának a kérdése, különösen a statisztikakészítés területén. E kérdéseket e szakasz hátralévő része tovább vizsgálja.

27.

Annak ellenére, hogy a 95/46/EK és a 2002/58/EK irányelvet Európában egységesen alkalmazzák, egyes elemek értelmezése és végrehajtása eltérhet az egyes országok között, különösen azon területeken, ahol a jogi rendelkezések általánosak és a tagállamok hatáskörébe tartoznak. Ebben az értelemben a legalaposabban mérlegelendő terület a feldolgozás biztonsága, vagyis azok az intézkedések (technikai és szervezeti), melyeket a tagállamok az egészségügyi adatok biztonságának garantálása céljából hoznak.

28.

Noha az egészségügyi adatok szigorú védelme valamennyi tagállam felelőssége, jelenleg nem létezik az egészségügyi ellátás tekintetében „megfelelő” biztonsági szintnek az EU-ban közösen elfogadott, a határokon átnyúló egészségügyi ellátás esetében alkalmazható meghatározása. Így például egy adott tagállam valamely kórházát a nemzeti adatvédelmi szabályok különös biztonsági intézkedések (például biztonságpolitika és magatartási kódex, a kiszervezésre és külső szerződő felek alkalmazására vonatkozó különös szabályok, valamint audit követelmények kidolgozása) elfogadására kötelezhetik, míg más tagállamokban esetleg nem. E következetlenség hatással lehet a határokon átnyúló adatcserére, különösen ha az elektronikus úton történik, mivel nem garantálható, hogy a különböző tagállamokban az adatbiztonság szintje (technikai és szervezeti szempontból) megegyezik.

29.

E területen ezért további harmonizációra van szükség az egészségügyi ellátásra vonatkozó egységes, a tagállamok egészségügyi szolgáltatást nyújtó szervei által közösen elfogadandó biztonsági követelmények meghatározása révén. Ez teljes mértékben összhangban áll az EU-ban lévő egészségügyi rendszerek közös elveinek meghatározására vonatkozó általános szükséglettel, amint az a javaslatban is szerepel.

30.

Ennek általános formában kell megvalósulnia a tagállamokra nézve konkrét műszaki megoldások megszabása nélkül, ugyanakkor megteremtve a kölcsönös elismerés és elfogadás alapját, például a biztonságpolitika kialakítása, a betegek és egészségügyi szakemberek személyazonosságának megállapítása és hitelesítése terén stb. Az erre irányuló munka során iránymutatásként fel lehetne használni az egészségügyi ellátással és biztonsággal kapcsolatos, meglévő európai és nemzetközi szabványokat (például ISO és CEN), valamint a széles körben elfogadott és jogilag megalapozott műszaki koncepciókat (mint az elektronikus aláírás (13).

31.

Az európai adatvédelmi biztos támogatja az egészségügyi ellátásban az adatbiztonság uniós szintű harmonizálására vonatkozó elképzelést, és úgy véli, hogy a Bizottságnak erre irányuló kezdeményezéseket kell tennie, már a jelen javaslat keretében is (lásd a lenti III. szakaszt).

32.

Az adatvédelem és az adatbiztonság minden egészségügyi ellátórendszer kialakításának és megvalósításának részét kell, hogy képezze, különösen az e-egészségügyi alkalmazások tekintetében („beépített adatvédelem”), amint az a javaslatban is szerepel. E vitathatatlan követelményt más idevágó – mind általános jellegű, mind konkrétan az egészségügyi ellátásra vonatkozó (14)  (15) – szakpolitikai dokumentumok már támogatják.

33.

Az e-egészségügyi rendszereknek a javaslatban tárgyalt kölcsönös átjárhatósága keretében a „beépített adatvédelem” fogalmát ismételten ki kell emelni, mint valamennyi tervezett fejlesztés alapját. E koncepció több különböző szinten érvényesül: szervezeti, szemantikai, műszaki.

34.

Az európai adatvédelmi biztos úgy véli, hogy a kifejlesztés legelső szakaszában az elektronikus orvosi rendelvények területe az adatvédelmi és adatbiztonsági követelmények integrálásának kiindulópontjaként szolgálhatna (lásd az alábbi III. szakaszt).

35.

Az egészségügyi adatok határokon átnyúló cseréjének összefüggésében meg lehetne vizsgálni az egészségügyi adatok másodlagos felhasználásnak a kérdését is, különösen pedig az adatok statisztikai célú felhasználását, amint az már a jelen javaslatban is szerepel.

36.

Amint azt a fenti 18. pont már tartalmazza, a 95/46/EK irányelv 8. cikkének (4) bekezdése lehetővé teszi az egészségügyi adatok másodlagos felhasználását. E további adatfeldolgozásra azonban kizárólag „alapvető közérdekből”, megfelelő garanciák nyújtása mellett, a tagállamok nemzeti jogszabályaiban vagy a felügyelő hatóság határozatában megállapított esetekben kerülhet sor (16). Ezenfelül a statisztikai célú adatfeldolgozás esetében – amint az az európai adatvédelmi biztosnak a közegészségre és a munkahelyi egészségvédelemre és biztonságra vonatkozó közösségi statisztikáról szóló európai parlamenti és tanácsi rendeletjavaslatról szóló véleményében (17) is szerepel – további veszélyt jelent az, hogy a „bizalmas kezelés” és az „adatvédelem” fogalma egyrészt az adatvédelmi jogszabályokban, másrészt a statisztikai jogszabályokban való alkalmazása során eltérő jelentését nyerhet.

37.

Az európai adatvédelmi biztos ki kívánja emelni a fenti elemeket a jelen javaslat összefüggésében. Abba az egészségügyi adatok másodlagos felhasználására vonatkozó adatvédelmi követelmények tekintetében konkrétabb hivatkozásokat kellene beilleszteni (lásd az alábbi III. szakaszt).

38.

A javaslat különböző részeiben több alkalommal is hivatkozik a magánélet és az adatok védelmére, konkrétan:

39.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat megszövegezése során figyelembe vették az adatvédelmet, valamint hogy kísérlet történt a határokon átnyúló egészségügyi ellátás összefüggésében az adatvédelem általános szükségességének kiemelésére. A javaslatnak az adatvédelemmel kapcsolatos jelenlegi rendelkezései azonban vagy túl általánosak, vagy korlátozott és szétszabdalt módon a tagállamok feladataira hivatkoznak:

Ezenkívül – amint az már e vélemény bevezetésében említésre került – a javaslat nem kapcsolódik az egészségügyi ellátás terén meglévő egyéb közösségi (kötelező vagy nem kötelező erejű) jogi eszközökhöz és/vagy nem hivatkozik azokra, különösen az új IKT-alkalmazások (mint a távorvoslás vagy az elektronikus egészségügyi nyilvántartások) felhasználása tekintetében.

40.

Ily módon a javaslat – noha az adatvédelmet általánosságban a határokon átnyúló egészségügyi ellátás egyik követelményének tekinti – nem ad teljes képet sem a tagállamok kötelezettségeiről, sem az egészségügyi ellátás határokon átnyúló jellege révén megjelenő (a nemzeti egészségügyi ellátástól eltérő) sajátosságokról. Konkrétan:

41.

Ezenkívül a 18. cikk – amely a statisztikai és ellenőrzési célú adatgyűjtésről szól – további aggodalomra ad okot. Az (1) bekezdés „statisztikai és egyéb kiegészítő adatokat” említ, továbbá az angol nyelvű változat többes számban említ „ellenőrzési célokat”, majd felsorolja az ezen ellenőrzési célok hatálya alá tartozó területeket, melyek nevezetesen a határokon átnyúló egészségügyi ellátás nyújtása, a nyújtott ellátás, a szolgáltatók és a betegek, a költségek és eredmények. Ebben a már korántsem egyértelmű összefüggésben általános hivatkozást tesznek az adatvédelmi jogra, de az egészségügyi adatoknak a 95/46/EK irányelv 8. cikkének (4) bekezdése szerinti további felhasználása tekintetében nem állapítanak meg konkrét követelményeket Ezenkívül a (2) bekezdés tartalmazza azt a feltételekhez nem kötött kötelezettséget, miszerint e nagy mennyiségű adatot legalább éves alapon továbbítani kell a Bizottság részére. Mivel a szöveg nem tartalmaz az ezen adattovábbítás szükségességének értékelésére vonatkozóan kifejezett hivatkozást, úgy tűnik, hogy a közösségi jogalkotó már maga megállapította a Bizottság részére történő adattovábbítás szükségességét.

42.

A fent említett problémák megfelelő megoldása érdekében az európai adatvédelmi biztos néhány, az alábbiakban ismertetett öt alapvető lépésből álló módosításra épülő ajánlást tesz.

43.

A 4. cikk meghatározza a javaslatban használt alapvető fogalmakat. Az európai adatvédelmi biztos határozottan ajánlja, hogy e cikkbe illesszék be az egészségügyi adat fogalmának meghatározását is. Az egészségügyi adat tág – az e vélemény II. szakaszában (14. és 15. pont) ismertetetthez hasonló – értelmezését kellene alkalmazni.

44.

Az európai adatvédelmi biztos határozottan ajánlja a javaslatba konkrétan az adatvédelemmel foglalkozó cikk beillesztését, amely egyértelmű és érthető módon kifejthetné az általános adatvédelmi dimenziót. E cikkben a) le kell írni a biztosítás és az ellátás helye szerinti tagállam feladatait, beleértve többek között a feldolgozás biztonságára vonatkozó követelményt is, valamint b) meg kell határozni a kérdés továbbfejlesztésének főbb területeit, vagyis az adatbiztonsággal kapcsolatos intézkedések harmonizációját és az adatvédelemnek az e-egészségügybe való integrálását. E célból külön rendelkezéseket lehet kidolgozni (a javasolt cikken belül), az alábbi 3. és 4. lépésben ismertetettek szerint.

45.

A 2. lépésben javasolt módosítás alapján az európai adatvédelmi biztos ajánlja, hogy a Bizottság fogadjon el az egészségügyi ellátással kapcsolatos adatok egységes elfogadható nemzeti biztonsági szintjének meghatározására szolgáló mechanizmust, az e téren meglévő műszaki szabványok figyelembevételével. Ezt a javaslatnak tükröznie kell. A megvalósítás történhet komitológiai eljárás alkalmazásán keresztül, mivel azt a 19. cikk már tartalmazza és vonatkozik a javaslat többi részére is. Ezenkívül további eszközöket lehetne felhasználni idevágó iránymutatások valamennyi érintett – mint a 29. cikk alapján létrehozott munkacsoport és az európai adatvédelmi biztos – részvételével történő kidolgozására.

46.

A más tagállamban felírt orvosi rendelvények elismeréséről szóló 14. cikk rendelkezik az orvosi rendelvények közösségi mintanyomtatványának a kialakításáról és az eRecept kölcsönös átjárhatóságának a támogatásáról. Az ezzel kapcsolatos intézkedést a javaslat 19. cikkének (2) bekezdése szerint komitológiai eljárással kell elfogadni.

47.

Az európai adatvédelmi biztos ajánlja, hogy az eRecept javasolt mintanyomtatványa tekintetében érvényesüljenek adatvédelmi és adatbiztonsági szempontok, még e mintanyomtatvány legalapvetőbb szemantikai meghatározására nézve is. Ezt kifejezetten meg kell említeni a 14. cikk (2) bekezdésének a) pontjában. Ez esetben is alapvető fontossággal bír valamennyi érintett bevonása. Az európai adatvédelmi biztos e tekintetben kéri, hogy tájékoztassák a kérdésben a javasolt komitológiai eljáráson keresztül hozott jövőbeni intézkedésekről, és azokba vonják be.

48.

A félreértések elkerülése érdekében az európai adatvédelmi biztos javasolja a 18. cikk (1) bekezdésében az „egyéb kiegészítő adatok” fogalmának pontosítását. A cikket továbbá módosítani kellene úgy is, hogy konkrétabban utaljon az egészségügyi adatok további felhasználása tekintetében a 95/46/EK irányelv 8. cikkének (4) bekezdésében megállapított követelményekre. Ezenfelül a valamennyi adat Bizottság részére való átadására vonatkozó, a (2) bekezdésben foglalt követelménynek az ilyen, előzetesen kellően részletezett, jogszerű célokat szolgáló átadás szükségességének a vizsgálatát kellene a feltételéül szabni.

49.

Az európai adatvédelmi biztos már támogatásáról kívánja biztosítani a határokon átnyúló egészségügyi ellátás feltételeinek javítására irányuló kezdeményezéseket. Ugyanakkor aggodalmának ad hangot azzal kapcsolatban, hogy az egészségügyi ellátással kapcsolatos közösségi kezdeményezések az IKT felhasználása, az adatvédelem és az adatbiztonság tekintetében nincsenek minden esetben kellően összehangolva, és ily módon akadályozzák egységes adatvédelmi megközelítés elfogadását az egészségügyi ellátás területén.

50.

Az európai adatvédelmi biztos üdvözli, hogy a jelen javaslatban hivatkozás történik az adtavédelemre. Több – e vélemény III. szakaszában kifejtett – módosításra van azonban szükség egyértelmű követelmények meghatározása céljából mind az ellátás, mind a biztosítás helye szerinti tagállam tekintetében, valamint a határokon átnyúló egészségügyi ellátás terén az adatvédelmi dimenzió megfelelő kezelése érdekében:

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/28

1.

Az Európai Bizottság 2007. november 13-án elfogadta a többek között az elektronikus hírközlési adatvédelmi irányelv módosításáról szóló javaslatot (1) (a továbbiakban: a javaslat vagy a bizottsági javaslat). Az európai adatvédelmi biztos 2008. április 10-én elfogadta a bizottsági javaslatról szóló véleményét, melyben ajánlásokat fogalmazott meg a javaslat javítására, megkísérelve hozzájárulni annak biztosításához, hogy a javasolt változtatások az egyének személyes adatainak lehető legjobb védelmét eredményezzék (a továbbiakban: az európai adatvédelmi biztos első véleménye) (2).

2.

Az európai adatvédelmi biztos üdvözölte a biztonság megsértéséről való kötelező értesítés rendszerének létrehozására irányuló bizottsági javaslatot, mely rendszer kötelezné a vállalatokat, hogy értesítsék az egyéneket személyes adataik veszélybe kerülése esetén. Továbbá örvendetesnek tartotta a jogi személyek (pl. fogyasztói szervezetek és internetszolgáltatók) számára azt lehetővé tevő új rendelkezéseket, hogy a kéretlen elektronikus levelek küldői ellen lépéseket tegyenek a spam elleni küzdelem meglévő eszközeinek további kiegészítése érdekében.

3.

Az Európai Parlament első olvasatát megelőző parlamenti megbeszélések során az európai adatvédelmi biztos további véleménnyel szolgált az egyetemes szolgáltatási irányelv (3) és az elektronikus hírközlési adatvédelmi irányelv felülvizsgálatával kapcsolatban illetékes európai parlamenti bizottságok által készített jelentéstervezetek kapcsán felmerülő válogatott kérdésekre vonatkozó észrevételei megtétele formájában (a továbbiakban: észrevételek) (4). Az észrevételek elsődlegesen a forgalmi adatok feldolgozásához és a szellemi tulajdonjog védelméhez kapcsolódó kérdéseket tárgyalták.

4.

Az Európai Parlament (a továbbiakban: EP) 2008. szeptember 24-én elfogadta az elektronikus hírközlési adatvédelmi irányelvre vonatkozó jogalkotási állásfoglalást (5) (a továbbiakban: első olvasat). Az európai adatvédelmi biztos pozitívan fogadott többet az EP azon módosításai közül, melyek az európai adatvédelmi biztos fent említett véleményét és észrevételeit követően kerültek elfogadásra. A fontos változtatások között szerepelt az információs társadalommal összefüggő szolgáltatások nyújtóinak (azaz az interneten működő vállalatoknak) a biztonság megsértéséről való kötelező értesítés hatálya alá vonása. Az európai adatvédelmi biztos szintén üdvözölte azon módosítást, mely a jogi és természetes személyek számára lehetőséget ad arra, hogy bíróság előtt jogi eljárást indíthassanak az elektronikus hírközlési adatvédelmi irányelv bármely rendelkezésének megsértése miatt (és nem csak a spamre vonatkozó rendelkezések megsértése miatt, ahogyan az eredetileg a bizottsági javaslatban szerepelt). A Parlament első olvasatát követte a módosított elektronikus hírközlési adatvédelmi irányelvjavaslat Bizottság általi elfogadása (a továbbiakban: módosított javaslat) (6).

5.

A Tanács 2008. november 27-én politikai megállapodásra jutott a hírközlési csomaggal – benne az elektronikus hírközlési adatvédelmi irányelvvel – kapcsolatos szabályok felülvizsgálatáról, melyek a Tanács közös álláspontját alkotják (a továbbiakban: közös álláspont) (7). A közös álláspontról az Európai Közösséget létrehozó szerződés 251. cikke (2) bekezdésének értelmében értesítést kap az EP, ami a javaslat EP általi módosításait vonhatja maga után.

6.

A Tanács a javaslat lényegi elemeit módosította, és az EP által elfogadott módosítások közül sokat nem fogadott el. Bár a közös álláspont természetesen pozitív elemeket is tartalmaz, az európai adatvédelmi biztos a szöveg egészét tekintve aggódik annak tartalma miatt, különösen azért, mert a közös álláspont nem emel be egyet sem az EP által, a módosított javaslatban vagy az európai adatvédelmi biztos és az európai adatvédelmi hatóságok részéről a 29. cikk alapján létrehozott munkacsoporton keresztül közzétett véleményekben (8) javasolt pozitív módosítások közül.

7.

Épp ellenkezőleg, számos esetben törölték, vagy lényeges mértékben enyhítették a módosított javaslatnak és az EP módosításainak azon rendelkezéseit, amelyek biztosítékokat nyújtanak a polgároknak. Ez azt eredményezte, hogy az egyének számára a közös álláspontban biztosított védelem szintje lényegesen alacsonyabb lett. Az európai adatvédelmi biztos ezen okok miatt teszi most közzé második véleményét abban a reményben, hogy amint az elektronikus hírközlési adatvédelmi irányelv a jogalkotási folyamatban előrehalad, új módosítások kerülnek elfogadásra, melyek helyreállítják az adatvédelmi biztosítékokat.

8.

E második vélemény néhány alapvető aggodalomra összpontosít, és nem foglalkozik újra az európai adatvédelmi biztos első véleményében vagy az észrevételekben foglalt valamennyi ponttal, amelyek mind továbbra is érvényesek. E vélemény különösen az alábbi kérdéseket tárgyalja:

9.

A fenti kérdések megválaszolása során e vélemény elemzi a Tanács közös álláspontját, és összehasonlítja azt az EP első olvasatával és a Bizottság módosított javaslatával. A vélemény ajánlásokat tartalmaz, melyek célja az elektronikus hírközlési adatvédelmi irányelv rendelkezéseinek egyszerűsítése és annak biztosítása, hogy az irányelv továbbra is megfelelően garantálja az egyének magánéletének és személyes adatainak védelmét.

10.

Az európai adatvédelmi biztos támogatja a biztonság megsértéséről való értesítés rendszerét, melynek keretében a hatóságok és az egyének értesítést kapnak személyes adataik feltörése esetén (9). A biztonság megsértéséről való értesítések segíthetik az egyént abban, hogy megtegye az adatok veszélyeztetéséből eredő bármely potenciális kár enyhítésére irányuló lépéseket. Továbbá a biztonság megsértéséről való értesítés kötelezettsége arra fogja ösztönözni a vállalatokat, hogy javítsanak felelősségi körükbe tartozó személyes adatokkal kapcsolatos adatbiztonságukon és fokozzák elszámoltathatóságukat.

11.

A Bizottság módosított javaslata, az Európai Parlament első olvasata és a Tanács közös álláspontja a jelenleg mérlegelés álló, a biztonság megsértéséről való értesítéssel kapcsolatos három eltérő megközelítést képviseli. Mindhárom megközelítésben vannak pozitív elemek. Azonban az európai adatvédelmi biztos úgy véli, mindhárom megközelítésen van javítanivaló, és azt javasolja, hogy a biztonság megsértéséről való értesítés rendszerének elfogadásához vezető végső lépések mérlegelése során az alábbi ajánlások kerüljenek figyelembevételre.

12.

A biztonság megsértéséről való értesítéssel kapcsolatos három rendszer elemzése során öt döntő fontosságú szempontot kell figyelembe venni: (i) a biztonság megsértésének meghatározása; (ii) az értesítési kötelezettség körébe tartozó alanyok („lefedett alanyok”); (iii) az értesítési kötelezettséget keletkeztető szabvány; (iv) az annak meghatározásáért felelős alany meghatározása, hogy a biztonság megsértésének egy adott esete kimeríti-e vagy sem a szabványosított feltételeket, és (v) az értesítés címzettjei.

13.

Az Európai Parlament, a Bizottság és a Tanács mind más-más megközelítést képvisel a biztonság megsértéséről való értesítéssel kapcsolatban. Az EP első olvasatában módosította a biztonság megsértéséről való értesítésnek a Bizottság javaslatában foglalt eredeti rendszerét (10). Az EP megközelítésében az értesítési kötelezettség nemcsak a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóira vonatkozik, hanem az információs társadalommal összefüggő szolgáltatás nyújtóira („PPECS-ek” és „ISSP-k”) is. Továbbá e megközelítés alapján a személyes adatok valamennyi adatvédelmi jogsértéséről értesíteni kellene a nemzeti szabályozó hatóságot vagy az illetékes hatóságokat (a továbbiakban együttesen: a hatóságok). Ha a hatóságok úgy döntenek, hogy a biztonság komoly megsértéséről van szó, megkívánnák a PPECS-ektől és az ISSP-ktől, hogy haladéktalanul értesítsék az érintett személyt. A rövidesen bekövetkező veszélyt és közvetlen fenyegetést jelentő adatvédelmi jogsértések esetében a PPECS-ek és az ISSP-k a hatóságok értesítése előtt értesítenék az egyéneket, és nem várnák meg a szabályozói döntést. A fogyasztók értesítésének kötelezettsége alóli kivétel körébe tartoznak azon alanyok, melyek igazolni tudják a hatóságok felé, hogy „megfelelő technikai védelmi intézkedések kerültek alkalmazásra”, melyek értelmezhetetlenné teszik az adatokat a hozzáférésre engedéllyel nem rendelkező bármely személy számára.

14.

A Tanács megközelítésében az előfizetők és a hatóságok részére is biztosítani kell az értesítést, de csak olyan esetekben, amikor a lefedett alany úgy ítéli meg, hogy a biztonság megsértése komolyan veszélyezteti az előfizető magánéletét (azaz személyazonosság eltulajdonítása vagy azzal való visszaélés, fizikai sérülés, jelentős megalázás vagy hírnévnek való ártás).

15.

A Bizottság módosított javaslata megtartja a hatóságoknak a valamennyi jogsértésről való értesítésére vonatkozó – az EP által elfogadott – kötelezettséget. Azonban az EP megközelítésével ellentétben a módosított javaslat tartalmaz egy kivételt az értesítési kötelezettség alól az olyan érintett egyének esetében, melyekkel kapcsolatban a PPEC igazolni tudja az illetékes hatóság számára, hogy (i)„ésszerű alapon nem valószínű” kár (pl. gazdasági veszteség, társadalmi kár vagy személyazonosság-eltulajdonítás) bekövetkezése a biztonság megsértésének eredményeként, vagy (ii)„megfelelő technikai védelmi intézkedések” kerültek alkalmazásra az adatvédelmi jogsértés által érintett adatok esetében. A Bizottság javaslata így az egyéni értesítésekhez kötődő káralapú elemzést is tartalmaz.

16.

Fontos megjegyezni, hogy az EP (11) és a Bizottság megközelítésében végső soron a hatóságok feladata annak eldöntése, hogy a biztonság megsértése súlyos-e, illetve hogy ésszerű alapon valószínű-e, hogy kárt okoz. A Tanács megközelítése szerint ezzel ellentétben a döntés az érintett alanyokra hárul.

17.

A Tanács és a Bizottság javaslata csak a PPECS-ekre vonatkozik, az (EP megközelítésében szereplő) ISSP-kre nem.

18.

Az európai adatvédelmi biztos üdvözli, hogy a három jogalkotási javaslatban a biztonság megsértésének meghatározása megegyezik: „A biztonság olyan megsértése […] amely […] továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elveszítését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi […]” (12).

19.

Amint alább részletesebben leírásra kerül, ez a meghatározás abban a tekintetben örvendetes, hogy elég tág ahhoz, hogy az összes olyan releváns helyzetet magába foglalja, melyek indokolttá teszik a biztonság megsértéséről való értesítést.

20.

Először, a meghatározás kiterjed az olyan esetekre, mikor egy harmadik fél jogosulatlanul fért hozzá személyes adatokhoz, mint pl. amikor egy személyes adatokat tároló szervert feltörnek és ilyen információkhoz férnek hozzá.

21.

Másodszor, e meghatározás az olyan helyzetekre szintén kiterjed, melyekben személyes adatok elveszítésére, felfedésére került sor, míg a jogosulatlan hozzáférés tényét még bizonyítani kell. Ez nem terjedne ki az olyan helyzetekre, amikor a személyes adatok elveszhettek (pl. CD-ROM-ok, USB-meghajtók vagy más hordozható eszközök esete), vagy nyilvánosan hozzáférhetővé váltak a rendes felhasználók számára (pl. az alkalmazottak adatait tartalmazó fájl figyelmetlenségből az interneten keresztül egy nyilvánosan elérhető helyen átmenetileg hozzáférhetővé vált). Minthogy sok esetben nem lesz arra utaló bizonyíték, hogy az ilyen adatok egy adott időpontban egy jogosulatlan harmadik fél által hozzáférhetőek-e, illetve felhasználhatóak-e vagy sem, megfelelőnek tűnik kiterjeszteni a meghatározás körét ezen esetekre. Az európai adatvédelmi biztos ezért e meghatározás megtartását javasolja. Az európai adatvédelmi biztos ezenfelül a biztonság megsértésére vonatkozóan az elektronikus hírközlési adatvédelmi irányelv 2. cikkében szereplő meghatározásnak a beillesztését javasolja, mivel ez jobban összhangban lenne az irányelv átfogó felépítésével és fokozná az érthetőséget.

22.

Az EP megközelítésében az értesítési kötelezettség a PPECS-ekre és az ISSP-kre is vonatkozik. A Tanács és a Bizottság rendszereiben azonban csak a PPECS-ek – így a hírközlési vállalatok és az internetszolgáltatók – lesznek kötelesek értesíteni az egyéneket a biztonság megsértésének a személyes adataik veszélyeztetéséhez vezető eseteiről. A más ágazatokat – pl. az online bankokat, az internetes kereskedőket, az online egészségügyi szolgáltatókat és másokat – nem terheli ez a kötelezettség. A fent kifejtett okokból az európai adatvédelmi biztos úgy ítéli meg, hogy közpolitikai szempontból alapvető annak biztosítása, hogy az értesítési kötelezettség vonatkozzon az információs társadalommal összefüggő szolgáltatásokra, amelyek magukban foglalják az online vállalkozásokat, az online bankokat, az online egészségügyi szolgáltatókat stb.

23.

Először is, az európai adatvédelmi biztos megjegyzi, hogy jóllehet a hírközlési vállalatok biztonsága minden bizonnyal ki van téve értesítési kötelezettséget indokolttá tévő sérüléseknek, ugyanez igaz a másfajta társaságokra/szolgáltatókra is. Az internetes kereskedők, online bankok, online gyógyszertárak biztonságát éppúgy megsérthetik, mint a hírközlési társaságokét, ha nem még inkább. A kockázatok mérlegelése ezért nem szól amellett, hogy a biztonság megsértéséről való értesítés kötelezettsége a PPECS-ekre korlátozódjék. A tágabb megközelítés szükségességét igazolja más országok tapasztalata is. Így például az Egyesült Államokban szinte minden (ezidáig több mint 40) állam olyan törvényeket hozott a biztonság megsértéséről való értesítés tekintetében, amelyek alkalmazási köre szélesebb, nem csupán a PPECS-ekre terjed ki, hanem minden, az elkért személyes adatokat tároló intézményre is.

24.

Másodszor, ha a PPECS-ek által rendszeresen feldolgozott személyes adatok típusainak megsértése hatással lehet az egyén magánéletére, ugyanez igaz, ha nem mindjárt fokozottabban is, az ISSP-k által feldolgozott személyes információk típusaira. A bankok és más pénzügyi intézmények természetesen birtokában lehetnek szigorúan bizalmas információknak (pl. a bankszámlára vonatkozó részletek), amelyek felfedése lehetővé tenné azoknak a személyazonossággal való visszaélésre történő felhasználását. Hasonlóképpen a fokozottan érzékeny egészségügyi információknak az online egészségügyi szolgáltatások általi felfedése különösen is ártalmas lehet az egyénekre nézve. Ezért a személyes adatok azon típusai, amelyek veszélybe kerülhetnek, ugyancsak a biztonsági megsértéséről való értesítés szélesebb körű, legalább az ISSP-kre kiterjedő alkalmazását kívánják meg.

25.

A cikk alkalmazási körének kiterjesztésével szemben felvetődtek egyes jogi kérdések, így például a követelmény által érintett intézményekkel kapcsolatban. Mindenekelőtt az, hogy az elektronikus hírközlési adatvédelmi irányelv hatálya csupán a PPECS-ekre vonatkozik, akadályként merült fel azelőtt, hogy az értesítési kötelezettséget az ISSP-kre is alkalmazzák.

26.

E tekintetben az európai adatvédelmi biztos emlékeztetni kíván az alábbiakra: i. Semmiféle jogi akadálya nincsen annak, hogy az irányelv bizonyos rendelkezéseinek hatályát a PPECS-eken kívül kiterjesszék más szereplőkre is. A közösségi jogalkotó e tekintetben teljes körű mérlegelési jogkörrel rendelkezik. ii. Más példák is vannak a meglévő elektronikus hírközlési adatvédelmi irányelvben a PPECS-ektől eltérő intézményekre történő alkalmazásra.

27.

A 13. cikk például nemcsak a PPECS-ekre vonatkozik, hanem minden olyan társaságra is, amely – előzetes beleegyezést igénylő – nem kívánt tájékoztatást küld. Továbbá az elektronikus hírközlési adatvédelmi irányelv 5. cikkének (3) bekezdése, amely tiltja többek között az előfizető vagy felhasználó végberendezésében történő adattárolást, például a „cookie”-kat, nemcsak a PPECS-ekre nézve kötelező, hanem bárkire, aki az egyén végberendezésében való információtárolást vagy az ott tárolt információkhoz való hozzáférést kísérel meg. Továbbá a jelen jogalkotási folyamatban a Bizottság még azt is javasolta, hogy az 5. cikk (3) bekezdésének alkalmazási köre terjedjen ki azokra az esetekre is, amikor hasonló technológiákat („cookie”-k, kémprogramok) nemcsak elektronikus hírközlési rendszereken keresztül közvetítenek, hanem bármely más lehetséges módon (az internetről történő letöltéseken vagy külső adattároló eszközökön – például CD-ROM-okon, USB-kulcsokon, flash drive-okon stb. – keresztül történő terjesztés). Mindezek az elemek üdvözlendők és megtartandók, egyidejűleg azonban jelentős precedenseket szolgáltatnak az alkalmazási kör körül folyó jelen vitára is.

28.

Továbbá a jelenlegi jogalkotási folyamatban a Bizottság és az Európai Parlament, valamint természetesen a Tanács javaslatot tett egy új, az alábbiakban tárgyalandó bekezdésre (6. cikk (6a) bekezdés), amely a PPECS-ektől eltérő intézményekre vonatkozik.

29.

Végezetül pedig, figyelembe véve a biztonság megsértéséről való értesítés kötelezettségéből származó átfogó pozitívumokat, az állampolgárok nagy valószínűséggel nemcsak akkor várják el e tájékoztatást, ha személyes adataik a PPECS-ek révén kerülnek veszélybe, hanem akkor is, ha ISSP-k révén. Az állampolgárok várakozásai nem teljesülhetnek, ha például nem kapnak értesítést, amikor egy online bank elveszítette a bankszámlájukra vonatkozó információkat.

30.

Összefoglalva: az európai adatvédelmi biztos meggyőződése, hogy a biztonság megsértéséről való értesítés előnyeinek teljes körű kiaknázása csak akkor érhető el jobban, ha az alkalmazási kör mind a PPECS-ekre, mind az ISSP-kre kiterjed.

31.

Az értesítés keletkeztetése tekintetében – amint az az alábbiakban bővebben kifejtésre kerül – az európai adatvédelmi biztos úgy véli, hogy a három javasolt szabvány közül a legalkalmasabb a módosított javaslat „ésszerű alapon valószínű, hogy kárt okozhat” megfogalmazása. Mindazonáltal fontos biztosítani, hogy a „kárt okoz” kellőképpen tág jelentésű legyen ahhoz, hogy lefedje az egyének magánéletére vagy jogos érdekeire nézve negatív hatások minden releváns esetét. Máskülönben ajánlatos lenne új szabványt kialakítani, amelynek értelmében kötelező az értesítés, „amennyiben a sérülés ésszerű alapon valószínű, hogy káros hatással lehet egyénekre”.

32.

Az előző szakaszban vázoltaknak megfelelően a feltételek, amelyek között biztosítani kell az egyének értesítését (az úgynevezett „kiváltó ok” vagy „szabvány”), eltérnek az EP, a Bizottság és a Parlament megközelítésében. Az értesítések mennyisége, amelyeket az egyének kapnak, természetesen nagy mértékben függ majd az értesítési kötelezettséget keletkeztető feltétel vagy szabvány meghatározásától.

33.

A Tanács és a Bizottság rendszereiben akkor kell értesítést küldeni, ha a biztonság megsértése „az előfizető magánéletének komoly megsértését” jelenti (Tanács), és ha „a biztonság megsértésének eredményeként ésszerű alapon valószínű, hogy a fogyasztói érdek kárt szenved” (Bizottság). Az EP rendszerében a magánszemélyek értesítésének kötelezettségét kiváltó ok „a biztonság megsértésének súlyossága” (vagyis akkor kell értesíteni az egyéneket, ha a biztonság megsértését súlyosnak ítélik meg). E küszöb alatt nem szükséges az értesítés (13).

34.

Az európai adatvédelmi biztos megérti, hogy ha személyes adatok veszélybe kerülnek, lehet azzal érvelni, hogy azoknak az egyéneknek, akikhez ezek az adatok tartoznak, minden körülmények között joguk van tudni erről az eseményről. Mindazonáltal nagyon is mérlegelendő, hogy ez megfelelő megoldás-e más érdekek és megfontolások fényében.

35.

A javaslatok közt szerepelt, hogy túl sok értesítéshez és „értesítési fásultsághoz” vezethet, ha az értesítésküldési kötelezettség minden olyan esetre vonatkozik – vagyis mindenféle korlátozás nélkül –, amikor személyes adatok veszélybe kerültek, és ez közönyt eredményezhet. Amint az alábbiakban bővebben kifejtésre kerül, az európai adatvédelmi biztos ezt fontos érvnek tartja, ugyanakkor viszont hangsúlyozni kívánja azon aggodalmát, hogy a túlzott mennyiségű értesítés az információbiztonsági gyakorlatok széles körű kudarcát jelezheti.

36.

A fentebb említettekkel összhangban, az európai adatvédelmi biztos tudatában van a túlzott mennyiségű értesítés lehetséges negatív következményeinek, és segíteni kíván annak biztosításában, hogy a biztonság megsértéséről való értesítésekkel kapcsolatban elfogadott jogi keret ne ezt eredményezze. Ha az egyének gyakran kapnának értesítéseket még azokról az esetekről is, amelyeknek nincs kedvezőtlen, káros vagy veszélyes hatása, az értesítés egyik legfontosabb célkitűzése csorbulna, hiszen az egyének paradox módon éppen akkor nem vennék figyelembe az értesítéseket, amikor viszont ténylegesen lépéseket kellene tenniük saját védelmük érdekében. Ezért fontos megtalálni a helyes egyensúlyt az értelmes tájékoztatásban, hiszen ha az egyén nem reagál a kapott értesítésekre, jelentős mértékben csökken az értesítési rendszerek hatékonysága.

37.

Annak érdekében, hogy olyan megfelelő szabvány kerüljön elfogadásra, amely nem vezet túlzott mennyiségű értesítéshez, az értesítési kötelezettséget keletkeztető feltétel mérlegelése mellett figyelembe kell venni más tényezőket is, például a biztonság megsértése fogalmának meghatározását, valamint az értesítési kötelezettség hatálya alá tartozó információt. E tekintetben az európai adatvédelmi biztos megjegyzi, hogy a három javasolt megközelítésben – tekintettel a biztonság megsértésének fentebb tárgyalt tág definíciójára – nagy lehet az értesítések mennyisége. A túlzott mennyiségű értesítéssel kapcsolatos aggodalmakat erősíti az is, hogy a biztonság megsértése fogalmának meghatározása a személyes adatok minden típusára kiterjed. Azzal együtt, hogy az európai adatvédelmi biztos ezt tartja helyes megközelítésnek (mely nem korlátozza az értesítési kötelezettség alá tartozó személyes adatok típusát), szemben más megközelítésekkel, mint például az Egyesült Államok törvényeivel, ahol a követelmények az információ érzékeny voltára összpontosítanak, ugyanakkor ezt a tényezőt sem szabad figyelmen kívül hagyni.

38.

A fentiek értelmében, valamint a különböző változók együttes figyelembevételével az európai adatvédelmi biztos helyénvalónak tartja egy küszöb vagy szabványosított szint beillesztését, amely alatt nem kötelező az értesítés.

39.

Úgy tűnik, a javasolt szabványok – azaz ha a biztonság megsértése „komoly kockázatot jelent a magánéletre” vagy „ésszerű alapon valószínű, hogy kárt okoz” – mindegyike magában foglalja például a társadalmi vagy az egyén hírnevét ért kárt és a gazdasági veszteséget. Ezek a szabványok például foglalkoznának a nem nyilvános azonosítók – például útlevélszám – kiadása révén a személyazonosság-lopásnak való kitettség eseteivel, valamint az egyén magánéletére vonatkozó információk felfedésével. Az európai adatvédelmi biztos üdvözli ezt a megközelítést. Meggyőződése, hogy a biztonság megsértéséről való értesítés kínálta előnyöket nem lehet teljes mértékben kiaknázni, ha az értesítési rendszer csak a gazdasági kárt okozó sérülésekre vonatkozik.

40.

A két javasolt szabvány közül az európai adatvédelmi biztos a bizottsági szabványt – „ésszerű alapon valószínű, hogy kárt fog okozni” – részesíti előnyben, mivel az megfelelőbb szintű védelmet biztosítana az egyének számára. A jogsértések sokkal nagyobb valószínűséggel minősülnek majd értesítést igénylőnek, ha „ésszerű alapon valószínű, hogy kárt okoznak” az egyének magánéletében, mint ha ilyen kár „komoly veszélyét” kell jelenteniük. Így tehát jelentősen korlátozná az értesítésköteles jogsértések számát, ha az csak az egyén magánéletére komoly veszélyt jelentő sérülésekre vonatkozna. Ha csak e sérülésekre terjedne ki, korlátlan mérlegelési jogkört biztosítana a PPECS-eknek és ISSP-knek arra vonatkozóan, hogy szükséges-e az értesítés, amennyiben sokkal egyszerűbb lenne igazolniuk azt a következtetést, hogy nem áll fenn a kár „komoly veszélye”, mint azt, hogy „ésszerű alapon nem valószínű”, hogy kár következik be. Miközben a túl sok értesítés egyértelműen kerülendő, kétely esetén nagyobb súllyal kell latba esnie a magánélet védelmének, és az egyéneket minimális szinten legalább akkor kellene védelmezni, amikor a biztonság megsértése ésszerű alapon valószínű, hogy kárt okoz nekik. Továbbá az „ésszerű alapon valószínű” megfogalmazás hatékonyabb lesz a gyakorlatban mind a lefedett alanyok, mind az illetékes hatóságok tekintetében, hiszen az esetnek és releváns összefüggéseinek a tárgyilagos értékelését követeli meg.

41.

A személyes adatok biztonságának megsértése továbbá olyan kárt okozhat, amelyet nehéz számszerűsíteni és amely igen sokféle lehet. Ugyanazon adattípus felfedése ugyanis az egyén körülményeitől függően lehet, hogy jelentős károkat okoz az egyik személynek, míg a másiknak kevesebbet. Az olyan szabvány, amely előírja, hogy a kár anyagi, jelentős vagy komoly kell, hogy legyen, nem lenne megfelelő. A Tanács megközelítése például, amely előírja, hogy a biztonság megsértése komoly hatással kell, hogy legyen valakinek a magánéletére, nem biztosítana megfelelő védelmet az egyéneknek, amennyiben ez a szabvány megköveteli, hogy a magánéletre gyakorolt hatás „komoly” legyen. Ez ugyancsak teret enged a szubjektív értékelésnek.

42.

Miközben – a fentiek értelmében – az „ésszerű alapon valószínű, hogy kárt okoz” megfogalmazás alkalmas szabványnak tűnik a biztonság megsértéséről való értesítéshez, az európai adatvédelmi biztost továbbra is aggodalommal tölti el, hogy ez potenciálisan nem terjed ki minden olyan helyzetre, amikor indokolt lenne az egyének értesítése, például minden olyan helyzetben, amikor ésszerű alapon valószínű az egyének magánéletére vagy más törvényes jogaira gyakorolt negatív hatás. Ezen okból megfontolandó egy olyan szabvány, amely megkövetelné az értesítést, „ha a sérülés ésszerű alapon valószínű, hogy hátrányos befolyással van az egyének számára”.

43.

Ennek az alternatív szabványnak megvan az az előnye is, hogy összhangban áll az európai uniós adatvédelmi jogszabályokkal. Az adatvédelmi irányelv ugyanis gyakran hivatkozik az adatalanyok jogaira és szabadságaira tett hátrányos befolyásra. Az adatfeldolgozási műveleteknek az adatvédelmi hatóságok felé történő bejelentésének a kötelezettségével foglalkozó 18. cikk és (49) preambulumbekezdés például felhatalmazza a tagállamokat a kötelezettség alóli mentességre azon esetekben, amikor az adatfeldolgozás „valószínűleg nem befolyásolja hátrányosan az érintettek jogait és szabadságait”. Hasonló megfogalmazást alkalmaz a közös álláspont 16. cikkének (6) bekezdése annak érdekében, hogy lehetővé tegye a jogi személyeknek, hogy pert indíthassanak a kéretlen levelek küldőivel szemben.

44.

A fentiek figyelembevételével elvárható lenne, hogy a lefedett alanyok és különösen az adatvédelmi jogszabályok érvényesítésében illetékes hatóságok jobban ismerjék a fent említett szabványt és így megkönnyítsék arra vonatkozó értékelésüket, hogy a biztonság egy adott megsértése kimeríti-e a szabványosított feltételeket.

45.

Az EP megközelítése szerint (az azonnali veszély eseteit kivéve) és a Bizottság módosított javaslatában a tagállami hatóságok határozhatják meg, hogy a biztonság megsértése megfelel-e vagy sem annak a szabványnak, amely kötelezettséget keletkeztet az érintett egyének értesítésére.

46.

Az európai adatvédelmi biztos úgy véli, hogy egy hatóság bevonása fontos szerepet játszik a szabványnak való megfelelés meghatározásában, amennyiben – bizonyos mértékben – ez a törvény helyes alkalmazásának a biztosítéka. Ez a rendszer elejét veheti annak, hogy a társaságok a sérülést nem megfelelő módon ártalmatlannak/nem komolynak értékeljék, és így elmulasszák az értesítést, amikor az ténylegesen szükséges lenne.

47.

Másrészt az európai adatvédelmi biztost aggodalommal tölti el az, hogy egy olyan rendszer, amelyben a hatóságoknak kell az értékelést elvégezniük, kevéssé gyakorlatias és nehezen alkalmazható, vagy a gyakorlatban csökkentené a hatékonyságot. Így még csökkentené is az egyének nyújtott adatvédelmi biztosítékokat.

48.

Ebben a megközelítésben ugyanis az adatvédelmi hatóságokat valószínűleg elhalmozzák majd a biztonság megsértéséről való értesítések, és komoly nehézségekkel szembesülhetnek a szükséges értékelések elvégzésében. Fontos szem előtt tartani, hogy annak értékeléséhez, hogy egy jogsértés megfelel-e a szabványnak, a hatóságokhoz el kell juttatni a kellő mennyiségű, gyakran összetett műszaki természetű belső információt, amelyet azoknak igen gyorsan fel kell dolgozniuk. Figyelembe véve az értékelés nehéz voltát és azt, hogy egyes hatóságok csak korlátozott erőforrásokkal rendelkeznek, az európai adatvédelmi biztos attól tart, hogy a hatóságoknak nagyon nehéz lesz megfelelniük e kötelezettségnek, és erőforrásokat vonhatnak el más kiemelt fontosságú területektől. Ez a rendszer továbbá szükségtelen nyomást helyezhetne a hatóságokra; ha ugyanis úgy döntenek, hogy a jogsértés nem komoly, az egyének viszont mégis kárt szenvednek, a felelősség potenciálisan a hatóságokat terhelhetné.

49.

Az említett nehézség még nagyobb jelentőséget kap, ha figyelembe vesszük, hogy az idő kulcsfontosságú tényező a biztonság megsértéséből származó kockázatok minimalizálásában. Hacsak a hatóságok nem képesek az értékelést nagyon rövid határidővel elvégezni, az értékelésnek a hatóságok általi elvégzéséhez szükséges többletidő növelheti az érintett egyének által elszenvedett károkat. Így előfordulhat, hogy ez a további lépés, amely azt lett volna hivatott szolgálni, hogy nagyobb védelmet biztosítson az egyének számára, paradox módon végül kevesebb védelmet kínál, mint a közvetlen értesítésen alapuló rendszerek.

50.

Az európai adatvédelmi biztos az említett okból kifolyólag úgy ítéli meg, hogy jobb lenne egy olyan rendszert kidolgozni, amelyben az érintett alanyok végeznék el annak értékelését, hogy az adott jogsértés megfelel-e vagy sem a szabványnak, ahogyan arról a tanácsi megközelítés rendelkezik.

51.

A lehetséges visszaélés veszélyének – például annak, hogy az alanyok elutasítják az értesítést olyan körülmények között, amelyekben arra egyértelműen szükség lenne – elkerülése érdekében azonban kulcsfontosságú beiktatni bizonyos, az alábbiakban kifejtett adatvédelmi biztosítékokat.

52.

Először, a lefedett alanyokat érintő, annak eldöntésére vonatkozó kötelezettséghez, hogy kell-e értesítést küldeniük, társulnia kell egy másik kötelezettségnek, amely előírja, hogy kötelezően értesítsék a hatóságokat a szabványnak megfelelő jogsértésekről. Az érintett alanyoknak ezen esetekben tájékoztatniuk kellene a hatóságokat a biztonság megsértéséről és az értesítésre, valamint minden kiküldött értesítés tartalmára vonatkozó döntésük indokairól.

53.

Másodszor, a hatóságoknak valós felügyeleti szerepet kell kapniuk. E feladatkörük gyakorlása során a hatóságok számára lehetővé kell tenni (de kötelezővé nem), hogy felderítsék a jogsértés körülményeit, és megköveteljenek bármiféle szükséges helyreállító intézkedést (14). Ez nemcsak az egyének értesítését kellene, hogy magában foglalja (amennyiben arra még nem került sor), hanem az arra vonatkozó jogkört is, hogy a további sérülések megelőzése érdekében lépések megtételére vonatkozó kötelezettséget rójanak ki. A hatóságoknak tényleges jogosultságokat és erőforrásokat kellene biztosítani e tekintetben, és rendelkezniük kell az annak eldöntéséhez szükséges mozgástérrel, hogy mikor reagálnak a biztonság megsértéséről való értesítésre. Más szóval, ez lehetővé tenné a hatóságok számára a szelektálást és – például – a nagy, valóban ártalmas biztonsági sérülések vizsgálatát, ellenőrizve és érvényesítve a törvényi követelményeknek való megfelelést.

54.

A fentiek elérése érdekében az európai adatvédelmi biztos az elektronikus hírközlési adatvédelmi irányelvben – úgymint a 15a. cikk (3) bekezdésében – és az adatvédelmi irányelvben elismert jogkörök mellé az alábbi szöveg beillesztését javasolja: „Ha az előfizetőt vagy az érintett személyt még nem értesítették, a sérülés természetének mérlegelése után az illetékes nemzeti hatóság kötelezheti erre a PPECS-eket vagy ISSP-ket.”

55.

Az európai adatvédelmi biztos javasolja továbbá, hogy az EP és a Tanács erősítse meg az EP által javasolt (122. módosítás, 4. cikk (1a) bekezdés), az alanyokra vonatkozó azon kötelezettséget, hogy kockázatértékelést és -azonosítást végezzenek rendszereikre és az általuk feldolgozni kívánt személyes adatokra vonatkozóan. Az alanyoknak e kötelezettség alapján testre szabott és gondos meghatározást kell adniuk azon biztonsági intézkedésekről, amelyeket eseteikben alkalmazni fognak, és amelyeknek a hatóságok rendelkezésére kell állniuk. Ha a biztonság megsértése következik be, e kötelezettség segítségére lesz majd a lefedett alanyoknak – és adott esetben felügyeleti szerepükben a hatóságoknak is – abban, hogy eldöntsék, az információ veszélyeztetése az egyénekre nézve lehet-e hátrányos befolyással vagy okozhat-e kárt.

56.

Harmadszor, a lefedett alanyokat érintő, annak eldöntésére vonatkozó kötelezettséghez, hogy értesíteniük kell-e az egyéneket, társulnia kell a részletes és átfogó belső ellenőrzési nyomvonal vezetésére vonatkozó kötelezettségnek, amely leír minden bekövetkezett jogsértést és minden azzal kapcsolatos értesítést, valamint bármely, a jövőbeli jogsértések elkerülése érdekében hozott intézkedést. E belső ellenőrzési nyomvonalat a hatóságok rendelkezésére kell bocsátani felülvizsgálatra és esetleges vizsgálatokra. Ez lehetővé teszi a hatóságok számára, hogy ellássák felügyeleti szerepüket. Ezt az alábbi gondolatmenetet követő szövegezés elfogadásával lehetne elérni: „A PPECS-knek és ISSP-knek átfogó nyilvántartást kell vezetniük, amely részletezi a bekövetkezett jogsértéseket, az azokhoz kapcsolódó műszaki információkat és a megtett ellenlépéseket. A nyilvántartásban meg kell említeni minden, az előfizetők vagy érintett egyének, valamint az illetékes nemzeti hatóságok számára kiadott értesítést, beleértve azok dátumát és tartalmát. A nyilvántartást kérésre át kell nyújtani az illetékes nemzeti hatóságnak.”

57.

E szabványnak, valamint a biztonság megsértésére vonatkozó irányelv más releváns szempontjainak – így az értesítés formájának és eljárásainak – a következetes végrehajtása érdekében természetesen helyénvaló lenne, ha a Bizottság az európai adatvédelmi biztossal, a 29. cikk szerinti munkacsoporttal és az érintett szereplőkkel folytatott konzultációt követően technikai intézkedéseket fogadna el a végrehajtásra vonatkozóan.

58.

Az értesítések címzettjei tekintetében az európai adatvédelmi biztos a Tanácséval szemben az EP és a Bizottság terminológiáját részesíti előnyben. Az EP ugyanis az „előfizetők” szót a „felhasználók” szóra cserélte. A Bizottság az „előfizetők” és „érintett egyének” kifejezéseket használja. Mind az EP, mind a Bizottság megfogalmazása kiterjedne nemcsak a jelenlegi előfizetőkre, hanem a korábbi előfizetőkre és harmadik felekre is, például olyan felhasználókra, akik egyes lefedett alanyokkal anélkül lépnek kapcsolatba, hogy náluk előfizetnének. Az európai adatvédelmi biztos üdvözli ezt a megközelítést, és annak megtartására kéri az EP-t és a Tanácsot.

59.

Mindazonáltal a terminológia tekintetében következetlenségeket lát az EP első olvasatában, melyeket ki kell küszöbölni. Így például az „előfizetők” szó helyébe a legtöbb esetben – de nem mindig – a „felhasználók” szó lépett, más esetekben pedig a „fogyasztók”. Ezt egységesíteni kellene.

60.

A jelenlegi elektronikus hírközlési adatvédelmi irányelv 3. cikkének (1) bekezdése meghatározza azokat az alanyokat, amelyekre az irányelv elsősorban vonatkozik, vagyis amelyek a nyilvános hírközlési szolgáltatások (a fentebbiekben említett PPECS-ek) nyilvános hírközlő hálózaton történő nyújtásával összefüggésben kezelnek személyes adatokat (15). PPECS-ek által végzett tevékenység például az internethozzáférést nyújtó szolgáltatás, az elektronikus hírközlő hálózaton való adattovábbítás, a mobil- és telefonhálózatokra való csatlakozás stb.

61.

Az EP elfogadott egy, az eredeti bizottsági javaslat 3. cikkére vonatkozó módosítást (121. módosítás), amelynek eredményeként az elektronikus hírközlési adatvédelmi irányelv alkalmazási körét kiterjed „a Közösségben a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános és magán hírközlő hálózatokon, valamint nyilvánosan elérhető magánhálózatokon keresztül […] történő nyújtásával összefüggő személyes adatok kezelésére” (Elektronikus hírközlési adatvédelmi irányelv, 3. cikk, (1) bekezdés). A Tanács és a Bizottság sajnálatos módon nem tudta elfogadni e javaslatot, ezért ezt az elképzelést nem építették be a közös álláspontba és a módosított javaslatba.

62.

Az alább kifejtett okokból, valamint a konszenzus elősegítése céljából az európai adatvédelmi biztos a 121. módosítás lényegének a megtartására ösztönöz. Emellett javasolja egy olyan módosítás beillesztését, amely segít tovább tisztázni a kiszélesített hatály alá tartozó szolgáltatástípusokat.

63.

A magánhálózatokat gyakran használják fel elektronikus hírközlési szolgáltatások – például internet-hozzáférés – meghatározatlan, potenciálisan nagyszámú ember számára történő nyújtására. Ez a helyzet például az internetkávézókban biztosított internet-hozzáférés és a szállodákban, éttermekben, repülőtereken, vonatokon és más, a nyilvánosság előtt nyitott intézményekben elérhető Wi-Fi-hálózatok esetében, ahol ezek a szolgáltatások gyakran más szolgások kiegészítéseként vehetők igénybe (ital, szállás stb.).

64.

Valamennyi fenti példában egy hírközlési szolgáltatást – például internet-hozzáférést – tesznek elérhetővé a nyilvánosság számára, nem nyilvános hálózaton, hanem magánjellegűnek tekinthető, azaz magánhálózaton keresztül. Továbbá jóllehet a fenti esetekben a hírközlési szolgáltatásokat a nyilvánosságnak nyújtják, mivel azonban az igénybe vett hálózat típusa inkább magán- mint nyilvános hálózat, e szolgáltatások nyújtása nyilvánvalóan nem tartozik a teljes elektronikus hírközlési adatvédelmi irányelv, vagy legalábbis néhány cikkének hatálya alá (16). Ennek eredményeként nincsenek védve az egyéneknek az elektronikus hírközlési adatvédelmi irányelvben biztosított alapvető jogai, és egyenlőtlen jogi helyzet áll elő azon felhasználók számára, akik ugyanazt az internethozzáférést biztosító szolgáltatást nyilvános hírközlési eszközökön keresztül veszik igénybe, azokkal szemben, akik ezt magánhálózatokon keresztül teszik. Mindez annak ellenére van így, hogy mindezen esetekben ugyanolyan mértékben állnak fenn az egyének magánéletét és személyes adatait fenyegető veszélyek, mint amikor nyilvános hálózatokat vesznek igénybe a szolgáltatás eléréséhez. Összefoglalva tehát nem látszik ésszerű indok az irányelv értelmében a magánhálózatokon és a nyilvános hálózatokon keresztül nyújtott távközlési szolgáltatások közötti különbségtételre.

65.

Ezért az európai adatvédelmi biztos támogatna egy olyan javaslatot, mint például az EP 121. módosítása, amelynek értelmében az elektronikus hírközlési adatvédelmi irányelv hatálya kiterjedne a nyilvánosan elérhető elektronikus hírközlési szolgáltatások magán hírközlő hálózaton történő nyújtásával összefüggő személyesadat-feldolgozásra is.

66.

Az európai adatvédelmi biztos mindazonáltal elismeri, hogy ez a megfogalmazás előreláthatatlan és esetleg nem szándékolt következményekhez vezethet. A magánhálózatok puszta említése ugyanis úgy értelmezhető, hogy kiterjed olyan helyzetekre, amelyekre nem szándékoznak kiterjeszteni az irányelv hatályát. Így például úgy ítélhetik meg, hogy e megfogalmazás szó szerinti vagy szigorú értelmezésben a Wi-Fi-készülékkel felszerelt otthonok (17) tulajdonosait – amelyek a hatókörükön (általában az otthonon) belül bárkinek lehetővé teszik a csatlakozást – ugyancsak az irányelv hatálya alá vonná; jóllehet a 121. módosítás nem ezt kívánja elérni. Ennek a hatásnak az elkerülése érdekében az európai adatvédelmi biztos a 121. módosítás olyan átfogalmazását javasolja, hogy az elektronikus hírközlési adatvédelmi irányelv alkalmazási köre kiterjedjen „a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános vagy nyilvánosan elérhető magán hírközlő hálózaton történő nyújtásával összefüggő személyes adatok kezelésére”.

67.

Ez segítene annak tisztázásában, hogy csak a nyilvánosan hozzáférhető magánhálózatok essenek az elektronikus hírközlési adatvédelmi irányelv hatálya alá. Az elektronikus hírközlési adatvédelmi irányelvnek csupán a nyilvánosan elérhető magánhálózatokra (nem pedig minden magánhálózatra) történő alkalmazása meghúzza a határt, így az irányelv csak a nyilvánosság számára szándékosan elérhetővé tett magánhálózatokon keresztül nyújtott hírközlési szolgáltatásokra fog vonatkozni. Ez a megfogalmazás segít továbbá kiemelni, hogy a magánhálózatnak a nagy nyilvánosság tagjai számára való elérhetősége az a kulcstényező, amely meghatározza, hogy az irányelv vonatkozik-e rá (a nyilvánosan elérhető hírközlési szolgáltatásra vonatkozó előírás mellett). Más szóval: attól függetlenül, hogy a hálózat magán- vagy nyilvános hálózat-e, ha a hálózatot nyilvános hírközlési szolgáltatás – például internet-hozzáférés – nyújtása céljából szándékosan elérhetővé tették a nyilvánosság számára, még ha ez a szolgáltatás egy másik szolgáltatás kiegészítője is csupán (például szállodai ellátás), az irányelv lefedi ezt a szolgáltatás-/hálózattípust.

68.

Az európai adatvédelmi biztos megjegyzi, hogy a fent támogatott elgondolás, amely szerint az elektronikus hírközlési adatvédelmi irányelv előírásait a nyilvánosan elérhető magánhálózatokra is alkalmazni kell, összhangban áll a több tagállamban elfogadott megközelítésekkel, ahol a hatóságok az ilyen típusú szolgáltatásokat, valamint a tisztán magánjellegű hálózatokon keresztül nyújtott szolgáltatásokat bevonták az elektronikus hírközlési adatvédelmi irányelvet végrehajtó nemzeti rendelkezések hatálya alá (18).

69.

Az új hatályba tartozó alanyok tekintetében a jogi biztonság fokozása érdekében hasznos lehet beilleszteni az elektronikus hírközlési adatvédelmi irányelvbe egy a „nyilvánosan elérhető magánhálózatok” fogalmát meghatározó módosítást, melynek megfogalmazása lehetne a következő: „nyilvánosan hozzáférhető magánhálózat: magánműködtetésű hálózat, melyhez a nagy nyilvánosság tagjai általában korlátozott hozzáféréssel rendelkeznek akár fizetés révén, akár más szolgáltatásokkal vagy ajánlatokkal összefüggésben, az alkalmazandó feltételek elfogadásától függően”.

70.

A gyakorlatban a fenti megközelítés azt jelentené, hogy az irányelv hatálya kiterjedne a szállodák és más, a nagyközönség számára magánhálózaton keresztül internet-hozzáférést nyújtó intézmények magánhálózataira. Ezzel szemben a tisztán magánjellegű hálózatokon keresztül nyújtott hírközlési szolgáltatások nyújtása, ahol a szolgáltatás azonosítható egyének korlátozott csoportjára korlátozódik, nem tartozna a hatálya alá. Ezért például a virtuális magánhálózatok és a Wi-Fi-vel rendelkező felhasználói otthonok nem tartoznának az irányelv hatálya alá. A tisztán vállalati hálózatokon keresztül nyújtott szolgálatok sem tartoznának a hatálya alá.

71.

A magánhálózatok fent javasolt kizárását átmeneti intézkedésnek kell tekinteni, amely további megbeszélések tárgyát kell, hogy képezze. Figyelembe véve egyrészt a kizárólag magánkézben lévő hálózatok kizárásának a magánélet védelmére való hatásait, másrészt azt a tényt, hogy ez azon személyek tömegeit érinti, akik általában vállalati hálózatokon keresztül csatlakoznak az internetre, elképzelhető, hogy a jövőben felül kell vizsgálni ezt a kérdést. A fentiekből kifolyólag, valamint az erről a témáról folytatott vita előmozdítása érdekében az európai adatvédelmi biztos egy olyan preambulumbekezdésnek az elektronikus hírközlési adatvédelmi irányelvbe történő beillesztését javasolja, amelynek értelmében a Bizottság az európai adatvédelmi biztostól, az adatvédelmi hatóságoktól és más érintett szereplőktől származó információk alapján nyilvános konzultációt folytatna az említett irányelv minden magánhálózatra történő alkalmazásáról. A preambulumbekezdés emellett azt is kimondhatja, hogy a Bizottság a nyilvános konzultáció eredményeként benyújtja a megfelelő javaslatokat az elektronikus hírközlési adatvédelmi irányelv hatálya alá tartozó alanyok körének kiterjesztésére vagy korlátozására vonatkozóan.

72.

A fentiek mellett megfelelően módosítani kell az elektronikus hírközlési adatvédelmi irányelv különböző cikkeit oly módon, hogy valamennyi működési rendelkezés a nyilvános hálózatok mellett kifejezetten hivatkozzon a nyilvánosan elérhető magánhálózatokra is.

73.

Az elektronikus hírközlési adatvédelmi irányelv felülvizsgálatával kapcsolatos jogalkotási folyamat során a biztonsági szolgáltatásokat nyújtó vállalatok kijelentették, hogy az online biztonság szavatolása érdekében olyan intézkedést kell az elektronikus hírközlési adatvédelmi irányelvbe illeszteni, amely törvényesíti a forgalmi adatok gyűjtését.

74.

Az EP ennek eredményeképpen elfogadta a 181. módosítást, amely létrehozza a 6. cikk új (6a) bekezdését, ez pedig kifejezetten engedélyezi a forgalmi adatok biztonsági célú feldolgozását: „(6a) A 95/46/EK irányelv 7. cikke és a jelen irányelv 5. cikkén kívül egyéb rendelkezések teljesítését nem érintve, a forgalmi adatok feldolgozhatóak a hálózati és információs biztonságról való gondoskodás érdekében az adatkezelő jogos érdekéből – amint azt a Tanács és a Parlament az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról 2004. március 10-i 460/2004/EK rendeletének 4. cikk c) pontja meghatározza – közcélú elektronikus kommunikációs szolgáltatásra, közcélú vagy magán elektronikus kommunikációs hálózatra, információs társadalmi szolgáltatásra vagy ahhoz kapcsolódó terminál- és elektronikus kommunikációs berendezésekre vonatkozó technikai rendelkezések végrehajtása céljából, kivéve amennyiben az ilyen érdekeket felülírják az érintett alapvető jogaihoz és szabadságaihoz fűződő érdekek. Az ilyen feldolgozás szigorúan a biztonsági tevékenység céljai szempontjából szükséges teendőkre korlátozódik.”

75.

A Bizottság módosított javaslata elvben elfogadta ezt a módosítást, ugyanakkor az „A 95/46/EK irányelv … nem érintve” szövegrész törlése révén elhagyott egy kulcsfontosságú tagmondatot, amelynek célja annak biztosítása volt, hogy az irányelv egyéb rendelkezéseit betartsák. A Tanács egy újraszövegezett változatot fogadott el, amely az alábbi megfogalmazás elfogadásával még egy lépéssel tovább ment a 181. módosításban szereplő fontos védelmi és érdekkiegyenlítési eszközök meggyengítésében: „Forgalmi adatokat az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról szóló, 2004. március 10-i 460/2004/EK európai parlamenti és tanácsi rendelet 4. cikkének c) pontja szerinti […] hálózat- és információbiztonság garantálásához feltétlenül szükséges mértékben lehet feldolgozni.”

76.

Amint az az alábbiakban kifejtésre kerül, a 6. cikk (6a) bekezdése szükségtelen és visszaélésekre adhat okot, különösebben akkor, ha abban a formájában fogadják el, amely nem tartalmazza a fontos védelmi eszközöket, az irányelv egyéb intézkedéseinek betartására vonatkozó záradékokat és az érdekek kiegyenlítését. Az európai adatvédelmi biztos ezért azt javasolja, hogy töröljék ezt a cikket, vagy legalább azt biztosítsák, hogy az erre a kérdésre vonatkozó cikk tartalmazza az EP által elfogadott 181. módosításban szereplő különböző biztosítékokat.

77.

Az elektronikus hírközlési adatvédelmi irányelv 6. cikke szabályozza, hogy a nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtók milyen mértékben végezhetik törvényesen a forgalmi adatok feldolgozását, és csak bizonyos célokra – mint például a számlázásra, kapcsolásra és marketingre – korlátozza a forgalmi adatok felhasználását. A feldolgozás csak különleges feltételek fennállásakor, a marketing esetében például az érintett személyek beleegyezésével végezhető. Emellett az adatvédelmi irányelv 7. cikkének értelmében egyéb adatkezelők, mint például az információs társadalommal összefüggő szolgáltatást nyújtók is végezhetnek forgalmiadat-feldolgozást; az említett cikk megállapítja, hogy az adatkezelők csak abban az esetben dolgozhatnak fel személyes adatokat, ha a felsorolt jogi helyzetek – amelyekre szintén jogalapként hivatkoznak – közül legalább egy teljesül.

78.

Ilyen jogi helyzet szerepel például az adatvédelmi irányelv 7. cikkének a) pontjában, amely az érintett hozzájárulását írja elő. Például amennyiben egy online kereskedő reklám vagy marketinganyag küldése céljából forgalmiadat-feldolgozást kíván végezni, engedélyt kell szereznie az érintett személytől. Egy másik, a 7. cikkben szereplő jogi helyzet egyes esetekben biztonsági okokból lehetővé teszi a forgalmi adatoknak a például biztonsági szolgáltatásokat nyújtó biztonsági vállalatok általi feldolgozását. Ez a 7. cikk f) pontján alapul, amely kimondja, hogy az adatkezelő feldolgozhatja a személyez adatokat, amennyiben „az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintett […] védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.” Az adatvédelmi irányelv nem szolgál példákkal arra vonatkozóan, hogy a személyes adatok feldolgozása mely esetekben felel meg ennek a követelménynek. Ehelyett erről az adatkezelők döntenek eseti alapon, gyakran a nemzeti adatvédelmi hatóság és más hatóságok beleegyezésével.

79.

Figyelembe kell venni az adatvédelmi irányelv 7. cikke, valamint az elektronikus hírközlési adatvédelmi irányelv 6. cikkének javasolt (6a) bekezdése közötti kapcsolatot. A 6. cikk javasolt (6a) bekezdése azon konkrét körülmények egyikét írja le, amelyben a 7. cikk fent idézett f) pontjában szereplő követelmények teljesülnek. A forgalmiadat-feldolgozásnak a hálózat- és információbiztonság szavatolásának elősegítése érdekében történő engedélyezésével a 6. cikk (6a) bekezdése valóban lehetővé teszi az adatkezelő jogszerű érdekének érvényesítése céljából történő adatfeldolgozást.

80.

Ahogy az az alábbiakban kifejtésre kerül, az európai adatvédelmi biztos úgy véli, hogy a 6. cikk (6a) bekezdése se nem szükséges, se nem hasznos. Jogi szempontból elvben szükségtelen megállapítani, hogy egy konkrét adatfeldolgozási tevékenység – jelen esetben a forgalmi adatok biztonsági célokból történő feldolgozása – megfelel-e vagy sem az adatvédelmi irányelv 7. cikke f) pontjának, amely esetben az érintett fél hozzájárulása a 7. cikk a) pontjából kifolyólag szükséges lehet. Amint az fentebb már szerepel, ennek megítélése általában az adatkezelőkre hárul, például végrehajtási szinten a vállalatokra, az adatvédelmi hatóságokkal konzultálva, vagy – amennyiben szükséges – a bíróságokra. Az európai adatvédelmi biztos általánosságban úgy véli, hogy a konkrét esetekben a forgalmi adatok biztonsági okokból, jogszerűen és az érintettek alapvető jogainak és szabadságainak veszélyeztetése nélkül végzett feldolgozása valószínűleg megfelel az adatvédelmi irányelv 7. cikke f) pontjában szereplő követelményeknek, és következésképpen elvégezhető. Ezen túlmenően sem az adatvédelmi irányelvben, sem az elektronikus hírközlési adatvédelmi irányelvben nem szerepel utalás arra, hogy bizonyos fajta, a 7. cikk f) pontjában szereplő követelményeknek megfelelő adatfeldolgozási tevékenységeket ki kellene zárni vagy különleges módon kellene kezelni, és ilyen kivétel nem is bizonyult szükségesnek. Ezzel szemben, amint az fentebb már szerepelt, úgy tűnik, hogy ez a fajta tevékenység sok esetben tökéletesen megfelel a jelenlegi szövegnek. Következésképpen elvben szükségtelen ezt a megállapítást jogi rendelkezéssel megerősíteni.

81.

A fenti magyarázat értelmében fontos – bár nem szükséges – kiemelni, hogy az EP által elfogadott 181. módosítás mindazonáltal bizonyos mértékben az adatvédelmi jogszabályokban megtalálható, a magánélet védelmére és az adatvédelemre vonatkozó elvek figyelembevételével került megszövegezésre. Az EP 181. módosítása tovább foglalkozhatna az adatvédelemnek és a magánélet védelmének a kérdésével, például a „konkrét esetekben” szavaknak e cikk szelektív alkalmazása érdekében való beillesztésével, vagy egy konkrét megőrzési időszak belefoglalásával.

82.

A 181. módosítás pozitív elemeket is tartalmaz. Megerősíti, hogy a feldolgozásnak összhangban kell lennie a személyes adatok feldolgozására vonatkozó bármely más adatvédelmi elvvel („A 95/46/EK irányelv […] és a jelen irányelv […] rendelkezése[ine]k teljesítését nem érintve”). Továbbá, noha a 181. módosítás megengedi a biztonsági célú forgalmiadat-feldolgozást, egyensúlyt állít fel az adatfeldolgozást végző alany érdekei és azon egyének érdekei között, akiknek az adatai feldolgozásra kerülnek, annak érdekében, hogy ilyen adatfeldolgozásra csak akkor kerülhessen sor, ha az egyének alapvető jogaira és szabadságaira vonatkozó érdekeket nem írják felül az adatfeldolgozást végző alany érdekei („kivéve amennyiben az ilyen érdekeket felülírják az érintett alapvető jogaihoz és szabadságaihoz fűződő érdekek”). E követelmény abból a szempontból lényeges, hogy lehetőséget ad a forgalmi adatok konkrét esetekben való feldolgozására; azonban nem engedi, hogy egy alany tömeges forgalmiadat-feldolgozást végezzen.

83.

A módosítás újraszövegezett tanácsi változata dicséretre méltó elemeket tartalmaz, mint például a „feltétlenül szükséges” terminus megtartása, mely kiemeli e cikk alkalmazási körének korlátozottságát. Azonban a tanácsi változatból kimaradnak az adatvédelemre és a magánélet védelmére vonatkozó, fent említett biztosítékok. Noha elvben az általános adatvédelmi rendelkezések érvényesek tekintet nélkül arra, hogy vajon minden esetben történik-e rájuk való konkrét hivatkozás, a 6. cikk (6a) bekezdésének tanácsi verzióját mindazonáltal úgy lehet értelmezni, mintha teljes döntési jogot adna a forgalmi adatok feldolgozására anélkül, hogy az adatvédelemre és a magánélet védelmére vonatkozó bármely olyan biztosítéktól tenné függővé, mely valamennyi adatfeldolgozásra alkalmazandó. Ezért azzal lehet érvelni, hogy anélkül lehet forgalmi adatokat gyűjteni, tárolni és tovább felhasználni, hogy meg kellene felelni az olyan adatvédelmi elveknek és konkrét kötelezettségeknek, melyek egyébként a felelős felekre vonatkoznak, mint például a méltányos és törvényes feldolgozás kötelezettségének és az adatok titkos és biztonságos kezelésének. Továbbá – mivel nem történik hivatkozás az adatok tárolásának határidejét megszabó, érvényes adatvédelmi elvekre vagy konkrét határidőkre a cikken belül – a tanácsi változatot úgy lehet értelmezni, hogy lehetőséget ad forgalmi adatok biztonsági célú, határozatlan időre szóló gyűjtésére és feldolgozására.

84.

Ezenfelül a szöveg egyes helyein a Tanács gyengítette a magánélet védelmével kapcsolatos biztonsági intézkedéseket azzal, hogy potenciálisan általánosabb megfogalmazást használt. Például kimaradt az adatkezelő jogos érdekeire való hivatkozás, ami kétséget ébreszt azt illetően, hogy mely típusú alanyok számára hasznos ez a kivétel. Kulcsfontosságú annak az elkerülése, hogy bármely felhasználó vagy alany számára lehetővé tegyük, hogy éljen e módosítással.

85.

Az EP és a Tanács friss tapasztalatai azt mutatják, hogy nehéz jogilag meghatározni a biztonsági célú adatfeldolgozás törvényesen való elvégzésének mértékét és feltételeit. Nem valószínű, hogy bármely meglévő vagy jövőbeli cikk megszüntetné a kivétel túlzottan tág körű alkalmazásából fakadó nyilvánvaló kockázatokat. Ez nem jelenti azt, hogy ilyen feldolgozásra semmilyen körülmények között sem kerülhet sor. Azonban azt, hogy sor kerülhet-e rá és milyen mértékben, végrehajtási szinten jobban fel lehet mérni. Az ilyen feldolgozást végezni kívánó alanyoknak az adatvédelmi hatóságokkal – és esetleg a 29. cikk alapján létrehozott munkacsoporttal – meg kell vitatni az alkalmazási kört és a feltételeket. A másik megoldás az lenne, ha az elektronikus hírközlési adatvédelmi irányelv tartalmazna egy cikket, mely – az adatvédelmi hatóságok kifejezett engedélyétől függően – lehetőséget ad a forgalmi adatok biztonsági célú feldolgozására.

86.

Figyelembe véve egyrészt a kockázatot, melyet a 6. cikk (6a) bekezdése jelent az egyének adatvédelemhez fűződő és a magánélet védelmére vonatkozó alapvető joga tekintetében, másrészt a tényt, hogy – amint e véleményben kifejtésre kerül – jogi szempontból e cikk szükségtelen, az európai adatvédelmi biztos arra a következtetésre jutott, hogy a legjobb eredmény az lenne, ha a javasolt 6. cikk (6a) bekezdése teljes egészében törlésre kerülne.

87.

Amennyiben a 6. cikk (6a) bekezdésének jelenlegi változata mentén – és az európai adatvédelmi biztos ajánlása ellenében – bármely szöveg elfogadásra kerül, annak mindenesetre tartalmaznia kell a fent tárgyalt adatvédelmi biztosítékokat. Ezenfelül megfelelően integrálni kell a 6. cikk meglévő struktúrájába, lehetőség szerint új (2a) bekezdésként.

88.

Az EP elfogadta a 133. módosítást, mely lehetőséget ad az internetszolgáltatóknak és más jogi személyeknek – így fogyasztói szervezeteknek – arra, hogy bírósági eljárást indíthassanak az elektronikus adatvédelmi irányelv bármely rendelkezésének megsértése miatt (19). Sajnos ezt sem a Bizottság, sem a Tanács nem fogadta el. Az európai adatvédelmi biztos úgy véli, hogy e módosítás igen pozitív, és megtartását javasolja.

89.

Ahhoz, hogy e módosítás fontosságát felmérjük, el kell fogadnunk, hogy a magánélet védelmének és az adatvédelemnek a területén az egy személyt ért kár egyénenként véve általában önmagában nem elegendő ahhoz, hogy az adott személy bírósági eljárást indíthasson. Az egyének általában egyedül nem fordulnak bírósághoz azzal, hogy valakitől kéretlen üzeneteket kaptak, vagy hogy egy nyilvántartásban tévesen szerepelnek. E módosítás lehetővé tenné a fogyasztók közös érdekvédelmét biztosító fogyasztói szervezeteknek és szakszervezeteknek, hogy nevükben jogi eljárást indítsanak a bíróság előtt. Az érvényesítési mechanizmusok nagyobb változatossága valószínűleg szintén magasabb szintű megfelelést ösztönözne, és ezért az elektronikus adatvédelmi irányelv rendelkezéseinek hatékony alkalmazása érdekében áll.

90.

Néhány tagállam jogalkotásában található olyan példa, mely már most előirányozza a csoportos jogorvoslat lehetőségét annak érdekében, hogy a fogyasztóknak vagy érdekcsoportoknak lehetővé tegye, hogy a kárt okozó féltől kártérítést igényeljenek.

91.

Ezenfelül egyes tagállamok kompenzációs jogszabályai (20) feljogosítják a fogyasztókat, érdekcsoportokat arra, hogy (az érintett versenytárson felül) a jogsértés elkövetőjével szemben jogi eljárást indítsanak. E megközelítés azon a megfontoláson alapul, hogy a versenyjogot megsértő vállalatok valószínűleg hasznot húznak a jogsértésből, mivel a csak jelentéktelen kárt elszenvedő fogyasztók általában vonakodnak ügyükkel a bírósághoz fordulni. E megfontolás értelemszerűen az adatvédelemnek és a magánélet védelmének a területére is vonatkozik.

92.

Ami még fontosabb – amint fent említésre került: lehetővé tenni az olyan jogalanyok számára, mint pl. a fogyasztói szervezetek és a PPECS-ek, hogy jogi eljárást indítsanak, erősíti a fogyasztók helyzetét és elősegíti az adatvédelmi jogszabályoknak való általános megfelelést. Amennyiben a jogsértő vállalatok számára nagyobb a per kockázata, valószínűleg többet fordítanak majd az adatvédelmi jogszabályoknak való megfelelésre, aminek következtében a magánélet és a fogyasztók védelme hosszú távon erősödni fog. Mindezen indokok alapján az európai adatvédelmi biztos felkéri az EP-t és a Tanácsot, hogy fogadjon el egy olyan rendelkezést, mely lehetőséget ad a jogalanyoknak, hogy bíróság előtt jogi eljárást indíthassanak az elektronikus adatvédelmi irányelv bármely rendelkezésének megsértése miatt.

93.

A Tanács közös álláspontja, az EP első olvasata és a Bizottság módosított javaslata eltérő mértékben olyan pozitív elemeket tartalmaz, melyek erősíthetik az egyének magánéletének és személyes adatainak védelmét.

94.

Azonban az európai adatvédelmi biztos úgy véli, hogy lehetőség van a javításra, különösen a tanácsi közös álláspont esetében, mely sajnos nem tartotta meg az EP néhány olyan módosítását, melynek célja az egyének magánéletére és személyes adataira vonatkozó védelem biztosítása. Az európai adatvédelmi biztos sürgeti az EP-t és a Tanácsot, hogy állítsák helyre az EP első olvasatában szereplő, a magánélet védelmével kapcsolatos biztosítékokat.

95.

Az európai adatvédelmi biztos tovább úgy véli, hogy az irányelv néhány rendelkezését megfelelő lenne egyszerűsíteni. Ez különösen igaz a biztonság megsértésére vonatkozó rendelkezések esetében, mivel az európai adatvédelmi biztos úgy véli, hogy a biztonság megsértéséről való értesítésben rejlő lehetőségeket akkor lehet a legjobban kiaknázni, ha a jogi keret már kezdettől fogva helyes alapokon nyugszik. Az európai adatvédelmi biztos végül úgy gondolja, hogy az irányelv néhány rendelkezésének megfogalmazását megfelelő lenne javítani és pontosítani.

96.

A fentiek alapján az európai adatvédelmi biztos sürgeti az EP-t és a Tanácsot, hogy fokozza az elektronikus adatvédelmi irányelv néhány rendelkezésének javítása és pontosításra érdekében tett erőfeszítéseit, miközben ismét vezesse be a szövegbe az EP első olvasatban elfogadott azon módosításait, melyek célja az adatvédelem és a magánélet védelme megfelelő szintjének biztosítása. E célból az alábbi 97–100. pontok összegzik az érintett kérdéseket, valamint ajánlásokat és szövegezési javaslatokat tartalmaznak. Az európai adatvédelmi biztos felkéri az összes érintett felet, hogy ezeket vegye figyelembe az elektronikus adatvédelmi irányelv végső elfogadásához vezető folyamat során.

97.

Az Európai Parlament, a Bizottság és a Tanács mind más-más megközelítést képvisel a biztonság megsértéséről való értesítéssel kapcsolatban. A három modell között többek között az alábbiak tekintetében van eltérés: az értesítési kötelezettség körébe tartozó alanyok, az értesítést keletkeztető szabvány vagy feltétel, az értesítésre jogosult adatalanyok stb. Szükséges, hogy az EP és a Tanács mindent tegyen meg annak érdekében, hogy szilárd jogi keretet dolgozzon ki a biztonság megsértésével kapcsolatban. E célból az EP-re és a Tanácsra az alábbi feladatok hárulnak:

98.

Az elektronikus hírközlési szolgáltatásokat gyakran nem nyilvános, hanem magánhálózatokon (pl. hotelekben, repülőtereken hozzáférhető Wi-Fi-hálózatokon) bocsátják a nyilvánosság rendelkezésére, melyekre az irányelv nyilvánvalóan nem vonatkozik. Az EP elfogadta az irányelv alkalmazási körét annak érdekében bővítő 121. módosítást (3. cikk), hogy kiterjedjen a nyilvános és magán távközlési hálózatokra, valamint a nyilvánosan elérhető magánhálózatokra. E célból az EP-re és a Tanácsra az alábbi feladatok hárulnak:

99.

Az EP az első olvasatban elfogadta a 181. Módosítást (6. cikk (6a) bekezdés), mely engedélyt ad a biztonsági célú forgalmiadat-feldolgozásra. A Tanács közös álláspontja új változatot fogadott el, mely a magánélet védelmére vonatkozó biztosítékok közül többet meggyengített. E tekintetben az európai adatvédelmi biztos azt javasolja, hogy az EP és a Tanács:

100.

A Parlament elfogadta a 133. módosítást (13. cikk (6) bekezdés), mely lehetőséget ad a jogalanyoknak arra, hogy bírósági eljárást indítsanak az irányelv bármely rendelkezésének megsértése esetén. Sajnos ezt a Tanács nem tartotta meg. A Tanács és az EP feladata, hogy:

101.

Az összes fenti kérdésben az EP-nek és a Tanácsnak képesnek kell lennie olyan megfelelő szabályok és rendelkezések kidolgozására, melyek gyakorlatban megvalósíthatóak, funkcionálisak és tiszteletben tartják az egyéneknek a magánélet védelmére és az adatvédelemre vonatkozó jogait. Az európai adatvédelmi biztos reméli, hogy az érintett felek mindent megtesznek e feladat megoldása érdekében, és hogy e vélemény segítséget nyújt munkájukban.

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/42

1.

A Bizottság 2008. november 13-án elfogadta a tagállamok minimális kőolaj- és/vagy kőolajtermék-készletezési kötelezettségéről szóló tanácsi irányelvre irányuló javaslatot (a továbbiakban: a javaslat) (3).

2.

Az irányelv célja a Közösségen belüli kőolajellátás-biztonság magas szintjének a tagállamok közötti szolidaritáson alapuló, megbízható és átlátható mechanizmusok révén történő biztosítása, a minimális kőolaj- és a kőolajtermék-készletek fenntartása, valamint a súlyos mértékű hiány kezeléséhez szükséges eljárási eszközök bevezetése.

3.

A Bizottság 2008. november 14-én a 45/2001/EK rendelet 28. cikke (2) bekezdésének megfelelően konzultáció céljából megküldte a javaslatot az európai adatvédelmi biztosnak. Az európai adatvédelmi biztos üdvözli, hogy – a 45/2001/EK rendelet 28. cikkének megfelelően – e kérdéssel kapcsolatban egyeztetésre kérték fel és tudomásul veszi, hogy a konzultációra a javaslat preambulumában hivatkoztak.

4.

A javaslat elfogadása előtt a Bizottság informális konzultációt folytatott az európai adatvédelmi biztossal a javaslattervezet egy meghatározott cikke kapcsán (a jelenlegi 19. cikk). Az európai adatvédelmi biztos üdvözölte az informális egyeztetést, mivel az lehetőséget kínált neki arra, hogy néhány ajánlással éljen még a javaslat Bizottság általi elfogadása előtt.

5.

A jelen kérdés jó példája annak, hogy az adatvédelmi szabályokat folyamatosan szem előtt kell tartani. Egy olyan helyzetben, amely a tagállamokat és a biztonsági kőolajkészletek tartására irányuló tagállami kötelezettségét érinti – amely kőolajkészletek főként jogi entitások tulajdonában vannak – a személyes adatok feldolgozása bár nem nyilvánvaló, ettől függetlenül azonban – még ha azt előre nem is tervezték – sor kerülhet rá. Mindenképpen meg kell vizsgálni a személyes adatok feldolgozásának valószínűsíthetőségét és ennek megfelelően kell eljárni.

6.

A jelen helyzetben az irányelv alapvetően két olyan tevékenységet irányoz elő, amelyek személyesadat-feldolgozással járhatnak. Az első a tagállamok általi, olajkészletekről való információgyűjtés, illetve ezt követően ezen információnak a Bizottság felé való továbbítása. A második tevékenység a Bizottság azon hatáskörével kapcsolatos, hogy a tagállamokban ellenőrzéseket végezzen. Az olajkészlet-tulajdonosokra vonatkozó információgyűjtés személyes adatokat is magában foglalhat, így vállalatigazgatók neveit és elérhetőségeit. Ez az információgyűjtés, valamint az információnak az azt követő, Bizottság számára történő továbbítása személyes adatok feldolgozását jelentené, és vagy a 95/46/EK irányelv rendelkezéseit végrehajtó nemzeti jogszabályok vagy a 45/2001/EK rendelet alkalmazását vonná maga után, attól függően, hogy ténylegesen ki dolgozza fel az adatokat. Személyes adatok gyűjtésével és ezáltal feldolgozásával járhatna a Bizottság azon hatáskörrel való felruházása is, hogy a tagállamokban ellenőrzéseket végezzen a biztonsági olajkészletek tekintetében, ez ugyanis az általános információgyűjtésre vonatkozó hatáskört is magában foglalja.

7.

Az informális egyeztetés során, amely a Bizottság vizsgálati jogköréről szóló rendelkezésre korlátozódott, az európai adatvédelmi biztos annak meghatározását tanácsolta a Bizottságnak, hogy a bizottsági vizsgálat keretében végzett személyesadat-feldolgozás esetlegesen, vagy a vizsgálat céljait szolgáló módon, rendszeres alapon történik-e majd. Ezen értékelés eredménye nyomán két megközelítési javaslat fogalmazódott meg.

8.

Arra az esetre, amennyiben a személyes adatok feldolgozása előre nem tervezett, tehát pusztán esetlegesen történik, az európai adatvédelmi biztos azt javasolta, hogy először is kifejezetten zárják ki a személyes adatoknak a bizottsági vizsgálat céljaira történő feldolgozását, másodszor pedig jelentsék ki, hogy a Bizottság a vizsgálat során felmerült semmilyen személyes adatot nem gyűjt össze, nem vesz figyelembe, véletlen adatgyűjtés esetén pedig az adatokat haladéktalanul megsemmisíti. Általános biztosítékként szolgáló záradékként az európai adatvédelmi biztos javasolta egy olyan rendelkezés beillesztését, amely kimondja, hogy az irányelv nem sérti a 95/46/EK irányelvben és a 45/2001/EK rendeletben megállapított adatvédelmi szabályokat.

9.

Arra az esetre azonban, ha elő van irányozva, hogy a bizottsági vizsgálat keretében rendszeres alapon dolgoznak fel személyes adatokat, az európai adatvédelmi biztos azt ajánlotta, hogy a Bizottság megfelelő adatvédelmi értékelés eredményét tükröző szöveget illesszen be. Ennek a következő elemeket kellene magában foglalnia: i. az adatfeldolgozás tényleges célja, ii. az adatfeldolgozás szükségessége e cél elérése érdekében, iii. az adatfeldolgozás arányossága.

10.

Bár az európai adatvédelmi biztos informális tanácsa a Bizottság vizsgálati jogkörére terjedt csak ki, észrevételei ugyanígy vonatkoztathatók az irányelvjavaslatban foglalt többi fő tevékenységre is, nevezetesen a tagállamok általi információgyűjtésre és ezen információ Bizottság számára való továbbítására.

11.

A végleges irányelvjavaslat egyértelműen azt mutatja, hogy a Bizottság a mellett döntött, hogy az irányelv alkalmazásában a személyesadat-feldolgozás ne legyen előirányozva. Az európai adatvédelmi biztos üdvözli, hogy a javaslat teljes mértékben tükrözi az általa javasolt első megközelítést.

12.

Az európai adatvédelmi biztos ezért támogatását fejezi ki azon mód iránt, ahogyan a Bizottság az irányelvjavaslatban az adatvédelmi szabályoknak való megfelelést biztosította. A vélemény hátralévő része csupán néhány részletes ajánlást tartalmaz.

13.

A javasolt irányelv 15. cikke a tagállamok azon kötelezettségével foglalkozik, melynek értelmében a Bizottságnak a területükön tárolt kereskedelmi készletek mennyiségéről hetente készített statisztikai kimutatásokat kell küldeniük. Az ilyen információ általában igen kevés személyes adatot tartalmaz. Ugyanakkor tartalmazhat információt az olajkészleteket birtokló vagy a készleteket birtokló jogi entitás alkalmazásában álló természetes személyekről. Annak megakadályozása érdekében, hogy a tagállamok ezt az információt a Bizottság rendelkezésére bocsássák, a 15. cikk (1) bekezdése kimondja, hogy amennyiben a tagállamok így tesznek, „tartózkodnak a szóban forgó készletek tulajdonosai nevének említésétől”. Bár tisztában kell lenni azzal, hogy egy név eltávolítása nem feltétlenül eredményez olyan adatot, amely alapján nem kereshető vissza egy adott természetes személy, mégis úgy tűnik, hogy a jelenlegi helyzetben (olajkészlet-mennyiségek statisztikai kimutatásai) ez a kiegészítő mondat elegendő lesz annak biztosítására, hogy a Bizottság felé ne történjen személyesadat-továbbítás.

14.

A Bizottság ellenőrzési jogkörét a javasolt irányelv 19. cikke állapítja meg. A cikk világosan rámutat, hogy a Bizottság a fenti 8. pontban elmagyarázott első megközelítést követte. A cikk kimondja, hogy a Bizottság által végzett ellenőrzéseknek a személyes adatok feldolgozása nem képezheti a részét. Még ha a Bizottság ilyen adatokkal kapcsolatba is kerül, azokat nem veheti figyelembe, véletlen adatgyűjtés esetén pedig az adatokat haladéktalanul meg kell semmisítenie. A szövegnek az adatvédelmi jogszabályok szövegével való összehangolása, valamint a félreértések elkerülése végett az európai adatvédelmi biztos a „gyűjtésére” szónak a „feldolgozására” szóval való helyettesítését javasolja a (2) bekezdés első mondatában.

15.

Az európai adatvédelmi biztos megelégedését fejezi ki amiatt, hogy a javaslat egy a vonatkozó adatvédelmi jogszabályokról szóló általános biztosítékként szolgáló záradékkal egészült ki. A 20. cikk egyértelműen emlékezteti a tagállamokat, a Bizottságot és az egyéb közösségi szerveket a 95/46/EK irányelv és a 45/2001/EK rendelet szerinti kötelezettségeikre. A záradék ezenfelül hangsúlyozza az érintettek e szabályok szerinti jogait, így például a személyes adataik feldolgozásának kifogásolására vonatkozó jogot, az adataikkal kapcsolatos tájékoztatáshoz való jogot, valamint adataik pontatlanság esetén való helyesbítésének jogát. Érdemes lehet kitérni e rendelkezés javaslatbeli helyére. A rendelkezés – általános természete miatt – nem korlátozódik a Bizottság vizsgálati jogkörére. Az európai adatvédelmi biztos ezért e cikknek az irányelv első felébe való áthelyezését javasolja, következhetne például a 2. cikk után.

16.

A (25) preambulumbekezdés szintén említi a 95/46/EK irányelvet és a 45/2001/EK rendeletet. A preambulumbekezdés célja ugyanakkor nem egészen egyértelmű, mivel csupán az adatvédelmi jogszabályok említéséig megy el, ezen túlmenően semmi egyebet nem mond ki. A preambulumbekezdésben egyértelműen ki kellene jelenteni, hogy az irányelv rendelkezései nem sértik az említett jogszabályokat. Ezenfelül a preambulumbekezdés utolsó mondata azt sugallja, hogy az adatvédelmi jogszabályok kifejezetten megkövetelik az adatkezelőktől, hogy a véletlenül gyűjtött személyes adatokat haladéktalanul semmisítsék meg. Bár ez következhet a megállapított szabályokból, az említett jogszabályok ilyen kötelezettséget nem írnak elő. Az adatvédelem egyik általános elve az, hogy személyes adatok csak a gyűjtésük vagy további feldolgozásuk céljainak eléréséhez szükséges ideig tárolhatók. Amennyiben a preambulumbekezdés első része az imént javasolt módon kiigazításra kerül, az utolsó mondat feleslegessé válik. Az európai adatvédelmi biztos ezért a (25) preambulumbekezdés utolsó mondatának elhagyását javasolja.

17.

Az európai adatvédelmi biztos támogatását kívánja kifejezi az iránt, ahogyan a Bizottság az irányelvjavaslatban az adatvédelmi szabályoknak való megfelelést biztosította.

18.

A részleteket illetően az európai adatvédelmi biztos az alábbiakat javasolja:

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/45

6.6.2009   

HU

Az Európai Unió Hivatalos Lapja

C 128/46