22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/1

1.

Az Európai Bizottság 2010. november 4-én„A személyes adatok Európai Unión belüli védelmének átfogó megközelítése” címmel közleményt fogadott el (a „közlemény”) (3). A közleményt konzultáció céljából elküldték az európai adatvédelmi biztosnak. Az európai adatvédelmi biztos üdvözli azt a tényt, hogy az Európai Bizottság a 45/2001/EK rendelet 41. cikkének megfelelően konzultált vele. Az európai adatvédelmi biztosnak már a közlemény elfogadása előtt lehetősége nyílt arra, hogy előterjessze nem hivatalos észrevételeit. Ezen észrevételek közül néhányat figyelembe vettek a dokumentum végleges változatának elkészítésekor.

2.

A közlemény célja, hogy – elsősorban a globalizációból és az új technológiákból származó kihívásokat szem előtt tartva – meghatározza a személyes adatoknak az Unió valamennyi cselekvési területén történő védelmére vonatkozó uniós jogi keret felülvizsgálatára irányuló bizottsági megközelítést (4).

3.

Az európai adatvédelmi biztos összességében üdvözli a közleményt, mivel meg van győződve arról, hogy szükséges a jelenlegi uniós adatvédelmi jogi keret felülvizsgálata annak érdekében, hogy az EU hatékony védelmet biztosítson egy folyamatosan fejlődő információs társadalomban. Az adatvédelmi biztos már az adatvédelmi irányelv végrehajtásáról szóló, 2007. július 25-i véleményében (5) megállapította, hogy hosszú távon elkerülhetetlennek tűnik a 95/46/EK irányelv megváltoztatása.

4.

A közlemény fontos lépcső e jogszabályi változás felé, amely az uniós adatvédelem területén a legfontosabb fejlemény lenne a 95/46/EK irányelv elfogadása óta; ez utóbbi irányelvet tartják az Európai Unión belül (és tágabb értelemben véve az Európai Gazdasági Térségben) az adatvédelem sarokkövének.

5.

A közlemény megfelelő keretet biztosít egy jól célzott felülvizsgálat számára – azért is, mert meghatározza – általánosságban szólva – a legfontosabb kérdéseket és kihívásokat. Az európai adatvédelmi biztos osztja az Európai Bizottság nézetét, miszerint a jövőben is szükség lesz erős adatvédelmi rendszerre azon az alapon, hogy az adatvédelem jelenlegi általános elvei továbbra is indokoltak egy olyan társadalomban, amely a gyors technológiai fejlődés és a globalizáció miatt jelentős változásokon megy át. Ez szükségessé teszi a meglévő jogalkotási intézkedések felülvizsgálatát.

6.

A közlemény helyesen hangsúlyozza, hogy a kihívások óriásiak. Az európai adatvédelmi biztos teljes mértékben egyetért ezzel a kijelentéssel, és kiemeli azt a következményt, hogy a tervezett megoldásoknak ennek megfelelően ambiciózusnak kell lenniük, és fokozniuk kell a védelem hatékonyságát.

7.

Ez a vélemény a következő két kritérium alapján értékeli a közleményben javasolt megoldásokat: ambíció és hatékonyság. A vélemény várt távlati hatása általánosságban véve pozitív. Az európai adatvédelmi biztos támogatja a közleményt, ugyanakkor kritikát fogalmaz meg olyan pontokon, ahol álláspontja szerint a több ambíció hatékonyabb rendszert eredményezne.

8.

Az európai adatvédelmi biztos célja, hogy ezzel a véleménnyel hozzájáruljon az adatvédelmi jogi keret továbbfejlesztéséhez. Várakozással tekint az Európai Bizottság 2011 közepére várható javaslata elé és reméli, hogy a javaslat szövegezése során figyelembe veszik indítványait. Megjegyzi továbbá, hogy úgy tűnik, a közlemény bizonyos területeket – például az uniós intézmények és szervek általi adatfeldolgozást – kizár az általános jogi aktus hatálya alól. Ha az Európai Bizottság valóban úgy döntene, hogy egyes területeket ebben a stádiumban kihagy – amit az európai adatvédelmi biztos sajnálna –, a biztos sürgeti az Európai Bizottságot, hogy kötelezze el magát egy teljesen átfogó architektúra rövid és meghatározott időn belül történő megvalósítása mellett.

9.

Ez a vélemény nem önmagában áll. Az európai adatvédelmi biztos és az európai adatvédelmi hatóságok különféle korábbi álláspontjain alapul. Különösen ki kell emelni, hogy az európai adatvédelmi biztos már említett, 2007. július 25-i véleményében meghatározták és kidolgozták a jövőbeli változás egyes főbb elemeit (6). E vélemény alapját képezik továbbá a magánélet védelme és az adatvédelem területén működő más érdekelt felekkel folytatott megbeszélések is. Az említettek hozzájárulása igen hasznos hátteret nyújtott a közleményhez és ehhez a véleményhez egyaránt. Ezzel kapcsolatban megállapítható, hogy valamilyen szintű együtthatás létezik a tekintetben, hogy hogyan növelhető az adatvédelem hatékonysága.

10.

E vélemény másik fontos építőeleme „A magánélet védelmének jövője” című dokumentum, amely a 29. cikk alapján létrehozott adatvédelmi munkacsoport, illetve a rendőrségi és igazságügyi munkacsoport közös hozzájárulása az Európai Bizottság által 2009-ben indított konzultációhoz („a magánélet védelmének jövőjéről szóló munkacsoport-dokumentum”) (7).

11.

Az európai adatvédelmi biztos a közelmúltban, a 2010. november 15-én tartott sajtókonferencián reagált először a jelen közleményre. Ez a vélemény az említett sajtókonferencián elhangzott általános nézeteket fejti ki bővebben (8).

12.

Végül ez a vélemény az európai adatvédelmi biztos számos korábbi véleményére és a 29. cikk alapján létrehozott adatvédelmi munkacsoport dokumentumaira is támaszkodik. Az említett véleményekre és dokumentumokra mutató hivatkozások e vélemény különböző releváns pontjain megtalálhatók.

13.

Az adatvédelmi szabályok felülvizsgálatára kritikus történelmi pillanatban kerül sor. A közlemény alaposan és meggyőzően írja le a hátteret. A leírás alapján az európai adatvédelmi biztos azonosítja azt a négy fő hajtóerőt, ami meghatározza a környezetet, amelyben a felülvizsgálati eljárás zajlik.

14.

Az első ilyen tényező a technológiai fejlődés. A mai technológia nem azonos a 95/46/EK irányelv megfogalmazásának és elfogadásának idején létezett technológiával. Az olyan technológiai újítások, mint például a számítási felhő, a viselkedésalapú reklám, a közösségi hálózatok, az útdíj beszedés és a földrajzi helymeghatározó eszközök, alapjaiban megváltoztatták az adatok feldolgozásának módját, és hatalmas kihívásokat állítanak az adatvédelem elé. Az európai adatvédelmi szabályok felülvizsgálatának hatékonyan kell kezelnie ezeket a kihívásokat.

15.

A második tényező a globalizáció. A kereskedelmi akadályok fokozatos eltörlése egyre inkább világméretű dimenziót ad a vállalkozásoknak. A határokon átnyúló adatfeldolgozás és a nemzetközi adattovábbítások száma rendkívüli mértékben emelkedett az elmúlt években. Továbbá az információs és kommunikációs technológiák miatt az adatfeldolgozás ma már mindenhol előfordul: az internet és a számítási felhő világszerte lehetővé tette nagy mennyiségű adat más helyen történő feldolgozását. Az utolsó évtized a nemzetközi rendőrségi és igazságügyi tevékenységek növekedését is hozta a terrorizmus és a nemzetközi szervezett bűnözés más formái elleni küzdelemben, amit hatalmas mennyiségű bűnüldözési célú információcsere támogatott. Mindezek miatt alaposan át kell gondolni, hogyan biztosítható hatékonyan a személyes adatok védelme a globalizált világban a nemzetközi adatfeldolgozási tevékenység jelentős akadályozása nélkül.

16.

A harmadik tényező a Lisszaboni Szerződés. A Lisszaboni Szerződés hatálybalépése új korszakot nyit az adatvédelem szempontjából. Az EUMSZ 16. cikke nemcsak az érintett egyén jogát tartalmazza, hanem közvetlen jogalapot is nyújt egy erős uniós adatvédelmi jogszabály számára. A pillérszerkezet eltörlése továbbá kötelezi az Európai Parlamentet és a Tanácsot, hogy az uniós jog minden területén intézkedjen az adatvédelemről. Más szóval, lehetővé teszi a tagállamokban a magán- és az állami szektorra, valamint az uniós intézményekre és szervekre egyaránt alkalmazandó átfogó adatvédelmi jogi keret kialakítását. A Stockholmi Program (9) következetesen állítja ezzel kapcsolatban, hogy az Uniónak átfogó stratégiát kell alkalmaznia a saját területén és a harmadik országokkal fennálló kapcsolatai során megvalósuló adatvédelem érdekében.

17.

A negyedik tényezőt nemzetközi szervezetekkel kapcsolatos párhuzamos fejlemények alkotják. Különféle viták folynak a jelenlegi adatvédelmi jogi eszközök modernizációjáról. Ezzel kapcsolatban fontos megemlíteni az Európa Tanács 108. egyezménye (10) és a magánélet védelmével foglalkozó OECD-iránymutatás (11) jövőbeli felülvizsgálatával kapcsolatos jelenlegi megfontolásokat. Egy másik fontos fejlemény a személyes adatok és a magánélet védelmére vonatkozó nemzetközi normák elfogadása, ami egy kötelező erejű globális adatvédelmi eszköz elfogadásához is elvezethet. Mindezek a kezdeményezések teljes körű támogatást érdemelnek. Közös céljuk a hatékony és következetes védelem biztosítása egy technológiavezérelt és globalizált környezetben.

18.

Az erős adatvédelmi keret szükségszerű következménye annak, hogy a Lisszaboni Szerződés – különösen az Európai Unió Alapjogi Chartájának 8. cikke és az EUMSZ 16. cikke alapján, szorosan kapcsolódva továbbá a Charta 7. cikkéhez – nagy fontosságot tulajdonít az adatvédelemnek (12).

19.

Az erős adatvédelmi keret szélesebb körű állami és magánérdekeket is szolgál egy olyan információs társadalomban, ahol az adatfeldolgozás mindenütt jelen van. Az adatvédelem erősíti a bizalmat, és a bizalom társadalmunk megfelelő működésének egyik alapvető fontosságú eleme. Fontos, hogy az adatvédelmi intézkedéseket úgy értelmezzék, hogy azok – amennyire lehetséges – aktívan támogassák, ne pedig akadályozzák az egyéb törvényes jogokat és jogos érdekeket.

20.

Fontos példák az egyéb jogos érdekekre az erős európai gazdaság, az egyének biztonsága, valamint a kormányok elszámoltathatósága.

21.

Az Európai Unió gazdasági fejlődése együtt jár új technológiák és szolgáltatások bevezetésével és piaci értékesítésével. Az információs társadalomban az információs és kommunikációs technológiák és szolgáltatások felbukkanása és sikeres kiépítése a bizalmon múlik. Ha az emberek nem bíznak az IKT-kban, ezek a technológiák kudarcra vannak ítélve. (13) Az emberek viszont csak akkor fognak bízni az IKT-kban, ha adataikat hatékonyan megvédik. Az adatvédelemnek tehát a technológiák és szolgáltatások szerves részét kell képeznie. Az erős adatvédelmi keret előmozdítja az európai gazdaságot, feltéve, hogy ez a keret nemcsak erős, de jól is van kialakítva. A további harmonizáció az Európai Unión belül, valamint az adminisztratív terhek minimalizálása ebben a perspektívában elengedhetetlen (lásd a vélemény 5. fejezetét).

22.

Az elmúlt években sokat beszéltek a magánélet védelme és a biztonság közötti egyensúly megteremtésének szükségességéről, különösen az adatvédelmi eszközök, valamint a rendőrségi és igazságügyi együttműködés területén zajló információcsere tekintetében. (14) Az adatvédelemre elég gyakran – helytelenül – az egyének fizikai biztonsága teljes körű védelmének akadályaként tekintettek (15), vagy legalábbis olyan elkerülhetetlen feltételként, amit a bűnüldöző hatóságoknak tiszteletben kell tartani. Ez azonban nem a teljes kép. Az erős adatvédelmi keret fokozhatja és erősítheti a biztonságot. Az adatvédelmi elvek alapján – ha jól alkalmazzák azokat – az adatkezelők kötelesek biztosítani, hogy a tájékoztatás pontos és naprakész legyen, és hogy a bűnüldözés számára nem szükséges, felesleges személyes adatokat távolítsák el a rendszerekből. Ez arra enged következtetni, hogy a rendszerek biztonsága érdekében technológiai és szervezeti intézkedéseket kell végrehajtani, például védeni kell a rendszereket a jogosulatlan közzététellel vagy hozzáféréssel szemben, ahogyan az adatvédelem területén már kidolgozták ezeket.

23.

Az adatvédelmi elvek tiszteletben tartása biztosíthatja továbbá, hogy a bűnüldöző hatóságok jogállami keretek között működnek, ami bizalmat kelt a magatartásuk iránt, és ezzel tágabb értelemben fokozza a társadalmainkba vetett bizalmat. Az Emberi Jogok Európai Egyezményének 8. cikke alapján álló ítélkezési gyakorlat biztosítja, hogy a rendőrég és az igazságügyi hatóságok a munkájukhoz szükséges összes adatot feldolgozhatják, de nem korlátlan módon. Az adatvédelemhez elengedhetetlenek az egyensúlyt biztosító eszközök (a rendőrségről és az igazságszolgáltatásról lásd a vélemény 9. fejezetét).

24.

A demokratikus társadalmakban a kormányok minden tevékenységükért elszámolással tartoznak, beleértve a személyes adatok különböző közérdekű felhasználását is. Ez az adatok – átláthatóság céljából – interneten történő közzétételétől egészen az adatok közegészségügyi, közlekedési vagy adópolitikák támogatásához való felhasználásáig, illetve magánszemélyek bűnüldözési célú megfigyeléséig terjed. Az erős adatvédelmi keret lehetővé teszi, hogy a kormányok – a felelősségteljes kormányzás részeként – tiszteletben tartsák feladataikat, és elszámoltathatók legyenek.

25.

A közlemény helyesen állapította meg, hogy a jelenlegi keret egyik legalapvetőbb hiányossága, hogy túlságosan nagy mérlegelési jogkört biztosít a tagállamoknak az európai rendelkezések nemzeti jogba való átültetésének területén. A harmonizáció hiányának számos negatív következménye van egy olyan információs társadalomban, ahol a tagállamok közötti fizikai határoknak egyre kisebb a jelentősége (lásd a vélemény 5. fejezetét).

26.

Az egyik első és formálisabb ok, amiért az adatvédelem általános elveit nem szabad és lehet megváltoztatni, jogi jellegű. Ezeket az elveket az Európa Tanács 108. egyezménye tartalmazza, amely minden tagállamra kötelező erejű. Ez az egyezmény jelenti az adatvédelem alapját az Európai Unióban. Sőt, a legfontosabb alapelvek közül néhányat az Európai Unió Alapjogi Chartájának 8. cikke is kifejezetten említ. Ezen elvek megváltoztatásához tehát az említett Szerződéseket is módosítani kellene.

27.

Ez azonban így még nem teljes. Más lényeges okok is vannak arra, hogy miért ne változtassák meg az általános elveket. Az európai adatvédelmi biztos határozottan úgy véli, hogy az információs társadalom nem működhet az egyének magánéletének és személyes adatainak megfelelő védelme nélkül. Ha több adatot dolgoznak fel, jobb védelem is szükséges. Az információs társadalomnak, ahol mindenkiről hatalmas mennyiségű információ feldolgozása folyik, az egyén általi ellenőrzés koncepciójára kell épülnie, lehetővé téve, hogy a személy egyénként járjon el, és élhessen a demokratikus társadalomban létező szabadságaival, mint például a vélemény- és szólásszabadsággal.

28.

Nehezen képzelhető el továbbá az egyén általi ellenőrzés anélkül, hogy az adatkezelők ne lennének kötelesek az adatfeldolgozást a szükségesség, az arányosság és a célhoz kötöttség elvének megfelelően korlátozni. Ugyanilyen nehezen képzelhető el az egyén általi ellenőrzés az érintettek elismert jogainak hiányában (pl. az adatokhoz való hozzáférés, helyesbítés, törlés és zárolás joga).

29.

Az európai adatvédelmi biztos kiemeli, hogy az adatvédelem alapvető jogként elismert jog. Ez nem azt jelenti, hogy az adatvédelem minden esetben irányadó a demokratikus társadalomban létező más fontos jogokkal és érdekekkel szemben, hanem azt, hogy valóban következményekkel jár az uniós jogi keret értelmében biztosítandó védelem jellegére és terjedelmére – így biztosítva, hogy az adatvédelmi követelményeket mindenkor megfelelően figyelembe veszik.

30.

Ezek a főbb következmények az alábbiak szerint határozhatók meg:

Az európai adatvédelmi biztos ajánlja, hogy az Európai Bizottság vegye figyelembe ezeket a következményeket, amikor jogalkotási megoldásokat javasol.

31.

A közlemény helyesen összpontosít az adatvédelmi jogalkotási eszközök erősítésének szükségességére. Ezzel kapcsolatban érdemes felidézni, hogy a magánélet védelmének jövőjéről szóló munkacsoport-dokumentumban (17) az adatvédelmi hatóságok hangsúlyozták, hogy az adatvédelem különböző szereplőinek – nevezetesen az érintetteknek, az adatkezelőknek és maguknak a felügyelő hatóságoknak – erősebb szerepet kell biztosítani.

32.

Úgy tűnik, széles körű konszenzus uralkodik az érdekelt felek között abban, hogy – figyelemmel a technológiai fejlődésre és a globalizációra – az erősebb jogalkotási intézkedések meghozatala az ambiciózus és hatékony adatvédelem megteremtésének kulcsfontosságú eleme. A 7. pontban említetteknek megfelelően ezek azok a kritériumok, amelyeket az európai adatvédelmi biztos a javasolt megoldások értékeléséhez használ.

33.

Ahogyan a közlemény is emlékeztet rá, a 95/46/EK irányelv a tagállamok állami és magánszektoraiban végzett valamennyi személyesadat-feldolgozási tevékenységre alkalmazandó, kivéve azokat a tevékenységeket, amelyek kívül esnek a korábbi közösségi jog (18) hatályán. Míg az előző Szerződésben szükség volt erre a kivételre, a Lisszaboni Szerződés hatálybalépése után már nem ez a helyzet. Sőt, a kivétel ellentétes az EUMSZ 16. cikkével – annak szövegével, de a szellemével mindenképpen.

34.

Az európai adatvédelmi biztos szerint az átfogó adatvédelmi jogi eszközre – beleértve a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködést is – úgy kell tekintetni, mint az egyik legfőbb előrelépésre, amit egy új jogi keret megvalósíthat. Ez a hatékony adatvédelem egyik elengedhetetlen feltétele a jövőben.

35.

Az európai adatvédelmi biztos – állításának alátámasztására – kiemeli a következő érveket:

36.

A rendőrség és az igazságszolgáltatás felvétele az általános jogi eszközbe nemcsak több garanciát nyújtana a polgároknak, hanem a rendőri hatóságok feladatát is megkönnyítené. Ha különféle szabályrendszereket kell alkalmazni, az fáradságos, feleslegesen időrabló, és útjában áll a nemzetközi együttműködésnek (lásd még a vélemény 9. fejezetét). Ez a nemzetbiztonsági szolgálatok adatfeldolgozó tevékenységének belefoglalása mellett is szól, amennyiben az uniós jog jelenlegi állása szerint ez lehetséges.

37.

A 95/46/EK irányelv 1995-ös elfogadása óta eltelt időszakot viharos technológiai változások jellemzik. Gyakran vezettek be új technológiai fejlesztéseket és alkalmazásokat. Ez sok esetben alapvető változásokat eredményezett az egyének személyes adatai feldolgozásának módjában. Az információs társadalom már nem tekinthető párhuzamos környezetnek, amelyben az egyének önként részt vehetnek, hanem mindennapi életünk szerves részévé vált. Például a „tárgyak internete” fogalom (22) kapcsolatokat létesít fizikai objektumok és a rájuk vonatkozó online információk között.

38.

A technológia fejlődik tovább. Ennek megvannak a következményei az új jogi keretre vonatkozóan. Annak több évre hatékonynak kell lennie, ugyanakkor nem állhat a további technológiai fejlesztések útjában. Ehhez az szükséges, hogy a jogi intézkedések technológiailag semlegesek legyenek. A keretnek azonban nagyobb jogbiztonságot kell nyújtania a vállalatoknak és az egyéneknek egyaránt. Tudniuk kell, mit várnak tőlük, és biztosítani kell számukra, hogy élhessenek jogaikkal. Ehhez viszont a jogi intézkedéseknek pontosnak kell lenniük.

39.

Az európai adatvédelmi biztos szerint az általános adatvédelmi jogi eszközt – amennyire lehetséges – technológiailag semleges módon kell megszövegezni. Ez azt jelenti, hogy a különböző szereplők jogait és kötelezettségeit általános és semleges módon kell megfogalmazni, hogy a személyes adatok feldolgozásához választott technológiától függetlenül is általában érvényesek és kikényszeríthetők maradjanak. A mai technológiai haladás gyors üteme miatt nincs más lehetőség. Az európai adatvédelmi biztos javasolja olyan új, „technológiailag semleges” jogok bevezetését a meglévő adatvédelmi elveken felül, amelyek különösen fontosak lehetnek a gyorsan változó elektronikus környezetben (lásd elsősorban a 6. és 7. fejezetet).

40.

Az elmúlt tizenöt évben a 95/46/EK irányelv volt az adatvédelem központi jogi aktusa az Európai Unióban. Beemelték a tagállamok jogába, és a különböző szereplők alkalmazták. Az évek során az alkalmazás tanult a gyakorlati tapasztalatokból és az Európai Bizottság, az adatvédelmi hatóságok (nemzeti szinten, illetve a 29. cikk alapján létrehozott munkacsoport keretében), valamint a nemzeti és az európai bíróságok további iránymutatásaiból.

41.

Hangsúlyozandó, hogy ezekhez a fejlesztésekhez idő kell, és – különösen mivel alapvető jogot életbe léptető általános keretről van szó – ez az idő szükséges a jogbiztonság és a stabilitás megteremtéséhez. Az új jogi eszközt azzal az ambícióval kell megszövegezni, hogy hosszabb időre képes legyen megteremteni a jogbiztonságot és stabilitást, szem előtt tartva, hogy nehezen megjósolható, hogyan fejlődik tovább a technológia és a globalizáció. Mindenesetre az európai adatvédelmi biztos teljes körűen támogatja a hosszú távú jogbiztonság megteremtésének célját, hasonlóan a 95/46/EK irányelv perspektívájához. Röviden, ahol a technológia gyors ütemben fejlődik, a jognak stabilnak kell maradnia.

42.

Rövid távon elengedhetetlen a meglévő jogi intézkedések hatékonyságának biztosítása – középpontban a szabályok érvényesítésével – nemzeti és uniós szinten egyaránt (lásd e vélemény 11. fejezetét).

43.

Az európai adatvédelmi biztos teljes mértékben támogatja az adatvédelemmel kapcsolatos átfogó megközelítést, ami nemcsak a közlemény címe, hanem kiindulópontja is, és szükségképpen tartalmazza az adatvédelem általános elveinek kiterjesztését a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre (23).

44.

Megjegyzi azonban, hogy az Európai Bizottság nem kívánja belevenni az összes adatfeldolgozási tevékenységet ebbe az általános jogi eszközbe. Különösen az uniós intézmények, szervek és hivatalok általi adatfeldolgozás fog kimaradni. Az Európai Bizottság csak annyit mond, hogy „megvizsgálja, hogy más jogi aktusokat is hozzá kell-e igazítani az adatvédelmi keret új generációjához”.

45.

Az európai adatvédelmi biztos egyértelmű preferenciája, hogy az európai uniós szintű adatfeldolgozást vegyék bele az általános jogi keretbe. Arra emlékeztet, hogy ez volt a korábbi EK-Szerződés 286. cikkének eredeti szándéka, amely először említette az adatvédelmet a Szerződés szintjén. Az EK-Szerződés 286. cikke egyszerűen kimondta, hogy a személyes adatok feldolgozásával kapcsolatos jogi eszközök az intézményekre is alkalmazandók. Ami még fontosabb: egyetlen jogi szöveg kivédi a rendelkezések közötti ellentmondások kockázatát, és ez lenne a legmegfelelőbb az uniós szintű, illetve a tagállami köz- és magánintézmények közötti adatcserére vonatkozóan. Azt a kockázatot is elkerülné, hogy a 95/46/EK irányelv módosítása után megszűnne a politikai érdek a 45/2001/EK rendelet módosítására vagy arra, hogy e módosítás elegendő prioritást kapjon a hatálybalépés dátumaival kapcsolatos ellentmondások elkerülése érdekében.

46.

Az európai adatvédelmi biztos sürgeti, hogy az Európai Bizottság – amennyiben úgy vélné, hogy az uniós szintű adatfeldolgozás felvétele az általános jogi eszközbe nem lenne megvalósítható – kötelezze el magát amellett, hogy a lehető legrövidebb időn belül, lehetőleg 2011 végéig javaslatot tesz a 45/2001/EK rendelet hozzáigazítására (nem arra, hogy „megvizsgálja, hogy hozzá kell-e igazítani”).

47.

Ugyanilyen fontos, hogy az Európai Bizottság biztosítsa, hogy más területek nem szorulnak háttérbe, különösen:

48.

Végül az adatvédelem általános jogi eszközét valószínűleg ki kell egészíteni további ágazati és speciális előírásokkal, például a rendőrségi és igazságügyi együttműködésre vonatkozóan, de más területeken is (25). Ha szükséges – és összhangban a szubszidiaritás elvével –, ezeket a kiegészítő előírásokat uniós szinten kell elfogadni. A tagállamok kiegészítő szabályokat is kidolgozhatnak olyan speciális területeken, ahol ez indokolt (lásd az 5.2. szakaszt).

49.

A harmonizáció kiemelkedően fontos az Európai Unió adatvédelmi joga szempontjából. A közlemény helyesen emelte ki, hogy az adatvédelemnek erős belső piaci dimenziója van, mivel biztosítania kell a személyes adatok szabad áramlását a tagállamok között a belső piacon. A jelenlegi irányelv szerinti harmonizáció szintje azonban a megítélések szerint nem kielégítő. A közlemény elismeri, hogy ez az egyik ismétlődő aggodalom az érdekelt felek részéről. Az érdekelt felek különösen kiemelik a jogbiztonság fokozásának, az adminisztratív teher csökkentésének szükségességét, valamint azt, hogy azonos versenyfeltételeket kell biztosítani a gazdasági szereplők számára. Ahogyan az Európai Bizottság – helyesen – megjegyzi, különösen ez a helyzet a több tagállamban működő adatkezelők esetében, akiknek a nemzeti adatvédelmi jogszabályok (adott esetben eltérő) követelményeit kell betartaniuk (26).

50.

A harmonizáció nemcsak a belső piac szempontjából, hanem a megfelelő adatvédelem biztosítása céljából is fontos. Az EUMSZ 16. cikke úgy rendelkezik, hogy „mindenkinek” joga van a rá vonatkozó személyes adatok védelméhez. E jog hatékony tiszteletben tartása érdekében az egész Európai Unióban azonos szintű védelmet kell garantálni. A magánélet védelmének jövőjéről szóló munkacsoport-dokumentum kiemelte, hogy az érintettek pozíciójával kapcsolatban számos rendelkezést nem hajtottak végre, illetve nem egységesen értelmeztek az összes tagállamban (27). Egy globalizált és összekapcsolódó világban ezek a különbözőségek alááshatják vagy korlátozhatják az egyének védelmét.

51.

Az európai adatvédelmi biztos úgy véli, a további és jobb harmonizáció a felülvizsgálati eljárás egyik legfőbb célkitűzése. Az európai adatvédelmi biztos üdvözli az Európai Bizottság elkötelezettségét aziránt, hogy megvizsgálja az adatvédelem további, uniós szintű harmonizációjának módját. Némileg meglepődve jegyzi meg azonban, hogy a közlemény ezen a ponton semmiféle konkrét lehetőséget nem vet fel. Ezért maga jelez néhány területet, ahol a jobb konvergencia a legsürgetőbb (lásd az 5.3. szakaszt). Ezeken a területeken a további harmonizációt nemcsak a nemzeti jog mozgásterének korlátozásával kell elérni, hanem a helytelen tagállami végrehajtás megakadályozásával (lásd a 11. fejezetet is), valamint a következetesebb és összehangoltabb érvényesítés biztosítása által (lásd a 10. fejezetet is).

52.

Az irányelv számos olyan rendelkezést tartalmaz, amelyeket tág értelemben fogalmaztak meg, ezért helyet hagynak az eltérő értelmezésnek. Az irányelv (9) preambulumbekezdése kifejezetten megerősíti, hogy a tagállamok rendelkeznek bizonyos mozgástérrel, és e mozgástér keretein belül különbségek merülhetnek fel az irányelv végrehajtása során. A tagállamok számos rendelkezést, köztük döntő fontosságúakat is, különbözőképpen hajtottak végre (28). Ez a helyzet nem megfelelő, nagyobb konvergenciára kell törekedni.

53.

Ez nem jelenti azt, hogy a sokszínűséget teljesen ki kell zárni. Bizonyos területeken rugalmasságra lehet szükség egyes indokolt sajátosságok, fontos közérdekek vagy a tagállamok intézményi autonómiája megőrzése érdekében. Az európai adatvédelmi biztos szerint a tagállamok közötti eltérések lehetőségét különösen a következő konkrét helyzetekben kell korlátozni:

54.

Fogalommeghatározások (a 95/46/EK irányelv 2. cikke). A fogalommeghatározások a jogrendszer sarokkövét alkotják; ezeket minden tagállamban egységesen kell értelmezni, végrehajtási eltérés nélkül. Eltérések merültek fel a jelenlegi keret szerint, mint például az adatkezelő fogalmával kapcsolatban. (29) Az európai adatvédelmi biztos a nagyobb jogbiztonság biztosítása érdekében javasolja további tételek hozzáadását a 2. cikkben szereplő jelenlegi listához, mint például anonim adatok, álnéven szereplő adatok, bírósági adatok, adattovábbítás és adatvédelmi tisztviselő.

55.

Az adatfeldolgozás jogszerűsége (5. cikk). Az új jogi eszköznek a lehető legpontosabbnak kell lennie – figyelemmel az adatfeldolgozás jogszerűségét eldöntő alapelemekre. Ezért az irányelv 5. cikkére (és (9) preambulumbekezdésére), amely megbízza a tagállamokat, hogy részletesen határozzák meg, hogy a személyes adatok feldolgozása milyen feltételek mellett jogszerű, a jövőbeli keretben már nem lesz szükség.

56.

Az adatfeldolgozás jogalapja (7. és 8. cikk). Az adatfeldolgozás feltételeinek meghatározása minden adatvédelmi jogszabály nélkülözhetetlen eleme. Nem szabad megengedni, hogy a tagállamok további vagy módosított jogalapokat vezessenek be az adatfeldolgozásra, vagy egyes jogalapokat kizárjanak. Az eltérések lehetőségét ki kell zárni vagy korlátozni kell (különösen az érzékeny adatok tekintetében (30)). Az új jogi eszközben pontosan meg kell fogalmazni az adatvédelem jogalapjait, ez csökkenti a megítélésbeli különbségeket a végrehajtás vagy érvényesítés során. Különösen a hozzájárulás fogalmát kell részletesebben meghatározni (lásd a 6.5. szakaszt). Ezenfelül az adatkezelő jogszerű érdekén alapuló jogalap (7. cikk f) pontja) – rugalmas jellege miatt – igen eltérő értelmezésekre ad módot. További körülírásra van szükség. Egy másik rendelkezés, amit lehetőség szerint jobban körül kell írni, a 8. cikk (2) bekezdésének b) pontja, amely engedélyezi érzékeny adatok feldolgozását, ha az az adatkezelő kötelezettségei és meghatározott jogai gyakorlása érdekében szükséges a foglalkoztatási jogszabályok területén (31).

57.

Az érintett jogai (10–15. cikk). Ez az egyik olyan terület, ahol a tagállamok az irányelv nem minden elemét hajtják végre és értelmezik egységesen. Az érintettek jogai a hatékony adatvédelem egyik központi elemét alkotják. Ezért ebben a tekintetben a mérlegelési mozgásteret jelentősen csökkenteni kell. Az európai adatvédelmi biztos ajánlja, hogy az adatkezelő által az érintetteknek adott információk legyenek egységesek az egész Európai Unióban.

58.

Nemzetközi adattovábbítások (25–26. cikk). Ez olyan terület, amely az egységes uniós gyakorlat hiánya miatt széles körben kritikára adott okot. Az érdekelt felek kritizálták, hogy a tagállamok igen eltérően értelmezik és hajtják végre az Európai Bizottság megfelelőségi határozatait. A kötelező erejű vállalati szabályok egy másik olyan elem, ahol az európai adatvédelmi biztos további harmonizációt javasol (lásd a 9. fejezetet).

59.

Nemzeti adatvédelmi hatóságok (28. cikk) A nemzeti adatvédelmi hatóságokra igen eltérő szabályok vonatkoznak a 27 uniós tagállamban, különösen jogállásuk, erőforrásaik és hatáskörük tekintetében. A 28. cikk pontatlanságával részben hozzájárult ehhez a különbözőséghez (32), ezért további pontosításra szorul, összhangban az Európai Bíróság C-518/07. számú ügyben hozott ítéletével (33) (lásd még a 10. fejezetet).

60.

Az értesítési követelmények (a 95/46/EK irányelv 18–21. cikke) egy másik olyan terület, ahol a tagállamok eddig jelentős szabadsággal rendelkeztek. A közlemény helyesen ismeri fel, hogy egy harmonizált rendszer csökkentené az adatkezelők költségeit és adminisztratív terheit (34).

61.

Ezen a területen az egyszerűsítés legyen a fő célkitűzés! Az adatvédelmi keret felülvizsgálata egyedülálló lehetőség a jelenlegi értesítési követelmények további egyszerűsítésére és/vagy hatókörének csökkentésére. A közlemény felismeri, hogy az érdekelt felek között általános az egyetértés, hogy a jelenlegi értesítési rendszer meglehetősen terhes, és önmagában véve nem biztosít hozzáadott értéket az érintettek személyes adatainak védelme terén (35). Az európai adatvédelmi biztos ezért üdvözli az Európai Bizottság elkötelezettségét aziránt, hogy megvizsgálja a jelenlegi bejelentési rendszer egyszerűsítésének különféle lehetőségeit.

62.

Álláspontja szerint az egyszerűsítés kiindulópontja az áttérés lenne egy olyan rendszerről, ahol a főszabály – ellenkező rendelkezés hiányában (azaz a „kivételek rendszere”) – a bejelentés, egy célzottabb rendszerre. A kivételek rendszere nem bizonyult hatékonynak, mivel a tagállamok egyeztetés nélkül, egymásnak ellentmondóan hajtották végre. (36) Az európai adatvédelmi biztos a következő alternatívák mérlegelését javasolja:

Ezenfelül be lehetne vezetni az általános páneurópai bejelentési formanyomtatványt, így biztosítva az összehangolt megközelítést a kért információk tekintetében.

63.

A jelenlegi bejelentési rendszer felülvizsgálata nem lehet joghatással egyes, valószínűsíthetően speciális kockázatot jelentő adatfeldolgozási kötelezettségek (pl. nagyléptékű információs rendszerek) előzetes ellenőrzési kötelezettségének javítására. Az európai adatvédelmi biztos támogatná, ha az új jogi eszközbe felvennének egy nem teljes listát azokról az esetekről, amikor az előzetes ellenőrzés kötelező. A személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló 45/2001/EK rendelet hasznos mintát ad erre (37).

64.

Végezetül, az európai adatvédelmi biztos úgy véli, a felülvizsgálati eljárás jó alkalom annak átgondolására, milyen típusú jogi eszközre lenne szükség az adatvédelem szabályozásához. A rendelet – azaz egy olyan egységes eszköz, amely közvetlenül alkalmazandó a tagállamokban – a leghatékonyabb eszköz az adatvédelemhez való alapvető jog megvédésére, és egy olyan valódi belső piac létrehozására, ahol a személyes adatok szabadon áramolhatnak, és a védelem szintje az adatfeldolgozás helye szerinti országtól vagy ágazattól függetlenül azonos.

65.

A rendelet csökkentené az egymásnak ellentmondó értelmezések és az indokolatlan különbségek esélyét a jogszabály végrehajtása és alkalmazása során. Csökkentené továbbá az Európai Unión belüli adatfeldolgozási műveletekre alkalmazandó jog meghatározásának fontosságát, ami a jelenlegi rendszer egyik legellentmondásosabb oldala (lásd a 9. fejezetet).

66.

Az adatvédelem területén a rendelet annál is inkább indokolt, mivel

67.

Ha a rendeletet, mint általános eszközt választják, azzal szükség esetén lehetővé válik, hogy – ahol rugalmasság szükséges – bizonyos rendelkezéseket közvetlenül a tagállamokhoz intézzenek. A rendelet választása nem befolyásolja továbbá a tagállamok azon hatáskörét, hogy szükség esetén – az uniós jogszabályokkal összhangban – kiegészítő szabályokat fogadjanak el az adatvédelemre vonatkozóan.

68.

Az európai adatvédelmi biztos teljes mértékben támogatja a közleményt, amikor az az egyének jogainak erősítését javasolja, mivel a meglévő jogi eszközök nem teljesen biztosítják azt a hatékony védelmet, amelyre az egyre összetettebb digitalizált világban szükség van.

69.

Egyfelől a digitalizált világ fejlődése együtt jár a személyes adatok – rendkívül bonyolult és nem átlátható módon történő – gyűjtésének, felhasználásának és továbbításának erőteljes növekedésével. Az egyének sokszor nem tudják vagy nem értik, hogyan történik mindez, ki gyűjti az adataikat, illetve hogyan gyakorolhatnának ellenőrzést efölött. Jól szemlélteti a jelenséget az egyének internetes böngésző tevékenységét – a célzott hirdetés érdekében – sütik és más hasonló eszközök segítségével nyomon követő hirdetési hálózatok tevékenysége. Amikor a felhasználó felkeres weboldalakat, nem számít rá, hogy egy kívülálló fél naplózza a kattintásait és felhasználói rekordokat hoz létre olyan információk alapján, amelyek megmutatják életstílusát, vagy azt, hogy mit szeret és mit nem.

70.

Másfelől a fejlődés arra ösztönzi az egyéneket, hogy proaktívan megosszák egymással személyes információikat, például a közösségi hálózatok weboldalain. Egyre fiatalabb emberek vesznek részt a közösségi hálózatokban, és tartanak fenn kapcsolatot társaikkal. Kétséges, hogy a (fiatal) emberek tisztában vannak kitárulkozásuk mélységével, és cselekedetük hosszú távú hatásaival.

71.

Az átláthatóság minden adatvédelmi rendszerben rendkívül fontos, nemcsak a hozzá tartozó érték miatt, hanem azért is, mert lehetővé teszi más adatvédelmi elvek érvényesülését. Az egyének csak akkor tudják jogaikat gyakorolni, ha tudnak az adatfeldolgozásról.

72.

A 95/46/EK irányelvben számos rendelkezés foglalkozik az átláthatósággal. A 10. és 11. cikk azt a kötelezettséget tartalmazza, hogy tájékoztatni kell az egyént, ha adatot gyűjtenek róla. Sőt a 12. cikk elismeri az egyén arra vonatkozó jogát, hogy érthető formában másolatot kapjon saját személyes adatairól (adathozzáféréshez való jog). A 15. cikk elismeri a hozzáférési jogot a jogi hatással járó automatizált döntések meghozatala során alkalmazott logikához. Végül, de nem utolsósorban a 6. cikk (1) bekezdésének a) pontja, amely előírja, hogy az adatok feldolgozását tisztességesen kell végezni, szintén maga után vonja az átláthatóság követelményét. Személyes adatok nem dolgozhatók fel rejtett vagy titkos okból.

73.

A közlemény javasolja az átláthatóság általános elvének hozzáadását. Erre a javaslatra válaszul az európai adatvédelmi biztos kiemeli, hogy az átláthatóság fogalma már a jelenlegi adatvédelmi jogi keretnek is szerves részét képezi, jóllehet hallgatólagosan. Ez az átláthatósággal foglalkozó, az előző bekezdésben említett különféle rendelkezésekből is látható. Az európai adatvédelmi biztos szerint hozzáadott értéket jelentene, ha kifejezetten kimondanák az átláthatóság elvét – akár a tisztességes adatfeldolgozás meglévő rendelkezésével összekapcsolva, akár attól függetlenül. Ez növelné a jogbiztonságot és megerősítené, hogy az adatkezelő köteles a személyes adatokat minden körülmények között átlátható módon feldolgozni – nemcsak kérésre vagy akkor, ha konkrét jogi rendelkezés kötelezi erre.

74.

Még fontosabb azonban ennél az átláthatósággal kapcsolatos meglévő rendelkezések –például a 95/46/EK irányelv 10. és 11. cikke – megerősítése. Az említett rendelkezések azokat az információelemeket határozzák meg, amelyeket kötelező megadni, de nem írják le pontosan ennek részletes szabályait. Konkrétabban, az európai adatvédelmi biztos javasolja, hogy a következőkkel erősítsék a meglévő rendelkezéseket:

75.

Az európai adatvédelmi biztos támogatja egy olyan rendelkezés bevezetését a személyes adatok megsértése esetén fennálló tájékoztatási kötelezettséggel kapcsolatban, amely a felülvizsgált elektronikus hírközlési adatvédelmi irányelvben egyes szolgáltatókra vonatkozó kötelezettséget az összes adatkezelőre kiterjeszti, ahogyan azt a közlemény javasolja. A felülvizsgált elektronikus hírközlési adatvédelmi irányelv értelmében a kötelezettség csak az elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatókra vonatkozik (telefonszolgáltatók (az internetalapú beszédhívásokat (VoIP) is beleértve) és internet-hozzáférést kínáló szolgáltatók). Más adatkezelőkre ez a kötelezettség nem vonatkozik. A kötelezettséget alátámasztó okok teljes mértékben vonatkoznak azokra az adatkezelőkre is, amelyek nem elektronikus hírközlési szolgáltatásokat nyújtó szolgáltatók.

76.

A biztonság megsértésének bejelentése különböző célokat szolgál. A legnyilvánvalóbb, amit a közlemény is hangsúlyoz, hogy a bejelentés tájékoztatási eszköz legyen, amely ráébreszti az egyéneket arra, hogy személyes adataik sérülése milyen kockázatokkal jár. Ez segíthet abban, hogy e kockázatok csökkentésére megtegyék a szükséges intézkedéseket. Ha például valakit pénzügyi információinak sérüléséről értesítenek, ez a személy többek között megváltoztathatja a jelszavát vagy megszüntetheti a bankszámláit. Ezenkívül a biztonság megsértésének bejelentése az irányelvben szereplő más elvek és kötelezettségek hatékony alkalmazásához is hozzájárul. Például a biztonság megsértésének bejelentésére vonatkozó követelmények arra ösztönzik az adatkezelőket, hogy erősebb biztonsági intézkedéseket hajtsanak végre a jogsértések megelőzése érdekében. A biztonság megsértésének bejelentése az adatkezelők felelőssége erősítésének, sőt az elszámoltathatóság fokozásának is eszköze (lásd a 7. fejezetet). Végül az adatvédelmi hatóságok számára is eszközként szolgál a szabályok érvényesítéséhez. A jogsértés adatvédelmi hatóságoknak történő bejelentése nyomán az adatkezelő teljes gyakorlatát megvizsgálhatják.

77.

Az elektronikus hírközlési adatvédelmi irányelvben található, a biztonság megsértésére vonatkozó konkrét szabályokat a szabályozási háttér parlamenti fázisában, még az elektronikus hírközlési adatvédelmi irányelv elfogadása előtt átfogóan megvitatták. Ebben a vitában a 29. cikk alapján létrehozott munkacsoport és az európai adatvédelmi biztos véleményét, továbbá más érdekelt felek álláspontját is áttekintették. A szabályokban különböző érdekelt felek álláspontja tükröződik. Megjelenik az érdekek egyensúlya: bár a bejelentési kötelezettséget megalapozó kritériumok általában biztosítják az egyének védelmét, ezt anélkül teszik, hogy túlzottan terhes, nem hasznos követelményeket írnának elő.

78.

Az adatvédelmi irányelv 7. cikke hat jogalapot sorol fel személyes adatok feldolgozására. A személy hozzájárulása az egyik ezek közül. Az adatkezelő olyan mértékig dolgozhat fel személyes adatokat, amennyire az egyének tájékoztatáson alapuló beleegyezésüket adták ahhoz, hogy adataikat összegyűjtsék és feldolgozzák.

79.

A gyakorlatban a felhasználók gyakran csak korlátozott ellenőrzéssel rendelkeznek adataik felett, különösen technológiai környezetekben. Az egyik olykor használt módszer a hallgatólagos hozzájárulás; ez olyan hozzájárulást jelent, amelynek megléte feltételezésen alapul. A hozzájárulás kikövetkeztethető az egyén cselekvéséből (pl. ha a cselekvés egy weboldal használatában áll, ez hozzájárulásnak minősül a felhasználó adatainak marketing célokra történő naplózásába). Kikövetkeztethető továbbá hallgatásból vagy a cselekvés elmulasztásából is (ha valaki egy kattintással nem oldja fel a kockába tett pipát, az hozzájárulásnak minősül).

80.

Az irányelv szerint ahhoz, hogy a hozzájárulás érvényes legyen, tájékoztatáson kell alapulnia, önkéntesnek és kifejezettnek kell lennie. A hozzájárulásnak az érintett kívánsága tájékozott kinyilvánításának kell lennie, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához. A hozzájárulást egyértelműen kell megadni.

81.

Az a hozzájárulás, amelyre cselekvésből, főképpen pedig hallatásból vagy a cselekvés elmulasztásából következtettek, sokszor nem jelent egyértelmű beleegyezést. Nem mindig egyértelmű azonban, mi számít valódi, kétséget kizáró hozzájárulásnak. Néhány adatkezelő ezt a bizonytalanságot használja ki, amikor olyan módszerekre épít, amelyekkel nem nyerhető valódi, egyértelmű hozzájárulás.

82.

A fentiekre figyelemmel az európai adatvédelmi biztos támogatja az Európai Bizottság azon törekvését, hogy pontosítani kell a hozzájárulás korlátait és biztosítani kell, hogy csak a szoros értelemben vett hozzájárulás minősül egyértelmű beleegyezésnek. Ezzel kapcsolatban az európai adatvédelmi biztos a következőket javasolja (39):

83.

Az adathordozhatóság és a személyes adatok tárolásának megszüntetéséhez való jog („right to be forgotten”) két egymáshoz kapcsolódó fogalom, amelyet a közlemény felvet az érintettek jogainak erősítése érdekében. Kiegészítik az irányelvben már említett elveket, jogot biztosítanak az érintettnek arra, hogy kifogásolja személyes adatainak további feldolgozását, és arra kötelezik az adatkezelőt, hogy törölje az információkat, amint azok az adatfeldolgozáshoz már nem szükségesek.

84.

Ez a két új fogalom főként az információs társadalommal összefüggésben jelent hozzáadott értéket, ahol egyre több adatot tárolnak automatikusan és őriznek határozatlan ideig. A gyakorlat azt mutatja, hogy még akkor is, ha az adatokat maga az érintett tölti fel, az adott személy által a saját személyes adatai felett gyakorolt ellenőrzés foka igen korlátozott. Ez annál inkább igaz arra a hatalmas memóriára tekintettel, amit ma az internet képvisel. Ezenkívül gazdasági szempontból az adatok törlése sokkal költségesebb az adatkezelő számára, mint azok további tárolása. Az egyén jogainak gyakorlása tehát ellenkezik a természetes gazdasági trenddel.

85.

Mind az adathordozhatóság, mind pedig a személyes adatok tárolásának megszüntetéséhez való jog hozzájárulhat az egyensúly elmozdításához az érintett javára. Az adathordozhatóság célja az lenne, hogy az egyén számára nagyobb ellenőrzést biztosítsanak az adatai felett, a személyes adatok tárolásának megszüntetéséhez való jog pedig azt biztosítaná, hogy bizonyos idő után az információ automatikusan eltűnik még akkor is, ha az érintett semmit nem tesz vagy nem is tud arról, hogy adatait valaha is tárolták.

86.

Konkrétabban, az adathordozhatóság a felhasználók azon képessége, hogy megváltoztassák az adataik feldolgozásával kapcsolatos preferenciájukat, különösen új technológiai szolgáltatásokkal kapcsolatban. Ez mindinkább vonatkozik azokra a szolgáltatásokra, amelyek információk – köztük személyes adatok – tárolásával járnak (például mobiltelefon-szolgáltatás), valamint amelyek képeket, elektronikus leveleket és más információkat tárolnak, gyakran számítási felhő szolgáltatások felhasználásával.

87.

Az egyéneknek könnyen és szabadon kell tudniuk szolgáltatót váltani, és személyes adataikat egy másik szolgáltatóhoz továbbítani. Az európai adatvédelmi biztos úgy véli, hogy a 95/46/EK irányelvben rögzített meglévő jogok erősíthetők, ha felveszik a szövegbe a hordozhatóság jogát, különösen az információs társadalommal összefüggő szolgáltatások tekintetében, amely abban segíti az egyéneket, hogy a szolgáltatók és más lényeges adatkezelők biztosítsanak számukra hozzáférést személyes adataikhoz, ugyanakkor azt is biztosítsák, hogy a régi szolgáltatók vagy más adatkezelők akkor is töröljék a szóban forgó információkat, ha saját jogszerű céljaikra szeretnék azokat megtartani.

88.

Az újonnan kodifikált jog, a személyes adatok tárolásának megszüntetéséhez való jog biztosítaná a személyes adatok törlését vagy további felhasználásuk tiltását anélkül, hogy bármilyen cselekvésre szükség lenne az érintett részéről, azzal a feltétellel viszont, hogy az adatokat már bizonyos ideig tárolták. Más szóval, az adatoknak bizonyos „lejárati idejük” lenne. Ezt az elvet nemzeti bíróságokon zajló ügyekben már megerősítették, illetve speciális ágazatokban (például rendőrségi akták, bűnügyi nyilvántartások, fegyelmi akták) már alkalmazták: egyes nemzeti jogszabályok alapján a magánszemélyekre vonatkozó információkat – különösen egy meghatározott idő eltelte után – automatikusan törlik, illetve azok további felhasználása vagy terjesztése tiltott anélkül, hogy esetenkénti előzetes elemzésre lenne szükség.

89.

Ebben az értelemben a személyes adatok tárolásának megszüntetéséhez való új jogot össze kell kapcsolni az adathordozhatósággal. Ez azzal a hozzáadott értékkel járna, hogy az érintettnek nem kellene lépéseket tennie adatainak töröltetésére vagy követelnie azt, mivel a törlést objektív, automatizált módon kellene elvégezni. Csak igen kivételes körülmények között, ha különleges igény állapítható meg az adatok hosszabb ideig tartó megőrzésére, lehetne jogosult az adatkezelő az adatok megtartására. Ennek megfelelően a személyes adatok tárolásának megszüntetéséhez való jog megfordítja a bizonyítási terhet: a teher az egyénről az adatkezelőre hárul, és a személyes adatok feldolgozásakor alapértelmezés szerint kell biztosítani az adatvédelmi beállításokat.

90.

Az európai adatvédelmi biztos úgy véli, hogy a személyes adatok tárolásának megszüntetéséhez való jog különösen hasznos az információs társadalommal összefüggő szolgáltatások tekintetében. Annak a kötelezettségnek, hogy meghatározott idő eltelte után törölni kell az információkat, illetve azok további terjesztése nem megengedett, elsősorban a médiumokban és az interneten van értelme, különösen a közösségi hálózatokban. A végberendezésekkel kapcsolatban hasznos lenne az is, ha a mobil eszközökön vagy számítógépeken tárolt adatokat meghatározott idő eltelte után automatikusan törölnék vagy zárolnák, amikor azok már nincsenek az egyén birtokában. Ebben az értelemben a személyes adatok tárolásának megszüntetéséhez való jog „beépített adatvédelmi kötelezettségként” is értelmezhető.

91.

Összegezve, az európai adatvédelmi biztos azon a véleményen van, hogy az adathordozhatóság és a személyes adatok tárolásának megszüntetéséhez való jog hasznos fogalmak. Érdemes lenne beépíteni őket a jogi eszközbe, de talán az elektronikus környezetre korlátozva.

92.

A 95/46/EK irányelv szerint nincsenek sajátos szabályok a gyermekek személyes adatainak feldolgozására vonatkozóan. Az irányelv nem ismeri fel, hogy különleges helyzetekben különleges védelmet kell biztosítani a gyermekeknek – sebezhetőségük miatt és amiatt is, hogy ez jogbizonytalanságot okoz, különösen a következő területeken:

93.

Az európai adatvédelmi biztos úgy véli, hogy a gyermekek speciális érdekei jobb védelemben részesülnének, ha az új jogi eszköz kiegészítő rendelkezéseket tartalmazna külön a gyermekek adatainak gyűjtésére és további feldolgozására vonatkozóan. Ezek a speciális rendelkezések jogbiztonságot is nyújtanának ezen a speciális területen, és az adatkezelők számára is hasznosak lennének, akiknek jelenleg különféle jogi követelményeknek kell megfelelniük.

94.

Az európai adatvédelmi biztos javasolja a következő rendelkezések beépítését a jogi eszközbe:

95.

Az egyének jogai érdemi részének erősítése értelmetlen, ha nem párosul az ilyen jogok érvényesítésére szolgáló hatékony eljárási mechanizmusokkal. Ezzel kapcsolatban az európai adatvédelmi biztos ajánlja kollektív jogorvoslati mechanizmusok bevezetését az uniós jogban az adatvédelmi szabályok megsértésének esetére. Különösen azok a kollektív jogorvoslati mechanizmusok jelenthetnek igen erős eszközt az adatvédelmi szabályok érvényesítése területén, amelyek polgárok csoportjait hatalmazzák fel arra, hogy egyetlen keresetben egyesítsék követeléseiket (42). Ezt az újítást az adatvédelmi hatóságok is támogatják a magánélet védelmének jövőjéről szóló munkacsoport-dokumentumban.

96.

Kisebb hatású ügyekben nem valószínű, hogy az adatvédelmi szabályok megszegésének sértettjei egyénenként keresetet nyújtanának be az adatkezelők ellen – figyelemmel az ezzel kapcsolatos költségekre, késedelemre, bizonytalanságra, kockázatra és terhekre. Ezek a nehézségek leküzdhetők vagy jelentősen enyhíthetők, ha kollektív jogorvoslati rendszer létezik, amely felhatalmazza a jogsértések sértettjeit, hogy egyéni követeléseiket egyetlen keresetben egyesítsék. Az európai adatvédelmi biztos is minősített szervezetek (például fogyasztói szövetségek vagy közszervezetek) felhatalmazását részesítené előnyben arra, hogy kártérítési pert indítsanak az adatvédelmi jogsértések sértettjei nevében. Ezek a perek nem érintenék az érintett egyéni keresetindítási jogát.

97.

A kollektív keresetek nemcsak azért fontosak, mert teljes körű kártalanítást vagy más jogorvoslati fellépést biztosítanak, közvetve az elrettentő funkciót is erősítik. Az ilyen perekben a drága kollektív kártérítés megítélésének kockázata megsokszorozza az adatkezelők arra irányuló törekvéseit, hogy biztosítsák a jogszabályok betartását. Ebből a szempontból egy továbbfejlesztett magánjogi végrehajtási rendszer, amely kollektív jogorvoslati mechanizmusok segítségével valósul meg, kiegészítené az állami érvényesítést.

98.

A közlemény ezzel kapcsolatban nem foglal állást. Az európai adatvédelmi biztosnak tudomása van arról, hogy jelenleg európai szinten vita folyik a kollektív fogyasztói jogorvoslat bevezetéséről. Tudatában van továbbá a túlzásokkal kapcsolatos kockázatnak, amelyet ezek a mechanizmusok előidézhetnek, ahogyan az más jogrendszerek tapasztalatai alapján látszik. Ezek a tényezők azonban – álláspontja szerint – nem jelentenek elégséges érvet az említett mechanizmusok adatvédelmi jogba történő bevezetésének elutasításához vagy elhalasztásához – tekintettel a haszonra, amivel járnának (43).

99.

Az európai adatvédelmi biztos azon a véleményen van, hogy az egyének jogainak megerősítésén felül egy modern adatvédelmi jogi aktusnak tartalmaznia kell azokat a szükséges eszközöket, amelyek fokozzák az adatkezelők felelősségét. Konkrétabban, a keretnek tartalmaznia kell ösztönzőket a magán- és állami szektorban működő adatkezelők számára, hogy eljárásaikba proaktív módon illeszszenek be adatvédelmi intézkedéseket. Ezek az eszközök elsősorban azért lennének hasznosak, mert – mint korábban említettük – a technológiai fejlesztések jelentős növekedést eredményeztek a személyes adatok gyűjtésében, felhasználásában és további feldolgozásában; ez növeli a magánélet és az egyének személyes adatai védelmével kapcsolatos kockázatokat, amit hatékonyan ellensúlyozni kell. Másodsorban a jelenlegi keretből – néhány jól definiált rendelkezést kivéve (lásd alább) – hiányoznak az ilyen eszközök, és az adatkezelők reaktív megközelítést alkalmazhatnak az adatvédelemmel és a magánélet védelmével kapcsolatban, és csak akkor cselekednek, ha probléma merül fel. Ez a megközelítés a statisztikákban is tükröződik, amelyekben a gyenge megfelelőségi gyakorlat és az adatvesztések visszatérő problémaként jelennek meg.

100.

Az európai adatvédelmi biztos szerint a meglévő keret a jelenlegi és jövőbeli körülmények között nem elegendő a személyes adatok hatékony védelméhez. Minél nagyobb a kockázat, annál nagyobb szükség van olyan konkrét intézkedések végrehajtására, amelyek gyakorlati szinten védik az információkat, és hatékony védelmet nyújtanak. Amíg ténylegesen végre nem hajtják ezeket a proaktív intézkedéseket, addig a hibák, kellemetlenségek és a gondatlanság minden valószínűség szerint tovább folytatódik, veszélyeztetve az egyének magánéletének védelmét ebben az egyre inkább digitalizálódó társadalomban. Ennek elérése érdekében az európai adatvédelmi biztos a következő intézkedéseket javasolja:

101.

Az európai adatvédelmi biztos azt ajánlja, hogy a jogi aktusba illesszenek be egy új rendelkezést, amely megfelelő és hatékony intézkedések végrehajtására kötelezi az adatkezelőket a jogi aktusban foglalt elvek és kötelezettségek életbe léptetése érdekében, valamint arra, hogy kérésre mutassák is be ezeket az intézkedéseket.

102.

Az ilyen típusú rendelkezés nem teljesen újdonság. A 95/46/EK irányelv 6. cikkének (2) bekezdése utal az adatminőséggel kapcsolatos elvekre és megemlíti, hogy „az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek”. Ugyanígy a 17. cikk (1) bekezdése is intézkedések végrehajtására kötelezi az adatkezelőket – technikai és szervezési jellegűekre egyaránt. E rendelkezések hatóköre azonban korlátozott. Az elszámoltathatóságra vonatkozó általános rendelkezés beillesztése arra ösztönözné az adatkezelőket, hogy proaktív intézkedéseket léptessenek életbe az adatvédelmi jogszabályok összes elemének teljesítése érdekében.

103.

Az elszámoltathatósággal kapcsolatos rendelkezésnek az lenne a következménye, hogy az adatkezelőknek belső mechanizmusokat és ellenőrzési rendszereket kellene életbe léptetniük, amelyek biztosítanák a jogi keretben foglalt elvek és kötelezettségek betartását. Ez a rendelkezés előírná például az adatvédelmi politikák legmagasabb szintű irányítását, megfeleltetési eljárások bevezetését az összes adatfeldolgozási művelet megfelelő azonosításának biztosítására, kötelező erejű adatvédelmi politikák meglétét, amelyeket folyamatosan felül kell vizsgálni és aktualizálni, hogy az új adatvédelmi műveletekre is vonatkozzanak – az adatminőség, bejelentés, biztonság, hozzáférés, stb. elvének betartásával. Kötelezővé tenné továbbá, hogy az adatkezelők rendelkezzenek olyan bizonyítékokkal, hogy kérésre igazolni tudják a fentiek betartását a hatóságok felé. Egyes esetekben a megfelelőség nyilvánosság felé való igazolását is kötelezővé kell tenni. Ez történhet például úgy, hogy kötelezővé teszik az adatkezelők számára az adatvédelem feltüntetését a nyilvános (éves) jelentésekben, ha ezek a jelentések más jogcímen kötelezőek.

104.

A végrehajtandó belső és külső intézkedések típusának nyilván megfelelőnek kell lennie, és mindenkor az adott eset tényállásához és körülményeihez kell igazodnia. Nagy a különbség, ha az adatkezelő csupán nevekből és címekből álló, néhány száz fős ügyfélnyilvántartást dolgoz fel, vagy több millió beteg információit dolgozza fel, kórtörténetüket is beleértve. Ugyanez vonatkozik azokra a speciális módszerekre is, amelyekkel az intézkedések hatékonyságát értékelni kell. Szükséges a méretezhetőség.

105.

Az általános átfogó adatvédelmi jogi eszköznek nem kell meghatároznia az elszámoltathatóság konkrét követelményeit, csupán alapvető elemeit. A közlemény előirányoz bizonyos, az adatkezelők felelősségének erősítését célzó elemeket, amelyek nagyon is üdvözlendők. Konkrétabban, az európai adatvédelmi biztos teljes mértékben támogatja, hogy bizonyos küszöbfeltételek mellett tegyék kötelezővé az adatvédelmi tisztviselők kinevezését és a magánélet-védelmi hatásvizsgálatokat.

106.

Ezenfelül az európai adatvédelmi biztos ajánlja, hogy az EUMSZ 290. cikke alapján ruházzanak hatásköröket az Európai Bizottságra – az elszámoltathatósági norma teljesítéséhez szükséges alapkövetelmények kiegészítése céljából. E hatáskörök felhasználása fokozná az adatkezelők jogbiztonságát, és harmonizálná a normák betartását az egész Európai Unióban. A fenti speciális jogi aktusok kidolgozása során konzultálni kell a 29. cikk alapján létrehozott munkacsoporttal és az európai adatvédelmi biztossal.

107.

Végül az adatkezelők által az elszámoltathatósággal kapcsolatban végrehajtandó konkrét intézkedéseket adatvédelmi hatóságok is előírhatnák végrehajtási hatáskörükben. Ehhez új hatásköröket kell adni az adatvédelmi hatóságoknak, amelyek lehetővé teszik, hogy ezek a hatóságok jogorvoslati intézkedéseket vagy szankciókat rójanak ki. A példák közé fel kell venni belső megfelelési programok létrehozását, a beépített adatvédelem megvalósítását egyes meghatározott termékeken és szolgáltatásokon stb. Jogorvoslatot csak olyan mértékben kell kiszabni, ami megfelelő, arányos és hatékony, hogy biztosítsák az alkalmazandó és kikényszeríthető jogi normáknak való megfelelést.

108.

A beépített adatvédelem fogalma az adatvédelemnek és a magánélet védelmének beépítése a személyes adatok feldolgozásával járó új termékekbe, szolgáltatásokba és eljárásokba már azok kialakításától kezdve. Az európai adatvédelmi biztos szerint a beépített adatvédelem az elszámoltathatóság egyik eleme. Ennek megfelelően az adatkezelőknek – indokolt esetben – igazolniuk is kell, hogy megvalósították a beépített adatvédelmet. A közelmúltban az adatvédelmi biztosok 32. nemzetközi konferenciája kiadott egy állásfoglalást, amely az alapvető adatvédelem elengedhetetlen alkotóelemének ismeri el a beépített adatvédelmet (44).

109.

A 95/46/EK irányelv tartalmaz néhány rendelkezést a beépített adatvédelem elősegítésére (45), de kifejezetten nem ismeri el azt kötelezettségként. Az európai adatvédelmi biztos örömmel veszi, hogy a közlemény támogatja a beépített adatvédelmet mint az adatvédelmi szabályok betartásának biztosítására szolgáló eszközt. Javasolja egy olyan kötelező érvényű rendelkezés felvételét a jogi aktusba, amely „beépített adatvédelmi kötelezettséget” ír elő, és ez a 95/46/EK irányelv (46) preambulumbekezdésének szövegére is épülhet. Konkrétabban, a rendelkezés kifejezetten kötelezné az adatkezelőket technikai és szervezési intézkedések végrehajtására az adatfeldolgozó rendszer megtervezésekor és az adatfeldolgozás időpontjában egyaránt, különösen a személyes adatok védelmének biztosítása és az engedély nélküli adatfeldolgozás megakadályozása érdekében (46).

110.

Egy ilyen rendelkezés alapján az adatkezelők kötelesek – többek között – biztosítani, hogy az adatfeldolgozó rendszereket úgy tervezik meg, hogy a lehető legkevesebb személyes adatot dolgozzák fel; már alapértelmezés szerint adatvédelmi beállításokat alkalmazni, például közösségi hálózatok esetében; a magánszemélyek profiljait már alapértelmezés szerint másokétól elkülönítve tartani; továbbá olyan eszközöket megvalósítani, amelyek lehetővé teszik, hogy a felhasználók jobban megvédjék személyes adataikat (pl. hozzáférés-ellenőrzések, titkosítás).

111.

A beépített adatvédelem kifejezettebb említésének előnyei az alábbiakban összegezhetők:

112.

E kötelezettség kombinált hatása azt eredményezné, hogy nagyobb kereslet lenne a beépített adatvédelmet tartalmazó termékek és szolgáltatások iránt, ez viszont tovább ösztönözné az ipart e kereslet kielégítésére. Ezenfelül mérlegelni kell egy külön kötelezettség létrehozását olyan új termékek és szolgáltatások tervezőire és gyártóira vonatkozóan, amelyeknek valószínűsíthetően adat- és magánélet-védelmi kihatása van. Az európai adatvédelmi biztos ajánlja, hogy vegyenek fel a szövegbe ilyen külön kötelezettséget, amely még inkább előmozdíthatná, hogy az adatkezelők tartsák be saját kötelezettségüket.

113.

A beépített adatvédelem kodifikálását egy általános „beépített adatvédelmi követelményt” rögzítő rendelkezéssel lehetne kiegészíteni, amely minden szektorra, termékre és szolgáltatásra alkalmazható lenne, mint például a felhasználó felhatalmazására irányuló intézkedések biztosítása, és amelyet az elvnek megfelelően fogadnának el.

114.

Ezenfelül az európai adatvédelmi biztos ajánlja, hogy az EUMSZ 290. cikke alapján – indokolt esetben – ruházzanak hatásköröket az Európai Bizottságra egyes kiválasztott termékekre és szolgáltatásokra vonatkozóan a beépített adatvédelem alapkövetelményeinek kiegészítése céljából. E hatáskörök felhasználása fokozná az adatkezelők jogbiztonságát, és harmonizálná a normák betartását az egész Európai Unióban. A fenti speciális jogi aktusok kidolgozása során konzultálni kell a 29. cikk alapján létrehozott munkacsoporttal és az európai adatvédelmi biztossal (hasonlóan az elszámoltathatóságról szóló 106. ponthoz).

115.

Végül az adatvédelmi hatóságoknak hatáskört kell adni jogorvoslati intézkedések vagy szankciók kiszabására, a 107. pontban már említett korlátozó feltételekhez hasonló feltételekkel, ha az adatkezelők egyértelműen elmulasztottak konkrét lépéseket tenni olyan esetekben, ahol kötelező lett volna.

116.

A közlemény elismeri, hogy meg kell vizsgálni annak lehetőségét, hogy a magánélet védelmét tiszteletben tartó termékekre és szolgáltatásokra vonatkozó európai uniós tanúsítási rendszereket hívjon életre. Az európai adatvédelmi biztos teljes mértékben támogatja ezt a célt, és javasolja egy rendelkezés beillesztését a szövegbe az említett rendszerek létrehozásáról és lehetséges hatásáról az Európai Unióban; ez a rendelkezés később egy kiegészítő jogszabályban tovább is fejleszthető. A rendelkezésnek ki kell egészítenie az elszámoltathatósággal és a beépített adatvédelemmel kapcsolatos rendelkezéseket.

117.

Az önkéntes tanúsítási rendszerek lehetővé tennék annak ellenőrzését, hogy az adatkezelő életbe léptetett-e intézkedéseket a jogi aktusnak való megfelelés érdekében. Ezenkívül a hitelesítő jelzéssel rendelkező adatkezelők – sőt termékek vagy szolgáltatások – valószínűleg versenyelőnyre tesznek szert másokkal szemben. Az ilyen rendszerek segítenék az adatvédelmi hatóságokat felügyeleti és végrehajtási szerepük ellátásában.

118.

Ahogy korábban a 2. fejezetben említésre került, az új technológiák kifejlesztése, a multinacionális vállalatok szerepe, valamint a személyes adatok nemzetközi méretekben történő feldolgozása és megosztása terén a kormányok növekvő befolyása következében egyre fokozódó ütemben növekszik a személyes adatok továbbítása az Unión kívülre. Ez az egyik ok, amiért indokolt a jelenlegi jogi keret felülvizsgálata. Ezért ez az egyik olyan terület, ahol az európai adatvédelmi biztos ambíciót és hatékonyságot kér, mivel nyilvánvaló szükség van a következetesebb védelemre, amennyiben az adatok feldolgozása az Európai Unión kívül történik.

119.

Az európai adatvédelmi biztos szerint nagyobb erőfeszítések szükségesek a nemzetközi szabályok létrehozására. A személyes adatok védelmének szintje tekintetében a nagyobb harmonizáció világszerte jelentősen tisztázná a betartandó elvek lényegét és az adattovábbítás feltételeit. Ezekre a globális szabályokra azért lenne szükség, hogy egyeztessék a magas szintű adatvédelem követelményét (beleértve a legfontosabb európai uniós adatvédelmi elemeket) a regionális jellemzőkkel.

120.

Az európai adatvédelmi biztos támogatja az adatvédelmi biztosok nemzetközi konferenciájának keretében eddig végzett ambiciózus munkát, amely az ún. madridi szabványok kidolgozására és terjesztésére irányult, és célja e szabványoknak egy kötelező erejű jogi aktusba történő integrálása, és lehetőség szerint egy kormányközi konferencia kezdeményezése (47). Felhívja az Európai Bizottságot, hogy tegye meg a szükséges kezdeményezéseket annak érdekében, hogy elősegítse e célkitűzés megvalósulását.

121.

Az európai adatvédelmi biztos megítélése szerint az is fontos, hogy biztosítsák az összhangot a nemzetközi szabványokkal kapcsolatos fenti kezdeményezés, az uniós adatvédelmi keret jelenlegi felülvizsgálata és más fejlemények között; utóbbira példa az OECD adatvédelmi iránymutatása és az Európa Tanács 108. egyezményének jelenlegi felülvizsgálata, amely egyezmény harmadik országok számára is nyitva áll aláírásra (lásd a 17. pontot). Az európai adatvédelmi biztos úgy véli, hogy itt az Európai Bizottságnak speciális szerepet kell játszania – meg kell határoznia, hogyan segíti elő az összhang megteremtését az OECD-ben és az Európa Tanácsban folytatott tárgyalások során.

122.

Mivel a teljes konzisztencia nem érhető el könnyen, maradni fog – legalábbis a közeljövőben – némi eltérés az uniós és főként az Európai Unió határain túli jogszabályok között. Az európai adatvédelmi biztos úgy véli, hogy egy új jogi aktusnak pontosítania kell az alkalmazandó jog megállapítására vonatkozó kritériumokat, és egyszerűsített mechanizmusokat kell biztosítania az adatáramlásra, valamint biztosítania kell az adatáramlásban részt vevő szereplők elszámoltathatóságát.

123.

Először is a jogi aktusnak biztosítania kell, hogy az uniós jogszabályok legyenek alkalmazandók, amikor a személyes adatok feldolgozása az Európai Unió határain kívül történik, de indokolt az uniós jog alkalmazása. Az EU lakosaira célzott, nem európai számítási felhő alapú szolgáltatások jól szemléltetik, miért van erre szükség. Egy olyan környezetben, ahol az adatokat nem fizikailag tárolják és nem egy meghatározott helyen tartják, ahol a különböző országokban lévő szolgáltatók és felhasználók egymást keresztező befolyással lehetnek az adatok fölött, igen nehezen azonosítható, ki a felelős az adatvédelmi elvek betartásáért. Iránymutatásokat adnak ki – különösen az adatvédelmi hatóságok – arra vonatkozóan, hogy ilyen esetekben hogyan kell értelmezni és alkalmazni a 95/46/EK irányelvet, de az iránymutatás önmagában nem elegendő ahhoz, hogy jogbiztonságot nyújtson ebben az új környezetben.

124.

A 29. cikk alapján létrehozott munkacsoport a közelmúltban kiadott véleményében hangsúlyozta, hogy az Európai Unió területén a jogi keret pontosítására, valamint egyszerűsített kritériumra van szükség az alkalmazandó jog meghatározására vonatkozóan (48).

125.

Az európai adatvédelmi biztos szerint a legjobb megoldás a jogi eszköz rendeletben történő rögzítése lenne, aminek nyomán azonos szabályok vonatkoznának minden tagállamra. A rendelettel az alkalmazandó jog meghatározása bizonyos mértékig elveszíti fontosságát. Ez az egyik ok, amiért az európai adatvédelmi biztos határozottan a rendelet elfogadását pártolja. Egy rendelet is hagy azonban némi mozgásteret a tagállamoknak. Ha jelentősebb mozgástér marad az új jogi eszközben, az európai adatvédelmi biztos támogatná a munkacsoport javaslatát, hogy térjenek át a különböző nemzeti jogszabályok elhatároláson alapuló alkalmazásáról egyetlen jogszabály központi alkalmazására az összes tagállamban, ahol az adatkezelő szervezeti egységekkel rendelkezik. Szót emel továbbá a nagyobb együttműködésért és koordinációért az adatvédelmi hatóságok között transznacionális ügyekben és panaszok esetén (lásd a 10. fejezetet).

126.

A következetesség és a magas referenciaszint iránti igényt nemcsak a globális adatvédelmi elvek, hanem a nemzetközi adattovábbítások tekintetében is figyelembe kell venni. Az európai adatvédelmi biztos teljes mértékben támogatja az Európai Bizottság célkitűzését a nemzetközi adattovábbítás jelenlegi eljárásainak egyszerűsítésére, valamint egységesebb és koherensebb megközelítés biztosítására harmadik országokkal és nemzetközi szervezetekkel szemben.

127.

Az adattovábbítási mechanizmusba a magánszektorbeli továbbítások – különösen a szerződéses feltételek vagy kötelező erejű vállalati szabályok alapján történő továbbítások – és a hatóságok közötti továbbítások egyaránt beletartoznak. A kötelező erejű vállalati szabályok az egyik olyan elem, ahol koherensebb és egyszerűsítettebb megközelítés lenne kívánatos. Az európai adatvédelmi biztos ajánlja, hogy az új jogi aktusban kifejezetten foglalkozzanak a kötelező erejű vállalati szabályokra vonatkozó feltételekkel (49) – a következők szerint:

128.

Az Európai Bizottság ismételten kiemelte az adatvédelem erősítésének fontosságát a bűnüldözés és a bűnmegelőzés tekintetében, ahol a személyes adatok kicserélése és felhasználása jelentősen felerősödött. Az Európai Tanács által jóváhagyott Stockholmi Program is említi az erős adatvédelmi rendszert mint az uniós információkezelési stratégia legfontosabb előfeltételét ezen a területen (50).

129.

Az általános adatvédelmi keret felülvizsgálata tökéletes alkalom arra, hogy előrehaladást érjenek el ezzel kapcsolatban, különösen mivel a közlemény helyesen minősíti a 2008/977/IB kerethatározatot nem megfelelőnek (51).

130.

Az európai adatvédelmi biztos e vélemény 3.2.5. pontjában érvekkel támasztotta alá, miért kell belefoglalni a rendőrségi és igazságügyi együttműködést az általános jogi eszközbe. A rendőrség és az igazságügy szerepeltetése számos további előnnyel is jár. Azt jelenti, hogy a szabályok már nemcsak a határokon átnyúló adatcserére (52), hanem a hazai adatfeldolgozásra is alkalmazandók. Jobban garantálják a megfelelő védelmet a személyes adatok harmadik országokkal folytatott cseréje területén, a nemzetközi megállapodásokra is figyelemmel. Ezenkívül az adatvédelmi hatóságok ugyanazokkal a kiterjedt és harmonizált hatáskörökkel rendelkeznek majd a rendőrséggel és az igazságügyi hatóságokkal, mint más adatkezelőkkel szemben. Végül a jelenlegi 13. cikket, amely a tagállamok azon hatásköréről rendelkezik, hogy konkrét jogszabályokat fogadhatnak el az általános jogi eszközben foglalt jogok és kötelezettségek közérdekből való korlátozása tárgyában, ugyanolyan korlátozó módon kell alkalmazni, mint más területeken. Az általános eszközben meghatározott, ezen a területen érvényes konkrét garanciákat különösen tiszteletben kell tartani a rendőrségi és igazságügyi együttműködés területén elfogadott nemzeti jogszabályokban is.

131.

A fenti rendelkezés beillesztése azonban nem zárja ki azokat a speciális szabályokat és eltéréseket, amelyek kellően figyelembe veszik az ágazat jellemzőit, összhangban a Lisszaboni Szerződéshez csatolt 21. nyilatkozattal. Előírhatók korlátozások az érintettek jogaival kapcsolatban, de ezeknek szükségesnek és arányosnak kell lenniük, és magának a jognak az alapvető elemeit nem módosíthatják. Ezzel kapcsolatban hangsúlyozni kell, hogy a 95/46/EK irányelv – beleértve 13. cikkét – jelenleg különféle olyan területeken (pl. adózás, vámügy, csalás elleni fellépés) alkalmazandó a bűnüldözésre, amelyek alapvetően nem különböznek a rendőrség és igazságügy területének számos tevékenységétől.

132.

Ezenkívül konkrét garanciákat is életbe kell léptetni annak érdekében, hogy kiegészítő védelem nyújtásával kárpótolják az érintettet egy olyan területen, ahol a személyes adatok feldolgozása tolakodóbb jellegű lehet.

133.

A fentiekre figyelemmel, az európai adatvédelmi biztos úgy véli, hogy az új keretnek legalább a következő elemeket tartalmaznia kell, összhangban a 108. egyezménnyel és az R (87) 15. sz. ajánlással:

134.

A közlemény kimondja, hogy „a kerethatározat nem helyettesítheti a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre vonatkozó, uniós szinten elfogadott különféle ágazatspecifikus jogi aktusokat, kiváltképpen azokat, amelyek az Europol, az Eurojust, a Schengeni Információs Rendszer (SIS), és a váminformációs rendszer (VIR) működését szabályozzák. Az említett jogszabályok saját adatvédelmi szabályozást tartalmaznak és/vagy rendszeresen hivatkoznak az Európa Tanács adatvédelmi jogi aktusaira”.

135.

Az európai adatvédelmi biztos álláspontja szerint az új jogi keretnek a lehető legnagyobb mértékig egyértelműnek, egyszerűnek és következetesnek kell lennie. Ha elterjed, hogy különböző rendszerek alkalmazandók például az Europolra, az Eurojustra, a SIS-re és a Prümre, a szabályok betartása továbbra is bonyolult marad, vagy még bonyolultabbá válik. Ez az egyik ok, amiért az európai adatvédelmi biztos egy minden ágazatra alkalmazandó, átfogó jogi eszközt pártol.

136.

Az európai adatvédelmi biztos azonban megérti, hogy a különböző rendszerekből származó szabályok összehangolása jelentős munkát igényel, amit gondosan kell elvégezni. Az európai adatvédelmi biztos úgy véli, hogy a közleményben is említett fokozatos megközelítésnek van értelme, feltéve, hogy a következetesen és hatékonyan biztosított magas szintű adatvédelem iránti elkötelezettség egyértelmű és nyilvánvaló marad. Konkrétabban:

137.

Az európai adatvédelmi biztos teljes mértékben támogatja az Európai Bizottság azon célkitűzését, hogy az adatvédelmi hatóságok jogállásának kérdésével foglalkozni kell, sőt konkrétabban: erősíteni kell azok függetlenségét, erőforrásait és végrehajtási hatáskörét.

138.

Az európai adatvédelmi biztos sürgeti továbbá, hogy pontosítsák az új jogi eszközben az adatvédelmi hatóságok függetlenségének alapfogalmát. Az Európai Bíróság a közelmúltban hozott határozatot erről a kérdésről a C-518/07. sz. ügyben (54), amelyben hangsúlyozta, hogy a függetlenség mindenfajta külső befolyástól való mentességet jelent. Az adatvédelmi hatóság senkitől nem kérhet és nem fogadhat el utasítást. Az európai adatvédelmi biztos javasolja, hogy kifejezetten nevesítsék a függetlenség ezen elemeit a jogszabályban.

139.

Az adatvédelmi hatóságoknak elégséges emberi és pénzügyi erőforrást kell biztosítani feladataik elvégzéséhez. Az európai adatvédelmi biztos javasolja, hogy foglalják bele ezt a követelményt a jogszabályba. (55) Végül kiemeli, hogy biztosítani kell, hogy a hatóságoknak teljes körűen harmonizált hatáskörük legyen a vizsgálódásra, valamint eléggé elrettentő és korrekciós intézkedések és szankciók kiszabására. Ez az érintettek és az adatkezelők számára egyaránt fokozná a jogbiztonságot.

140.

Az adatvédelmi hatóságok függetlenségének, erőforrásainak és hatáskörének együtt kell járnia a multilaterális szintű fokozott együttműködéssel, különös tekintettel az adatvédelmi kérdések növekvő számára Európa-szerte. Az együttműködéshez felhasználható elsődleges infrastruktúra nyilvánvalóan a 29. cikk alapján létrehozott munkacsoport.

141.

A munkacsoport történetének tanúsága szerint a csoport működése az 1997-es indulástól kezdve a mai napig fejlődik. Működése során a csoport egyre nagyobb függetlenségre tett szert, így gyakorlatilag többé már nevezhető az Európai Bizottság egyszerű tanácsadó munkacsoportjának. Az európai adatvédelmi biztos további előrelépéseket javasol a munkacsoport működése tekintetében, beleértve a csoport infrastruktúráját és függetlenségét.

142.

Az európai adatvédelmi biztos úgy véli, a csoport erőssége valójában függetlenségével és tagjainak hatáskörével függ össze. A munkacsoport autonómiáját biztosítani kell az új jogi keretben, összhangban az adatvédelmi hatóságok teljes függetlenségére kidolgozott, az Európai Bíróság által a C-518/07. sz. ügyben megállapított kritériumokkal. Az európai adatvédelmi biztos megítélése szerint elegendő erőforrást és költségvetést, valamint megerősített titkárságot is biztosítani kell a munkacsoport részére, hozzájárulásának támogatása céljából.

143.

A munkacsoport titkárságával kapcsolatban az európai adatvédelmi biztos nagy fontosságot tulajdonít annak, hogy a titkárság a Jogérvényesülési Főigazgatóság Adatvédelmi Osztályához tartozik, aminek megvan az az előnye, hogy a munkacsoportnak hasznára lehetnek a hatékony és rugalmas kapcsolatok, valamint az adatvédelmi fejleményekkel kapcsolatos naprakész információk. Másrészről vitatja a tényt, miszerint az Európai Bizottság (konkrétabban az Osztály) tagja a munkacsoportnak, a titkárságot is ő adja, és ugyanakkor ő a munkacsoport véleményeinek címzettje is egyben. Ez indokolná a titkárság nagyobb függetlenségét. Az európai adatvédelmi biztos arra bátorítja az Európai Bizottságot, hogy az érdekelt felekkel konzultálva mérje fel, hogyan lehetne a legjobban biztosítani ezt a függetlenséget.

144.

Végül az adatvédelmi hatóságok hatáskörének megerősítéséhez a munkacsoport erősebb hatásköre is szükséges – jobb szabályokat és garanciákat, valamint nagyobb átláthatóságot biztosító struktúrával együtt. Ezt a munkacsoport tanácsadó és végrehajtó szerepe érdekében kell kidolgozni.

145.

A munkacsoport álláspontjait – az Európai Bizottság felé betöltött tanácsadó szerepével kapcsolatban – hatékonyan kell végrehajtani, különösen az irányelv és más adatvédelmi eszközök elveinek értelmezése és alkalmazása tekintetében, más szóval biztosítani kell a munkacsoport álláspontjainak irányadó jellegét. További vitára van szükség az adatvédelmi hatóságok között, hogy megállapítsák, hogyan foglalják ezt bele a jogi eszközbe.

146.

Az európai adatvédelmi biztos olyan megoldásokat ajánl, amelyek a munkacsoport véleményeit még inkább irányadóvá tennék anélkül, hogy alapjaiban megváltoztatnák a munkacsoport működésének módját. Az európai adatvédelmi biztos javasolja, hogy a szövegben írjanak elő kötelezettséget az adatvédelmi hatóságok és az Európai Bizottság számára, hogy vegyék kellően figyelembe a munkacsoport által elfogadott véleményeket és közös álláspontokat, az Európai Elektronikus Hírközlési Szabályozók Testületének (BEREC) álláspontjaira vonatkozóan elfogadott modell alapján (56). Ezenkívül az új jogi eszköz azt a kifejezett feladatot adhatná a munkacsoportnak, hogy fogadjon el „értelmező ajánlásokat”. Ezek az alternatív megoldások erősebb szerepet biztosíthatnának a munkacsoport ajánlásainak – a bíróság előtt is.

147.

A jelenlegi keret szerint az adatvédelmi jogszabályok érvényesítése a tagállamokban 27 adatvédelmi hatóságra marad, amelyek konkrét esetek kezelésében kevéssé vannak összehangolva egymással. Amikor egynél több tagállamot érintő vagy egyértelműen globális ügyről van szó, ez megsokszorozza a költségeket a vállalkozások számára, amelyek ugyanazon tevékenység kapcsán különböző hatóságokhoz kénytelenek fordulni, és ez fokozza az egymásnak ellentmondó alkalmazás kockázatát: kivételes esetekben előfordulhat, hogy ugyanazt az adatfeldolgozási tevékenységet az egyik adatvédelmi hatóság jogszerűnek minősíti, míg egy másik tiltja.

148.

Egyes eseteknek stratégiai dimenziója van, amit központilag kell megközelíteni. A 29. cikk alapján létrehozott munkacsoport elősegíti a koordinációs és végrehajtási intézkedéseket az adatvédelmi hatóságok között (57) a nemzetközi horderejű főbb adatvédelmi kérdésekben. A közösségi hálózatokkal és a keresőmotorokkal (58), valamint a távközlési és egészségbiztosítási kérdések különböző tagállamokban végzett összehangolt ellenőrzésével kapcsolatban is ez volt a helyzet.

149.

A jelenlegi keret szerint azonban a munkacsoport által vállalható végrehajtási intézkedéseknek korlátai vannak. A munkacsoport hozhat közös álláspontokat, de nincs olyan eszköz, amely biztosítaná, hogy ezeket az állásfoglalásokat a gyakorlatban hatékonyan végrehajtják.

150.

Az európai adatvédelmi biztos javasolja olyan kiegészítő rendelkezések belefoglalását a jogi eszközbe, amelyek támogathatják az összehangolt érvényesítést, konkrétan:

151.

Az európai adatvédelmi biztos óvást emelne erősebb intézkedések bevezetése ellen; ilyen például a 29. cikk alapján létrehozott munkacsoport álláspontjainak kötelező erejűvé tétele. Ez aláásná az egyes adatvédelmi hatóságok függetlenségét, amit a tagállamoknak garantálniuk kell nemzeti jogszabályaikban. Ha a munkacsoport döntéseinek közvetlen hatása van harmadik felekre, például adatkezelőkre, új eljárásokat kell előirányozni, beleértve az olyan garanciákat, mint az átláthatóság és a jogorvoslat, köztük az Európai Bíróságra történő esetleges fellebbezés.

152.

Az európai adatvédelmi biztos és a munkacsoport együttműködésének módját is finomítani lehetne. Az európai adatvédelmi biztos a munkacsoport tagja, és a csoporton belül hozzájárul a legfőbb stratégiai uniós fejlesztésekkel kapcsolatos álláspontokhoz, ugyanakkor biztosítja az összhangot a saját álláspontjaival. Az európai adatvédelmi biztos megjegyzi, hogy az adatvédelmi kérdések száma a magán- és az állami szektorban egyaránt egyre nő, aminek számos tagállamban nemzeti szinten is kihatása van, és ebben a tekintetben a munkacsoport speciális szerepet játszik.

153.

Az európai adatvédelmi biztosnak van egy kiegészítő szerepe, nevezetesen a tanácsadás az Európai Unióval összefüggő fejlesztésekkel kapcsolatban, amit fenn kell tartani. Európai szervként az adatvédelmi biztos ugyanúgy gyakorolja tanácsadó hatáskörét az uniós intézmények felé, mint ahogyan a nemzeti adatvédelmi hatóságok nyújtanak tanácsadást kormányuknak.

154.

Az európai adatvédelmi biztos és a munkacsoport különböző, de egymást kiegészítő perspektívából jár el. Ezért szükséges a munkacsoport és az európai adatvédelmi biztos közötti koordináció fenntartása és esetleges javítása annak érdekében, hogy együtt dolgozzanak a fő adatvédelmi kérdéseken, például a menetrendek rendszeres összehangolásával (61), valamint átláthatóság biztosításával olyan kérdésekben, amelyeknek inkább nemzeti vagy speciális európai uniós vonatkozása van.

155.

Ez az irányelv nem említi a koordinációt azon egyszerű oknál fogva, hogy az európai adatvédelmi biztos tisztsége az irányelv elfogadásakor még nem létezett, de hatévi működés után az európai adatvédelmi biztos és a munkacsoport egymást kiegészítő vonatkozásai nyilvánvalóak és hivatalosan is elismerhetők lehetnének. Az európai adatvédelmi biztos emlékeztet arra, hogy a 45/2001/EK rendelet értelmében együtt kell működnie a nemzeti adatvédelmi hatóságokkal, és részt kell vennie a munkacsoport tevékenységeiben. Az európai adatvédelmi biztos ajánlja az együttműködés kifejezett említését az új jogi eszközben, továbbá annak strukturálását szükség esetén, például együttműködési eljárás megállapításával.

156.

Ezek a megfontolások azokra a területekre is érvényesek, ahol a felügyeletet össze kell hangolni az európai és a nemzeti szint között. Ez a helyzet azon uniós szervek esetében, amelyek nemzeti hatóságoktól származó jelentős mennyiségű adatot dolgoznak fel, illetve az európai és nemzeti elemet egyaránt tartalmazó nagyléptékű információs rendszerek esetében.

157.

A néhány uniós szerv és nagyléptékű információs rendszerek tekintetében fennálló jelenlegi rendszer – például az Europol, az Eurojust és az első generációs Schengeni Információs Rendszer (SIS) közös ellenőrző hatóságokkal rendelkezik, amelyeket a nemzeti adatvédelmi hatóságok képviselői alkotnak – a Lisszaboni Szerződés előtti korszakban létezett kormányközi együttműködés maradványa, és nem tartja tiszteletben az EU intézményi struktúráját, amelynek az Europol és az Eurojust most már szerves részét képezi, és amelybe a schengeni vívmányok most már szintén beletartoznak (62).

158.

A közlemény bejelenti, hogy az Európai Bizottság 2011-ben konzultációt kezd az összes érintett érdekelttel az említett felügyeleti rendszerek felülvizsgálatáról. Az európai adatvédelmi biztos sürgeti az Európai Bizottságot, hogy a lehető legrövidebb időn belül (rövid és meghatározott időn belül, lásd fent) foglaljon állást a felügyeletről jelenleg folyó vitában. Az európai adatvédelmi biztos a következő álláspontot fogja képviselni ebben a vitában:

159.

Kiindulópontként garantálni kell, hogy minden felügyeleti szerv megfelel a függetlenség, az erőforrások és a végrehajtó hatáskör nélkülözhetetlen feltételeinek. Ezenfelül biztosítani kell az uniós szinten meglévő perspektívák és szaktudás figyelembevételét. Ez azt jelent, hogy az együttműködésnek nemcsak a nemzeti hatóságok között kell fennállnia, hanem az európai adatvédelmi hatósággal is (azaz jelenleg az európai adatvédelmi biztossal). Az európai adatvédelmi biztos szükségesnek látja egy olyan modell követését, amely megfelel ezeknek a követelményeknek (63).

160.

Az elmúlt években kidolgozták az „összehangolt felügyelet” modelljét. Ezt a felügyeleti modellt, amely jelenleg az Eurodac-nál működik és része a váminformációs rendszernek, hamarosan a Vízuminformációs Rendszerre és a második generációs Schengeni Információs Rendszerre (SIS II) is kiterjesztik. Ennek a modellnek három rétege van: (1) nemzeti szinten a felügyeletet az adatvédelmi hatóságok biztosítják; (2) uniós szinten a felügyeletet az európai adatvédelmi biztos biztosítja; (3) a koordinációt az európai adatvédelmi biztos által összehívott rendszeres megbeszélések biztosítják, aki mint a fenti koordinációs mechanizmus titkára jár el. Ez a modell sikeresnek és hatékonynak bizonyult, és a jövőben más információs rendszerek esetében is elő kell irányozni.

161.

Amíg folyik a felülvizsgálati eljárás, az erőfeszítéseket a jelenlegi szabályok teljes körű és hatékony végrehajtására kell fordítani. Ezek a szabályok a jövőbeli keret elfogadásáig és a tagállamok nemzeti jogszabályaiba való beemeléséig alkalmazandók. Ezzel kapcsolatban számos cselekvési irány azonosítható.

162.

Először, az Európai Bizottságnak folytatnia kell a 95/46/EK irányelv tagállamok általi betartásának nyomon követését, és szükség esetén használnia kell az EUMSZ 258. cikke alapján fennálló hatáskörét. A közelmúltban jogsértési eljárásokat indítottak az irányelv 28. cikkének nem megfelelő végrehajtása miatt, figyelemmel az adatvédelmi hatóságok függetlenségének követelményére (64). Az irányelv teljes körű betartását más területeken is nyomon kell követni és ki kell kényszeríteni (65). Az európai adatvédelmi biztos ezért üdvözli és teljes mértékben támogatja az Európai Bizottság közleményben foglalt elkötelezettségét a tevékeny jogsértési politika folytatása iránt. Az Európai Bizottságnak folytatnia kell a strukturális párbeszédet is a tagállamokkal a végrehajtásról (66).

163.

Másodszor, ösztönözni kell a nemzeti szintű érvényesítést az adatvédelmi szabályok gyakorlati alkalmazásának biztosítása érdekében, az új technológiai jelenségek és a globális szereplők tekintetében is. Az adatvédelmi hatóságoknak teljes körűen használniuk kell vizsgálati és szankcionálási hatáskörüket. Az is fontos, hogy az érintettek meglévő jogai – különösen a hozzáférési jog – teljes mértékben érvényesüljenek a gyakorlatban.

164.

Harmadszor, rövid távon szükségesnek látszik a koordináció a szabályok érvényesítése terén. A 29. cikk alapján létrehozott munkacsoport és értelmező dokumentumainak szerepe ebben a tekintetben döntő fontosságú, de az adatvédelmi hatóságoknak is mindent meg kell tenniük e dokumentumok gyakorlati érvényesítése érdekében. Az uniós szintű vagy globális ügyek eltérő kimenetelét el kell kerülni; közös megközelítéseket lehet és kell elérni a munkacsoporton belül. A munkacsoport égisze alatt végzett összehangolt uniós szintű vizsgálatok szintén jelentős hozzáadott értéket eredményezhetnek.

165.

Negyedszer, az adatvédelmi elveket proaktívan „be kell építeni” azokba az új előírásokba, amelyeknek közvetlen vagy közvetett hatása lehet az adatvédelemre. Az európai adatvédelmi biztos uniós szinten jelentős erőfeszítéseket tesz arra, hogy hozzájáruljon a jobb európai jogszabályokhoz, és erre nemzeti szinten is törekedni kell. Az adatvédelmi hatóságoknak tehát teljes mértékben használniuk kell tanácsadó hatáskörüket a fenti proaktív megközelítés biztosítása érdekében. Az adatvédelmi hatóságok – az európai adatvédelmi biztost is beleértve – szintén proaktív szerepet játszhatnak a technológiai fejlemények nyomon követésében. A nyomon követés fontos annak érdekében, hogy már korai stádiumban azonosítsák a kialakuló trendeket, kiemeljék a lehetséges adatvédelmi kihatásokat, támogassák az adatvédelem-barát megoldásokat, és fokozzák az érdekelt felek tudatosságát.

166.

Végül, aktívan törekedni kell a további együttműködésre a különböző szereplők között nemzetközi szinten. Ezért fontos az együttműködés nemzetközi eszközeinek erősítése. Az olyan kezdeményezések, mint például a madridi szabványok, valamint az Európa Tanácson és az OECD-n belül folyó munka, teljes körű támogatást érdemelnek. Ezzel kapcsolatban nagyon pozitív, hogy az adatvédelmi biztosok nemzetközi konferenciájának keretében az Amerikai Egyesült Államok Szövetségi Kereskedelmi Bizottsága is csatlakozott az adatvédelmi biztosok családjához.

167.

Az európai adatvédelmi biztos összességében üdvözli az Európai Bizottság közleményét, mivel meg van győződve arról, hogy szükséges a jelenlegi adatvédelmi jogi keret felülvizsgálata annak érdekében, hogy hatékony védelmet biztosítsanak egy fokozatosan fejlődő és globalizált információs társadalomban.

168.

A közlemény megállapítja a fő kérdéseket és kihívásokat. Az európai adatvédelmi biztos osztja az Európai Bizottság nézetét, miszerint a jövőben is szükség lesz erős adatvédelmi rendszerre azon az alapon, hogy az adatvédelem jelenlegi általános elvei továbbra is indokoltak egy olyan társadalomban, amely alapvető változásokon megy át. Az európai adatvédelmi biztos egyetért a közlemény azon állításával, miszerint a kihívások óriásiak, és kiemeli azt a következményt, hogy tervezett megoldásoknak ennek megfelelően ambiciózusnak kell lenniük, és fokozniuk kell a védelem hatékonyságát. Ezért több ponton ambiciózusabb megközelítést kér.

169.

Az európai adatvédelmi biztos támogatja az adatvédelem átfogó megközelítését. Sajnálatát fejezi ki azonban amiatt, hogy a közlemény bizonyos területeket – például az uniós intézmények és szervek általi adatfeldolgozást – kizár az általános jogi eszköz hatálya alól. Ha az Európai Bizottság úgy döntene, hogy kihagyja ezeket a területeket, az európai adatvédelmi biztos sürgeti, hogy az Európai Bizottság a lehető legrövidebb időn belül, de lehetőség szerint 2011 végéig fogadjon el európai uniós szintű javaslatot.

170.

A felülvizsgálati eljárás kiindulópontjai az európai adatvédelmi biztos számára a következők:

171.

Az európai adatvédelmi biztos üdvözli az Európai Bizottság elkötelezettségét aziránt, hogy megvizsgálja az adatvédelem további, uniós szintű harmonizációjának módját. Az európai adatvédelmi biztos meghatározza azokat a területeket, ahol a további és jobb harmonizációra sürgős szükség van: fogalom-meghatározások, az adatfeldolgozás indokai, az érintettek jogai, nemzetközi adattovábbítások és adatvédelmi hatóságok.

172.

Az európai adatvédelmi biztos javasolja a következő alternatívák mérlegelését az értesítési követelmények egyszerűsítése és/vagy alkalmazási körének korlátozása érdekében:

173.

Az európai adatvédelmi biztos szerint a rendelet, azaz a tagállamokban közvetlenül alkalmazandó egységes okmány az adatvédelemhez való alapvető jog megvédésének és a további belső piaci konvergencia elérésének leghatékonyabb módja.

174.

Az európai adatvédelmi biztos támogatja a közleményt, ahol a közlemény az egyének jogainak erősítését javasolja. A következő javaslatokat teszi:

175.

A keretnek tartalmaznia kell ösztönzőket az adatkezelők számára, hogy proaktív módon illesszenek be adatvédelmi intézkedéseket eljárásaikba. Az európai adatvédelmi biztos javasolja általános rendelkezések bevezetését az elszámoltathatósággal és a beépített adatvédelemmel kapcsolatban. Az adatvédelmi tanúsítási rendszerekkel kapcsolatban is intézkedés szükséges.

176.

Az európai adatvédelmi biztos támogatja az adatvédelmi biztosok nemzetközi konferenciájának keretében végzett ambiciózus munkát, amely az ún. madridi szabványok kidolgozására irányult, és célja e szabványoknak egy kötelező erejű jogi aktusba történő integrálása, és lehetőség szerint egy kormányközi konferencia kezdeményezése. Az európai adatvédelmi biztos felhívja a Bizottságot, hogy tegyen konkrét lépéseket ebbe az irányba, együttműködve az OECD-vel és az Európa Tanáccsal.

177.

Az új jogi eszköznek pontosítania kell az alkalmazandó jog meghatározására irányadó kritériumokat. Biztosítani kell, hogy az Európai Unió határain kívül feldolgozott adatok ne bújjanak ki az uniós joghatóság alól, ha indokolt az európai uniós jogszabályok alkalmazása. Ha a jogi keret rendelet formáját öltené, azonos szabályok lennének irányadók az összes tagállamban, és kevésbé lenne lényeges az alkalmazandó jog meghatározása (az EU-n belül).

178.

Az európai adatvédelmi biztos teljes mértékben támogatja azt a célkitűzést, hogy biztosítsanak egységesebb és koherensebb megközelítést harmadik országokkal és nemzetközi szervezetekkel szemben. A kötelező erejű vállalati szabályokat bele kell foglalni a jogi eszközbe.

179.

A rendőrséget és az igazságügyet is magában foglaló átfogó eszköz lehetővé teszi olyan speciális szabályok alkotását, amelyek kellően figyelembe veszik az ágazat jellemzőit, összhangban a Lisszaboni Szerződéshez csatolt 21. nyilatkozattal. Konkrét garanciákat kell életbe léptetni annak érdekében, hogy kiegészítő védelem nyújtásával kárpótolják az érintetteket egy olyan területen, ahol a személyes adatok feldolgozása – természeténél fogva – tolakodóbb jellegű lehet.

180.

Az új jogi keretnek a lehető legnagyobb mértékig egyértelműnek, egyszerűnek és következetesnek kell lennie. El kell kerülni annak elterjedését, hogy különböző rendszerek vonatkozzanak például az Europolra, az Eurojustra, a SIS-re és a Prümre. Az európai adatvédelmi biztos megérti, hogy a különböző rendszerekből származó szabályok összehangolását gondosan és fokozatosan kell elvégezni.

181.

Az európai adatvédelmi biztos teljes mértékben támogatja a Bizottság azon célkitűzését, hogy az adatvédelmi hatóságok jogállásának kérdésével foglalkozni kell, és erősíteni kell azok függetlenségét, erőforrásait és végrehajtási hatáskörét. Ajánlja, hogy:

182.

Az európai adatvédelmi biztos további előrelépéseket javasol a 29. cikk alapján létrehozott munkacsoport működése tekintetében, beleértve a csoport infrastruktúráját és függetlenségét. Elegendő forrást és megerősített titkárságot is biztosítani kell a munkacsoport számára.

183.

Az európai adatvédelmi biztos javasolja a munkacsoport tanácsadó szerepének megerősítését olyan módon, hogy állapítsanak meg kötelezettséget az adatvédelmi hatóságok és az Európai Bizottság számára, hogy vegyék kellően figyelembe a munkacsoport által elfogadott véleményeket és közös álláspontokat. Az európai adatvédelmi biztos nem pártolja, hogy kötelező erővel ruházzák fel a munkacsoport álláspontjait – elsősorban az egyes adatvédelmi hatóságok független jogállása miatt. Az európai adatvédelmi biztos ajánlja, hogy az Európai Bizottság vezessen be konkrét intézkedéseket az új jogi eszközben az európai adatvédelmi biztossal való együttműködés fokozására.

184.

Az európai adatvédelmi biztos sürgeti, hogy az Európai Bizottság a lehető legrövidebb időn belül foglaljon állást az uniós szervek és nagyléptékű információs rendszerek felügyeletének kérdésében, figyelembe véve, hogy minden felügyelő szervnek meg kell felelnie a függetlenség, elegendő erőforrások és végrehajtási hatáskör elengedhetetlen kritériumainak, továbbá biztosítani kell az uniós perspektíva megfelelő jelenlétét. Az európai adatvédelmi biztos támogatja az „összehangolt felügyelet” modelljét.

185.

Az európai adatvédelmi biztos arra biztatja az Európai Bizottságot, hogy:

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/24

1.

2011. február 2-án a Bizottság európai parlamenti és tanácsi irányelvre irányuló javaslatot fogadott el az utasnyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, kivizsgálása és büntetőeljárás alá vonása érdekében történő felhasználásáról (a továbbiakban: „a javaslat”) (3). A javaslatot egyeztetés céljából ugyanazon a napon elküldték az európai adatvédelmi biztosnak.

2.

Az adatvédelmi biztos üdvözli, hogy a Bizottság egyeztetést folytatott vele. Az adatvédelmi biztosnak már a javaslat elfogadása előtt lehetősége nyílt rá, hogy közölje informális észrevételeit. Ezek egy részét figyelembe vették a javaslatban, és az európai adatvédelmi biztos megjegyzi, hogy összességében megerősítették a javaslatban szereplő adatvédelmi garanciákat. Számos kérdés tekintetében azonban még mindig maradtak aggályok, különösen a személyes adatok gyűjtésének mértékével és céljával kapcsolatban.

3.

Az Unión belül egy lehetséges PNR-rendszerről már 2007 óta folyik a vita, a Bizottság ugyanis ekkor fogadott el egy tanácsi kerethatározatra irányuló javaslatot e témában (4). Az uniós PNR-rendszer fő célja egy olyan rendszer létrehozása, amely a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, kivizsgálása és büntetőeljárás alá vonása érdekében arra kötelezi az EU és harmadik országok között nemzetközi járatokat üzemeltető légi fuvarozókat, hogy az összes utas PNR-adatait továbbítsák az illetékes hatóságoknak. Az adatokat központosítják, majd az utasnyilvántartó hatóságok elemzik azokat, az elemzés eredményét pedig az egyes tagállamok illetékes nemzeti hatóságainak továbbítják.

4.

Az európai adatvédelmi biztos 2007 óta gondosan figyelemmel kíséri a lehetséges uniós PNR-rendszerrel kapcsolatos fejleményeket, párhuzamosan a harmadik országokban működő PNR-rendszerekkel kapcsolatos fejleményekkel. 2007. december 20-án az európai adatvédelmi biztos véleményt fogadott el erről a bizottsági javaslatról (5). Nemcsak az európai adatvédelmi biztos, hanem a 29. cikk alapján létrehozott munkacsoport is számos más alkalommal is egybehangzó észrevételeket tett (6) azzal kapcsolatban, hogy az utasnyilvántartási adatok bűnüldözési célú feldolgozása megfelel-e a szükségesség és az arányosság elvének, valamint más alapvető adatvédelmi garanciáknak.

5.

Az európai adatvédelmi biztos által következetesen felvetett fő kérdés annak igazolásával kapcsolatos, hogy a személyes adatok bűnüldözési célú feldolgozását engedélyező számos más eszközön felül szükség van-e az európai utasnyilvántartási rendszerre.

6.

Az európai adatvédelmi biztos tudomásul veszi azokat a látható előrelépéseket, amelyeket az adatvédelem szempontjából e javaslat tartalmaz – az általa korábban véleményezett változathoz képest. Ezek az előrelépések különösen a javaslat alkalmazási körével, különböző érdekelt felek (utasnyilvántartó hatóságok) szerepének meghatározásával, az érzékeny adatok feldolgozásának kizárásával, átmeneti időszak nélkül az adatküldési („PUSH”) rendszer felé történő elmozdulással (7), valamint az adatmegőrzés korlátozásával kapcsolatosak.

7.

Ezenfelül az európai adatvédelmi biztos üdvözli az uniós szintű PNR-rendszer létrehozásának indokaival kapcsolatos hatásvizsgálat újabb fejleményeit is. Mindazonáltal, bár egyértelmű akarat van a rendszer szükségességének tisztázására, az európai adatvédelmi biztos még mindig nem találja ezeket az új indokokat elég meggyőzőnek ahhoz, hogy azok alapján kialakítsák a rendszert, különös tekintettel az összes utas kiterjedt „előzetes ellenőrzésére”. A szükségesség és arányosság elemzése a II. fejezetben található. A III. fejezet a javaslat speciálisabb kérdéseit tárgyalja.

8.

Az adatfeldolgozás szükségességének és arányosságának bizonyítása a PNR-rendszer kifejlesztésének elengedhetetlen előfeltétele. Az európai adatvédelmi biztos már korábban is szorgalmazta, különösen a 2006/24/EK irányelv („adatmegőrzési irányelv”) lehetséges felülvizsgálatával összefüggésben, hogy nagy tömegű információ feldolgozásának vagy tárolásának szükségességéhez írják elő a felhasználás és az eredmény közötti kapcsolat egyértelmű bizonyítását, és engedélyezzék annak nélkülözhetetlen vizsgálatát, hogy más, a magánéletbe kevésbé beavatkozó eszközökkel is elérhető lett volna-e hasonló eredmény (8).

9.

A rendszer indokolása céljából a javaslat és különösen a hozzá tartozó hatásvizsgálat számos dokumentumot és jogi érvet tartalmaz arra vonatkozóan, hogy egyrészt szükség van a rendszerre, másrészt a rendszer megfelel az adatvédelmi követelményeknek. Sőt még ennél is tovább megy: kijelenti, hogy a rendszer hozzáadott értéket jelent az adatvédelmi normák harmonizálása szempontjából.

10.

A fenti részletek elemzését követően az európai adatvédelmi biztos úgy véli, hogy a javaslat a jelenlegi tartalma szerint nem felel meg az Európai Unió Alapjogi Chartája 8. cikkében, az EJEE 8. cikkében és az EUMSZ 16. cikkében előírt szükségesség és arányosság követelményének. Ezt a megállapítást a következő pontokban részletesen indokolom.

11.

Az európai adatvédelmi biztos megjegyzi, hogy a hatásvizsgálat kiterjedt magyarázatot és statisztikákat tartalmaz a javaslat indoklására. Ezek az elemek azonban nem meggyőzőek. A hatásvizsgálatban és a javaslat indokolásában például a terrorizmus és a súlyos bűncselekmények általi fenyegetettség leírásánál (9) az az adat szerepel, hogy a tagállamokban 2007-ben 100 000 lakosra 14 000 bűncselekmény jutott. Bár ez a szám megdöbbentő, megkülönböztetés nélkül utal különböző típusú bűncselekményekre, és nem támaszthatja alá a javaslatot, amely kizárólag egy korlátozott bűncselekmény-típusra, a súlyos, nemzetközi bűncselekményekre és terrorcselekményekre irányul, illetve ezek ellen veszi fel a küzdelmet. Másik példa: ha egy kábítószer-problémákról szóló jelentést anélkül idéznek, hogy a statisztikákat a javaslattal érintett típusú kábítószer-kereskedelemhez kapcsolnák, az az európai adatvédelmi biztos álláspontja szerint nem tekinthető érvényes hivatkozásnak. Ugyanez igaz a bűncselekmények következményeinek meghatározása esetében is, amikor az „eltulajdonított vagyon értékét” és az áldozatokra gyakorolt fizikai és lelki hatást említik, ezek ugyanis a javaslat céljához közvetlenül nem kapcsolódó adatok.

12.

Végül még egy példa: a hatásvizsgálat rámutat, hogy Belgium „arról számolt be, hogy a 2009-ben végrehajtott kábítószer-lefoglalások 95 %-ára kizárólag vagy döntően utasnyilvántartási adatok feldolgozásának köszönhetően kerülhetett sor”. Ki kell azonban emelni, hogy Belgiumban (még) nem működik szisztematikus, a javaslatban előirányzotthoz hasonló PNR-rendszer. Ez azt is jelenthetné, hogy az utasnyilvántartási adatok egyes tervezett esetekben hasznosak lehetnek, amit az európai adatvédelmi biztos nem vitat. Inkább az összes utas adatainak szisztematikus ellenőrzés céljából történő összegyűjtése vet fel komoly adatvédelmi kérdéseket.

13.

Az európai adatvédelmi biztos úgy véli, nincs elegendő vonatkozó és pontos háttérdokumentáció, ami igazolja az eszköz szükségességét.

14.

Bár a dokumentum megjegyzi az adatfeldolgozásra vonatkozó intézkedések és a Charta, az EJEE és az EUMSZ 16. cikkének kölcsönhatását, közvetlenül említi e jogok korlátozásának lehetőségét, és megelégszik azzal a következtetéssel, hogy „mivel a javasolt intézkedések célja a terrorizmus és más súlyos bűncselekmények elleni küzdelem, amelyeket egy jogalkotási aktus tartalmaz, egyértelműen megfelel az említett követelményeknek, feltéve, hogy ezek az intézkedések szükségesek egy demokratikus társadalomban, és megfelelnek az arányosság elvének” (10). Hiányzik azonban annak egyértelmű igazolása, hogy az intézkedések elengedhetetlenek, és nem létezik azoknál kevésbé „tolakodó” más intézkedés erre a célra.

15.

Ebben az értelemben az, hogy kiegészítő célokat is előirányoztak – mint a bevándorlás, a bűnüldözés, a repülésből kitiltott személyek listája és az egészségvédelem –, amelyeket végül arányossági megfontolások miatt nem vettek be a szövegbe, nem jelenti azt, hogy az utasnyilvántartási adatok feldolgozásának a súlyos bűncselekményekre és a terrorista bűncselekményekre való „korlátozása”de facto arányos csak azért, mert kevésbé „tolakodó”. Nem vizsgálták meg továbbá a rendszer terrorizmus elleni küzdelemre korlátozásának, vagyis az egyéb bűncselekmények figyelmen kívül hagyásának opcióját – amint azt a korábbi PNR-rendszerek, például az ausztrál PNR-rendszer esetében előirányozták. Az európai adatvédelmi biztos hangsúlyozza, hogy ebben a korai rendszerben, amelyről a 29. cikk alapján létrehozott munkacsoport 2004-ben pozitív véleményt fogadott el, a célokat korlátozták „azon utasok azonosítására, akik terrorista bűncselekmény vagy ehhez kapcsolódó bűncselekmények elkövetésével fenyegetést jelenthetnek” (11). Az ausztrál rendszer az utasnyilvántartási adatok megőrzését sem irányozta elő – azon utasok adatainak kivételével, akiket a rendszer konkrét fenyegetést jelentő személyként azonosított (12).

16.

Ezenkívül ami az érintettek megfigyelésének kiszámíthatóságát illeti, kétséges, hogy a Bizottság javaslata megfelel az uniós jogszabályok szerinti szilárd jogalap követelményének: az utasok „ellenőrzését” (korábbi szóhasználattal: „kockázatértékelés”) folyamatosan változó, nem átlátható kritériumok alapján végzik. Ahogy a szöveg kifejezetten kimondja, a rendszer fő célja nem a hagyományos határellenőrzés, hanem az információszerzés (13) és azon személyek letartóztatása, akik nem gyanúsítottak – még azelőtt, hogy bűncselekmény történne. Európai szinten egy ilyen rendszer kialakítása, amely magában foglalja az összes utasról történő adatgyűjtést, továbbá ismeretlen és változó értékelési kritériumok alapján történő határozathozatalt, súlyos átláthatósági és arányossági kérdéseket vet fel.

17.

Az egyetlen cél, amely az európai adatvédelmi biztos szerint megfelel az átláthatóság és arányosság követelményének, az utasnyilvántartási adatok eseti alapon történő felhasználása lenne a 4.2. cikk c) pontjában említettek szerint, de kizárólag konkrét mutatókkal megállapított súlyos és konkrét fenyegetés esetén.

18.

A 4. cikk (2) bekezdésének b) pontja úgy rendelkezik, hogy az utasnyilvántartó hatóság (PIU) ellenőrizheti az utasokat; e tevékenység során – a 4. cikk (2) bekezdésének b) pontjában foglaltak szerint – az utasnyilvántartási adatokat összevetik a „vonatkozó adatbázisokkal”. Ez a rendelkezés nem határozza meg, mely adatbázisok a „vonatkozóak”. Ezért ez az intézkedés nem kiszámítható, ami viszont a Charta és az EJEE szerint szintén követelmény. Ezenkívül a rendelkezés felveti a kompatibilitás kérdését, azaz hogy a rendelkezés összefér-e a célhoz kötöttség elvével: az európai adatvédelmi biztos szerint ezt ki kell zárni az olyan adatbázisok esetében, mint például az Eurodac, amelyet különböző célokra fejlesztettek ki (14). Ezenfelül kizárólag olyan esetben szabad lehetővé tenni, ha konkrétan szükség van rá egy adott esetben, amikor bűncselekmény elkövetését követően előzetes gyanú áll fenn valamely személy vonatkozásában. Például a Vízuminformációs Rendszer (15) adatbázisának rendszeres összevetése az utasnyilvántartási adatokkal túlzott és aránytalan lenne.

19.

Megkérdőjelezhető a gondolat, miszerint a javaslat azzal, hogy egységes és egyenlő feltételekről rendelkezik a magánszemélyek jogaival kapcsolatban, fokozná az adatvédelmet. Az európai adatvédelmi biztos elismeri, hogy amennyiben megállapítást nyer a rendszer szükségessége és arányossága, az uniós szinten megvalósuló egységes normák – az adatvédelmet is beleértve – fokoznák a jogbiztonságot. A javaslat jelenlegi szövege azonban – a (28) preambulumbekezdésben – úgy szól, hogy „az irányelv nem érinti a tagállamok azon lehetőségét, hogy a belső joguk alapján rendelkezzenek a PNR-adatok gyűjtésének és kezelésének olyan rendszeréről, amely az ezen irányelvben foglaltaktól eltérő célokat szolgál, vagy amelyek az ezen irányelvben foglaltaktól eltérő fuvarozóktól származnak, a belső légi járatok tekintetében (…)”.

20.

A javaslat által biztosított harmonizáció tehát korlátozott. Kiterjedhet az érintettek jogaira, de a célhoz kötöttségre már nem, és feltételezhető, hogy e szöveg szerint például az illegális bevándorlás elleni küzdelemben már használt PNR-rendszerek ezen irányelv szerint tovább működhetnének.

21.

Ez azt jelenti, hogy egyfelől bizonyos különbségek megmaradnának a PNR-rendszert már bevezetett tagállamok között, másfelől a tagállamok túlnyomó többségét, amelyek nem gyűjtik szisztematikusan az utasnyilvántartási adatokat (a 27 tagállam közül 21), köteleznék erre. Az európai adatvédelmi biztos úgy véli, hogy ilyen körülmények között az adatvédelem szempontjából hozzáadott értékről beszélni igencsak kérdéses.

22.

Ellenkezőleg, a (28) preambulumbekezdés következményei súlyosan sértik a célhoz kötöttség elvét. Az európai adatvédelmi biztos álláspontja szerint a javaslatnak kifejezetten ki kellene mondania, hogy az utasnyilvántartási adatok más célokra nem használhatók fel.

23.

Az európai adatvédelmi biztos hasonló következtetésre jut, mint ami az adatmegőrzési irányelv értékeléséből következik: a tényleges harmonizáció hiánya mindkét vonatkozásban együtt jár a jogbiztonság hiányával. Ezenkívül a személyes adatok további gyűjtése és feldolgozása minden tagállam számára kötelezővé válik, ott is, ahol a rendszer tényleges szükségességét nem állapították meg.

24.

Az európai adatvédelmi biztos megjegyzi továbbá, hogy az utasnyilvántartási adatállománnyal kapcsolatos fejlemények összefüggnek az információcsere irányításának területén létező összes uniós eszköz jelenleg zajló általános értékelésével, amelyet a Bizottság 2010 januárjában indított el, és a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben folytatott információkezelésről szóló, közelmúltban kiadott közleményében részletesebben is kifejt (16). Érzékelhető, hogy a kérdés egyértelműen kapcsolódik az európai információkezelési stratégiáról szóló jelenlegi vitához is. Az európai adatvédelmi biztos ezzel kapcsolatban úgy véli, hogy a várhatóan 2012-re megvalósuló európai információcsere-modellel kapcsolatos jelenlegi munka eredményeit is figyelembe kellene venni egy uniós szintű PNR-rendszer szükségességének vizsgálata során.

25.

Ezzel kapcsolatban, továbbá tekintettel a javaslat és különösen a hozzá tartozó hatásvizsgálat gyengeségeire, az európai adatvédelmi biztos úgy véli, hogy az ehhez hasonló esetekben, amikor a javaslat tartalma a magánélethez és az adatvédelemhez való alapvető jogot érinti, szükség van egy speciális magánélet- és adatvédelmi hatásvizsgálatra. Az általános hatásvizsgálat nem elegendő.

26.

A „terrorista bűncselekmény”, a „súlyos bűncselekmény” és a „súlyos nemzetközi bűncselekmény” fogalmának meghatározását a javaslat 2. cikkének g), h) és i) pontja tartalmazza. Az európai adatvédelmi biztos üdvözli, hogy a fogalommeghatározásokat – és azok hatályát – finomították, különbséget téve a súlyos bűncselekmények és a súlyos nemzetközi bűncselekmények között. Ez a különbségtétel azért is üdvözlendő, mert a személyes adatok eltérő feldolgozását vonja maga után, kivéve az előre meghatározott kritériumok szerinti értékelést, amikor olyan súlyos bűncselekményekről van szó, amelyek nem nemzetköziek.

27.

A súlyos bűncselekmény fogalmának meghatározása azonban az európai adatvédelmi biztos álláspontja szerint még mindig túlságosan tág. Ezt a javaslat is elismeri, amikor kimondja, hogy a tagállamok kizárhatják azokat a kisebb jogsértéseket, amelyek beletartoznak a súlyos bűncselekmény fogalmába (17), de nem felelnének meg az arányosság elvének. Ez a szövegezés maga után vonja, hogy a kisebb jogsértések, amelyek feldolgozása aránytalan lenne, nagyon is beletartozhatnak a javaslatban szereplő fogalommeghatározásba. Nem egyértelmű, hogy pontosan mi tartozik bele a kisebb jogsértések fogalmába. Ahelyett, hogy az alkalmazási kör szűkítésének jogát a tagállamokra hagyná, az európai adatvédelmi biztos úgy véli, hogy a javaslatnak tételesen fel kellene sorolnia azokat a bűncselekményeket, amelyekre hatálya kiterjed, valamint azokat, amelyekre nem, mely utóbbiak kisebb jogsértésnek minősülnek, ezért nem felelnek meg az arányosság követelményének.

28.

Ugyanez az aggály fennáll bármilyen típusú bűncselekménnyel kapcsolatos adatok feldolgozására vonatkozóan az 5. cikk (5) bekezdésében nyitva hagyott lehetőségre, ha a bűncselekményt bűnüldözési tevékenységek során tárják fel, valamint a (28) preambulumbekezdésben említett lehetőségre, azaz az alkalmazási körnek a javaslatban foglaltaktól eltérő célokra vagy eltérő fuvarozókra való kiterjesztésére is.

29.

Az európai adatvédelmi biztos aggodalmát fejezi ki a 17. cikkben előirányzott lehetőséggel kapcsolatban is, amely szerint a belső légi járatokat az irányelv hatálya alá vonnák azon tagállamok tapasztalatainak tükrében, amelyek már gyűjtik a PNR-adatokat. A PNR-rendszer hatályának ilyen kiszélesítése csak még jobban fenyegetné az egyének alapvető jogait; ezt megfelelő előzetes elemzés nélkül – beleértve az átfogó hatásvizsgálatot – nem szabad előirányozni.

30.

Befejezésül, ha az alkalmazási kör kérdését nyitva hagyják, és a tagállamok számára lehetőséget biztosítanak a cél kiterjesztésére, az ellentétes azzal a követelménnyel, hogy az adatok gyűjtése és kezelése csak meghatározott és egyértelmű célból történhet.

31.

Az utasnyilvántartó hatóságok szerepe és az utasnyilvántartási adatok feldolgozásával kapcsolatos garanciák speciális kérdéseket vetnek fel, különösképpen mivel az utasnyilvántartó hatóságok minden utas adatait megkapják a légi fuvarozóktól, és a javaslat szövege értelmében széles hatáskörrel rendelkeznek ezen adatok feldolgozására. Ebbe beletartozik azon utasok magatartásának vizsgálata, akiket semmiféle bűncselekménnyel nem gyanúsítanak, továbbá az utasnyilvántartási adatok meg nem határozott adatbázisokkal való összevetésének lehetősége is (18). Az európai adatvédelmi biztos megállapítja, hogy a javaslat „korlátozó hozzáféréssel” kapcsolatos feltételeket irányoz elő, de úgy véli, hogy ezek a feltételek – tekintettel az utasnyilvántartó hatóságok széles hatáskörére – önmagukban nem elégségesek.

32.

Először is, az utasnyilvántartó hatóságként kijelölt hatóság jellege és összetétele nem egyértelmű. A javaslat megemlíti azt, hogy a hatóság személyi állománya az „illetékes hatóságoktól rendelhető ki”, de nem nyújt semmiféle garanciát az utasnyilvántartó hatóság személyzetének hozzáértésére és feddhetetlenségére vonatkozóan. Az európai adatvédelmi biztos ajánlja e követelmények felvételét az irányelv szövegébe, figyelemmel az utasnyilvántartó hatóságok által végzendő adatfeldolgozás érzékeny jellegére.

33.

Másodszor, a javaslat lehetővé teszi, hogy több tagállam egyetlen utasnyilvántartó hatóságot jelöljön ki. Ez megnyitja az utat az adatokkal való visszaélés és az adatoknak a javaslatban foglalt feltételeken kívüli továbbítása előtt. Az európai adatvédelmi biztos elismeri, hogy a hatékonyság okán – különösen a kisebb tagállamok esetében – indokolt lehet az erők egyesítése, de ajánlja, hogy a szövegben kössék feltételekhez ezt a lehetőséget. Ezeknek a feltételeknek az illetékes hatóságokkal való együttműködésre, valamint a felügyeletre – különösen ami az ellenőrzésért felelős adatvédelmi hatóságot illeti – kell irányulniuk, figyelemmel az érintettek jogainak gyakorlására, mivel előfordulhat, hogy több hatóság is illetékes egyetlen utasnyilvántartó hatóság ellenőrzésére.

34.

A fent említett elemekkel kapcsolatban fennáll a funkciók terjeszkedésének kockázata, különös tekintettel az adatok elemzésére hatáskörrel rendelkező személyzet minőségére és arra az esetre, amikor több tagállam „osztozik” egy utasnyilvántartó hatóságon.

35.

Harmadszor, az európai adatvédelmi biztos kétkedését fejezi ki a visszaélés ellen előirányzott garanciákkal kapcsolatban. A naplózási kötelezettség üdvözlendő, de nem elégséges. Az önellenőrzést – strukturáltabb módon – külső ellenőrzéssel kell kiegészíteni. Az európai adatvédelmi biztos javasolja, hogy az ellenőrzéseket szisztematikusan szervezzék meg négyévente. Ki kell dolgozni a biztonsági szabályok átfogó rendszerét, és minden utasnyilvántartó hatóságra horizontálisan alkalmazni azt.

36.

A javaslat 7. cikke több forgatókönyvet előirányoz, amelyek lehetővé teszik az adatok utasnyilvántartó hatóságok közötti cseréjét – ezt nevezi szokásos helyzetnek –, illetve egy tagállam illetékes hatóságai és az utasnyilvántartó hatóságok között – rendkívüli helyzetben. A feltételek attól függően is szigorúbbak, hogy a hozzáférést a 9. cikk (1) bekezdésében előirányzott adatbázishoz kérik-e, ahol az adatokat az első 30 napig őrzik, vagy a 9. cikk (1) bekezdésében említett adatbázishoz, ahol az adatokat öt évig őrzik.

37.

Szigorúbb hozzáférési feltételek határoztak meg azokra az esetekre, ha a hozzáférési kérelem elbírálása nem a rendes eljárás szerint történik. Az európai adatvédelmi biztos azonban megállapítja, hogy a javaslatban használt szövegezés zavaró: a 7. cikk (2) bekezdése „adott egyedi esetben a terrorista bűncselekmények vagy súlyos bűncselekmények megelőzésének, felderítésének, kivizsgálásának és büntetőeljárás alá vonásának biztosítása érdekében” alkalmazandó; a 7. cikk (3) bekezdése „kivételes körülmények között – egyedi fenyegetés, illetve terrorista bűncselekményekkel és súlyos bűncselekményekkel kapcsolatos egyedi nyomozás vagy bűnüldözés kapcsán” alkalmazandó, míg a 7. cikk (4) bekezdésében „a közbiztonságot fenyegető közvetlen és súlyos veszély” olvasható; a 7. cikk (5) bekezdésében pedig „egy terrorcselekménnyel vagy súlyos bűncselekménnyel kapcsolatos egyedi és tényleges fenyegetés” szerepel. E kritériumoktól függően a különböző érdekelt felek más-más feltételek mellett férhetnek hozzá az adatbázisokhoz. Nem világos azonban, hogy mi a különbség az egyedi fenyegetés, a közvetlen és súlyos veszély, valamint az egyedi és tényleges fenyegetés között. Az európai adatvédelmi biztos kiemeli, hogy részletesebben meg kell határozni az adattovábbítás engedélyezésének pontos feltételeit.

38.

A javaslat az adatvédelmi elvek általános jogi alapjaként a 2008/977/IB tanácsi kerethatározatot említi, és a belföldi adatfeldolgozásra is kiterjeszti annak hatályát.

39.

Az európai adatvédelmi biztos már 2007-ben kiemelte (19) a kerethatározatnak az érintettek jogaival kapcsolatos hiányosságait. A kerethatározatból többek között hiányzik az érintett tájékoztatására vonatkozó néhány követelmény abban az esetben, ha hozzáférést kér adataihoz: a tájékoztatást érthető formában kell megadni, meg kell jelölni az adatfeldolgozás célját, és a közvetlen hozzáférés megtagadása után az adatvédelmi hatósághoz benyújtott fellebbezés esetén fejlettebb garanciákra van szükség.

40.

A kerethatározatra való utalás a jövőbeli irányelv alkalmazásának figyelemmel kísérésében illetékes adatvédelmi hatóság meghatározására nézve is következményekkel jár, mivel ennek a hatóságnak nem feltétlenül kell megegyeznie azzal az adatvédelmi hatósággal, amely a (korábbi) első pillérbe tartozó kérdések tekintetében illetékes volt. Az európai adatvédelmi biztos úgy véli, a Lisszabon utáni környezetben nem megfelelő egyedül a kerethatározatra építeni, amikor az egyik legfőbb célkitűzés a jogi keret átdolgozása a célból, hogy biztosítsák a magas szintű, harmonizált védelmet a (korábbi) pillérek tekintetében. Úgy véli, hogy kiegészítő rendelkezésekre van szükség a javaslatban, amelyek kiegészítik a tanácsi kerethatározatra való utalást, ahol hiányosságok mutatkoznak, különösen a személyes adatokhoz való hozzáférés feltételeivel kapcsolatban.

41.

Ezek az aggályok a harmadik országokba történő adattovábbításról szóló rendelkezésekre vonatkozóan is teljes mértékben érvényesek. A javaslat hivatkozik a kerethatározat 13. cikke (3) bekezdésének (ii) francia bekezdésére, amely széles körű kivételeket tartalmaz az adatvédelmi garanciák alól: különösen a megfelelőségi követelménytől tér el „jogos, magasabb érdekek, különösen fontos közérdek” fennállása esetén. A kivétel szövegezése homályos, a PNR-adatok feldolgozásának számos esetére vonatkozhat, ha tágan értelmezik azt. Az európai adatvédelmi biztos úgy véli, hogy a javaslatnak kifejezetten meg kell akadályoznia a kerethatározatban foglalt kivételek alkalmazását a PNR-adatok feldolgozása tekintetében, és fenn kell tartania a szigorú megfelelőségi vizsgálat követelményét.

42.

A javaslat 30 napot irányoz elő az adatok megőrzésére, amely további öt éves irattározási időszakkal egészül ki. A dokumentum előző változataihoz képest ez a megőrzési idő jelentősen rövidebb, korábban ugyanis öt plusz nyolc év is lehetett.

43.

Az európai adatvédelmi biztos üdvözli az első megőrzési idő 30 napra való csökkentését. Mindazonáltal megkérdőjelezi az öt éves kiegészítő időszakot: nem világos számára, hogy szükség van-e ezen adatok további megőrzésére olyan formában, ami még mindig lehetővé teszi az egyének azonosítását.

44.

Egy terminológiai kérdést is kiemel a szövegben, aminek fontos jogi következményei vannak: a 9. cikk (2) bekezdése szerint az utasok adatait „el kell rejteni”, és így azok „névtelenített” adatokká válnak. Később azonban a szöveg megemlíti, hogy még mindig lehetséges a hozzáférés a „teljes PNR-adatokhoz”. Ha ez lehetséges, akkor ez azt jelenti, hogy a PNR-adatok soha nem váltak teljesen névtelenné: bár elrejtik azokat, továbbra is azonosíthatók maradnak. Ennek az a következménye, hogy az adatvédelmi keret teljesen alkalmazandó marad, ami az összes utas azonosítható adatainak megőrzése tekintetében felveti a szükségesség és arányosság alapvető kérdését.

45.

Az európai adatvédelmi biztos ajánlja a javaslat újraszövegezését a tényleges névtelenítés elvének megtartásával úgy, hogy ne legyen visszaút az azonosítható adatokhoz; ez azt jelenti, hogy a rendszer ne tegyen lehetővé visszamenőleges nyomozást. Ezek az adatok a fentiek ellenére – és kizárólag – a migrációs áramlásokban terrorista bűncselekmények és kapcsolódó bűnözési minták azonosításán alapuló általános információszerzési célokra felhasználhatók. Ezt meg kell különböztetni az adatok azonosítható formában történő megőrzésétől – bizonyos garanciák mellett – olyan esetekben, amikor konkrét gyanú áll fenn.

46.

Az európai adatvédelmi biztos üdvözli, hogy a feldolgozandó adatok listája nem tartalmaz érzékeny adatokat. Kiemeli azonban, hogy a javaslat még mindig előirányozza azt a lehetőséget, hogy elküldjék ezeket az adatokat az utasnyilvántartó hatóságnak, amely ezt követően köteles azokat törölni (4. cikk (1) bekezdés, 11. cikk). Ebből a szövegezésből nem világos, hogy az utasnyilvántartó hatóságoknak rutinkötelessége-e kiszűrni a légitársaságok által küldött érzékeny adatokat, illetve csak rendkívüli esetben kell-e ezt megtenniük, amikor a légitársaságok tévedésből küldtek nekik ilyen adatokat. Az európai adatvédelmi biztos ajánlja a szöveg módosítását annak érdekében, hogy már az adatfeldolgozás forrásánál egyértelművé tegyék: a légitársaságok nem küldhetnek érzékeny adatokat.

47.

Az érzékeny adatokon kívül a továbbítható adatok listája nagymértékben megfelel az USA utasnyilvántartási adatlistájának, amelyet a 29. cikk alapján létrehozott munkacsoport számos véleményében azzal kritizált, hogy túlságosan kiterjedt (20). Az európai adatvédelmi biztos úgy véli, hogy ezt a listát a munkacsoport véleményével összhangban le kell rövidíteni, és annak minden bővítését kellően meg kell indokolni. Különösen így van ez az „általános megjegyzések” mező esetében, amit törölni kell a listából.

48.

A 4. cikk (2) bekezdésének a) és b) pontja szerint az egyének előre meghatározott kritériumok vagy a vonatkozó adatbázisokkal való összevetés alapján történő értékelése automatizált adatfeldolgozást is magában foglalhat, de ezt nem automatizált eszközökkel egyedileg felül kell vizsgálni.

49.

Az európai adatvédelmi biztos üdvözli az új szövegváltozatban elvégzett pontosításokat. A rendelkezés előző változatában szereplő félreérthető megfogalmazás – „egy személyre nézve hátrányos joghatással járó vagy őt súlyosan érintő (…)” automatizált döntések – helyébe konkrétabb szöveg lépett. Most már egyértelmű, hogy bármilyen pozitív találatot egyedileg felülvizsgálnak.

50.

Az új változatban az is egyértelmű, hogy a vizsgálat semmilyen körülmények között nem vonatkozhat a személy faji vagy etnikai származására, vallási vagy világnézeti meggyőződésére, politikai véleményére, szakszervezeti tagságára, egészségi állapotára vagy szexuális életére. Más szóval, az európai adatvédelmi biztos értelmezése szerint az új szövegezés kimondja, hogy egyetlen döntés még részben sem hozható meg érzékeny adatok alapján. Ez összhangban áll azzal a rendelkezéssel, hogy az utasnyilvántartó hatóságok nem dolgozhatnak fel érzékeny adatokat, és szintén üdvözlendő.

51.

Az európai adatvédelmi biztos kiemelten fontosnak tartja, hogy alapos értékelést végezzenek az irányelv végrehajtásával kapcsolatban, ahogyan ezt a 17. cikk is előirányozza. Úgy véli, hogy a felülvizsgálatnak nemcsak az adatvédelmi normáknak való általános megfelelést kell értékelnie, hanem alapjában véve és kifejezetten azt is, hogy a PNR-rendszerek szükséges intézkedésnek tekinthetők-e. A 18. cikkben említett statisztikai adatok ebből a szempontból fontos szerepet játszanak. Az európai adatvédelmi biztos úgy véli, hogy ezen információknak tartalmazniuk kellene a bűnüldözési cselekmények számát, ahogy ez a tervezetben is szerepel, de a bűnüldözési cselekményekből fakadóan (vagy nem azok alapján) hozott, a büntetőjogi felelősséget megállapító tényleges ítéletek számát is. Ezek az adatok alapvető fontosságúak ahhoz, hogy a felülvizsgálat eredménye bizonyító erejű legyen.

52.

A javaslat nem érinti a harmadik országokkal kötött, meglévő megállapodásokat (19. cikk). Az európai adatvédelmi biztos úgy véli, hogy ennek a rendelkezésnek kifejezettebb utalást kellene tennie az utasnyilvántartás területén – az Unión belül és kívül – harmonizált adatvédelmi biztosítékokat nyújtó globális keret célkitűzésére, ahogyan azt az Európai Parlament kérte, a Bizottság pedig az utasnyilvántartási adatállomány (PNR) adatainak harmadik országok részére történő továbbításával kapcsolatos általános megközelítésről szóló, 2010. szeptember 21-i közleményében kidolgozta.

53.

Ilyen értelemben a harmadik országokkal kötött megállapodások nem tartalmazhatnak olyan rendelkezéseket, amelyek nem érik el az irányelvben rögzített adatvédelmi küszöböt. Ez most különösen fontos, amikor az Amerikai Egyesült Államokkal, Ausztráliával és Kanadával kötött megállapodások újratárgyalása zajlik, figyelembe véve a globális – és harmonizált – keret szempontját.

54.

Egy uniós szintű PNR-rendszer kifejlesztése – harmadik országokkal kötendő PNR-megállapodásokról folytatott tárgyalásokkal együtt – már régóta húzódó projekt. Az európai adatvédelmi biztos elismeri, hogy az uniós szintű PNR-ről szóló 2007-es tanácsi keretirányelv-javaslathoz képest a tervezet szövege láthatóan javult. Adatvédelmi biztosítékok kerültek a szövegbe a különböző érdekelt felekkel – beleértve elsősorban a 29. cikk alapján létrehozott munkacsoportot, az európai adatvédelmi biztost és az Európai Parlamentet – folytatott vitákból, valamint az említettek véleményéből merítve.

55.

Az európai adatvédelmi biztos üdvözli ezeket a javításokat, különösen a javaslat hatályának és a PNR-adatok feldolgozása feltételeinek korlátozására irányuló törekvéseket. Kötelessége azonban figyelmeztetni arra, hogy bármilyen PNR-rendszer kifejlesztésének elengedhetetlen előfeltétele a szükségesség és arányosság elvének való megfelelés, ami nem teljesül a javaslatban. Az európai adatvédelmi biztos emlékeztet arra, hogy álláspontja szerint egyes konkrét esetekben bűnüldözési célok érdekében valóban szükség lehet PNR-adatokra – az adatvédelmi követelmények betartása mellett. Az vet fel azonban aggályokat, hogy ezeket az adatokat az összes utasra vonatkozóan gyűjtik, illetve szisztematikusan és válogatás nélkül használják fel.

56.

A hatásvizsgálat meghatározza a PNR-adatok szükségességének igazolására szolgáló elemeket a bűnözés elleni küzdelemben, de ezen információk túl általános jellegűek, ami nem támasztja alá a PNR-adatok információszerzési célokra történő kiterjedt feldolgozását. Az európai adatvédelmi biztos álláspontja szerint az adatvédelmi követelményeknek egyetlen intézkedés felelne meg: a PNR-adatok eseti alapon történő felhasználása, amikor konkrét jelzések alapján súlyos fenyegetést állapítottak meg.

57.

Ezen alapvető hiányosságon túl az európai adatvédelmi biztos észrevételei a következőkre vonatkoznak:

58.

Az európai adatvédelmi biztos ajánlja továbbá, hogy az uniós szintű PNR-rendszer fejleményeit szélesebb perspektívából vizsgálják, beleértve az információcsere irányításának területén létező összes uniós eszköz jelenleg zajló általános értékelését, amelyet a Bizottság 2010 januárjában indított el. Egy uniós szintű PNR-rendszer szükségességének vizsgálata során a várhatóan 2012-re megvalósuló európai információcsere-modellel kapcsolatos jelenlegi munka eredményeit különösen figyelembe kell venni.

—

2010. október 19-i vélemény az utasnyilvántartási adatállomány (PNR) adatainak harmadik országok részére történő továbbításával kapcsolatos általános megközelítésről szóló bizottsági közleményről; elérhető: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

A 29. cikk alapján létrehozott munkacsoport véleményei elérhetők a következő internetes címen: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/31

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/34

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/37

1.

2011. június 15-én a Bizottság a 139/2004/EK tanácsi rendelet (1) 4. cikke szerint bejelentést kapott a Bridgepoint Capital Group Limited (a továbbiakban: Bridgepoint, Egyesült Királyság) végső irányítása alá tartozó Bridgepoint Europe IV Investment (2) Sàrl (Luxembourg) és az Eurazeo SA (a továbbiakban: Euroazeo, Franciaország) által tervezett összefonódásról, amely szerint e vállalkozások részesedés vásárlása útján közös irányítást szereznek az EK összefonódás-ellenőrzési rendelet 3. cikke (1) bekezdésének b) pontja értelmében a Foncia Groupe SA (a továbbiakban: Foncia, Franciaország) felett.

2.

Az érintett vállalkozások üzleti tevékenysége a következő:

3.

A Bizottság előzetes vizsgálatára alapozva megállapítja, hogy a bejelentett összefonódás az EK összefonódás-ellenőrzési rendelet hatálya alá tartozhat, a végleges döntés jogát azonban fenntartja. A Bizottság az EK összefonódás-ellenőrzési rendelet (2) szerinti egyes összefonódások kezelésére vonatkozó egyszerűsített eljárásról szóló közleménye szerint az ügyet egyszerűsített eljárásra utalhatja.

4.

A Bizottság felhívja az érdekelt harmadik feleket, hogy az ügylet kapcsán esetlegesen felmerülő észrevételeiket nyújtsák be a Bizottságnak.

Az észrevételeknek a közzétételt követő 10 napon belül kell a Bizottsághoz beérkezniük. Az észrevételeket a COMP/M.6274 – Bridgepoint/Eurazeo/Foncia Groupe hivatkozási szám feltüntetése mellett lehet eljuttatni a Bizottsághoz faxon (+32 22964301), e-mailben a COMP-MERGER-REGISTRY@ec.europa.eu címre, vagy postai úton a következő címre:

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/39

1.

2011. június 14-én a Bizottság a 139/2004/EK tanácsi rendelet (1) 4. cikke szerint bejelentést kapott a Companhia Siderúrgica Nacional csoporthoz tartozó CSN Steel S.L. (a továbbiakban: CSN, Spanyolország) által tervezett összefonódásról, amely szerint e vállalkozás az EK összefonódás-ellenőrzési rendelet 3. cikke (1) bekezdésének b) pontja értelmében részesedés vásárlása útján teljes irányítást szerez az alábbi vállalkozásokban:

2.

Az érintett vállalkozások üzleti tevékenysége a következő:

3.

A Bizottság előzetes vizsgálatára alapozva megállapítja, hogy a bejelentett összefonódás az EK összefonódás-ellenőrzési rendelet hatálya alá tartozhat, a végleges döntés jogát azonban fenntartja. A Bizottság az EK összefonódás-ellenőrzési rendelet (2) szerinti egyes összefonódások kezelésére vonatkozó egyszerűsített eljárásról szóló közleménye szerint az ügyet egyszerűsített eljárásra utalhatja.

4.

A Bizottság felhívja az érdekelt harmadik feleket, hogy az ügylet kapcsán esetlegesen felmerülő észrevételeiket nyújtsák be a Bizottságnak.

Az észrevételeknek a közzétételt követő 10 napon belül kell a Bizottsághoz beérkezniük. Az észrevételeket a COMP/M.6265 – CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen hivatkozási szám feltüntetése mellett lehet eljuttatni a Bizottsághoz faxon (+32 22964301), e-mailben a COMP-MERGER-REGISTRY@ec.europa.eu címre, vagy postai úton a következő címre:

22.6.2011   

HU

Az Európai Unió Hivatalos Lapja

C 181/40

1.

2011. június 14-én az Európai Bizottság a 139/2004/EK tanácsi rendelet (1) 4. cikke szerint bejelentést kapott a Talis csoportot (a továbbiakban: Talis) magában foglaló vállalkozás holdingtársasága, a Talis International Holding GmbH (Németország) által tervezett összefonódásról, amely szerint e vállalkozás részesedés vásárlása útján teljes irányítást szerez az összefonódás-ellenőrzési rendelet 3. cikke (1) bekezdésének b) pontja értelmében a Raphael Valves Industries (1975) (a továbbiakban: Raphael, Izrael) felett.

2.

Az érintett vállalkozások üzleti tevékenysége, mind a Talis, mind a Raphael esetében szelepek és egyéb berendezések fejlesztése, gyártása és forgalmazása a vízgazdálkodási iparág számára, beleértve a víz előállítását, szállítását, elosztását és a szennyvízkezelést.

3.

Az Európai Bizottság előzetes vizsgálatára alapozva megállapítja, hogy a bejelentett összefonódás az összefonódás-ellenőrzési rendelet hatálya alá tartozhat, a végleges döntés jogát azonban fenntartja. Az Európai Bizottság a 139/2004/EK tanácsi rendelet (2) szerinti egyes összefonódások kezelésére vonatkozó egyszerűsített eljárásról szóló közleménye szerint az ügyet egyszerűsített eljárásra utalhatja.

4.

Az Európai Bizottság felhívja az érdekelt harmadik feleket, hogy az összefonódás kapcsán esetlegesen felmerülő észrevételeiket nyújtsák be az Európai Bizottságnak.

Az észrevételeknek a közzétételt követő tíz napon belül kell az Európai Bizottsághoz beérkezniük. Az észrevételeket a COMP/M.6253 – Talis International Holding/Raphael Valves Industries (1975) Ltd. hivatkozási szám feltüntetése mellett lehet eljuttatni az Európai Bizottsághoz faxon (+32 22964301), e-mailben a COMP-MERGER-REGISTRY@ec.europa.eu címre vagy postai úton a következő címre: