Mint azt korábbi tanulmányainkban[1] bizonyítottuk, az elektronikus jognak egy kitüntetett részterülete az adatvédelmi jog, ami jól látszik abból, hogy mind a külföldi, mind a magyar szakirodalomban megnövekedett az ilyen tárgyú közlemények száma.
Természetesen az adatvédelem, tehát a nemzeti adatvédelmi hatóságok és az európai adatvédelmi biztos (European Data Supervisor) tevékenysége nemcsak az e-jog által szabályozott területre terjed ki, nem egyedül az információs társadalom új jelenségeire koncentrál. ugyanakkor nem is lehet vitás, hogy az adatok gyűjtésére az új, modern instrumentumok (mobil) és okos telefonok, tablettek) és technológiák (a Google és Apple android operációs rendszerei) igencsak alkalmasak. A világháló egy olyan tér, ahol a magánélet és gazdasági élet adatai nagy számban megtalálhatóak, innen a csoportosításuk felé vezető út - nem hosszú.
Az adatvédelem jelentőségét fokozza a latens cyber-bűnözés növekedése. A határokon átnyúló adatáramlás mindennapossága közös európai elkötelezettséget igényelt az adatvédelem terén. Miután az Uniót egyes, nem megalapozatlan, álláspontok szerint a tagállamok irányítják, a sike-
- 261/262 -
res tevékenységhez egyfajta interakció szükséges az Unió intézményei és a tagállamok között, ami konfliktusokkal terhes. Azonban az a felismerés, hogy az adatok birtoklása anyag értékkel bír, továbbá: védelmük - szélsőséges esetben - életmentő; egyre inkább abba az irányba tolja a szabályozókat (Tanács, Parlament, az előkészítést végző Bizottságok, az adatvédelmi biztosról nem is beszélve), hogy nagyon komolyan vegyék az újabb és újabb fölmerülő, potenciális tárgyköröket. Ennek tanúbizonyságát láttuk a kontinenst elhagyó adatok vonatkozásában (légiutasok adatai), illetve olyan globális hálózatok esetében, mint amilyen a Facebook.
A tanulmány egy rövid módszertani részből és a szabályokat, dokumentumokat és jogeseteket ismertető fejezetekből áll. Ez utóbbiak, együtt, 680 tételt számlálnak, vagyis ennyit lehet visszakeresni CELEX szám vagy tárgyszó (adatvédelem) szerint az EUR-LEX adatbázisban.
A tételek feldolgozása közben nyilvánvalóvá vált, hogy csak a dokumentumok egy részének tárgya az adatvédelem, a másik részének tárgyköre - más, ám mégis tartalmaz adatvédelmi aspektust, ezért került bele az adatbázisba.
A majdnem hétszáz tételű adatbázis tartalmaz olyan anyagokat is, amelyek kifejezetten az információs társadalom[2] jellemzőivel, szabályozási kihívásaival foglalkoznak.
A tételek feldolgozásának azt a módját választottuk, hogy először témák szerint ismertetjük azokat; másodjára a közzétett anyagok kibocsá-
- 262/263 -
tóit adjuk meg, azaz a (jog)forrás készítőit soroljuk fel. Harmadszor: miután a témakörökre nézve az apparátusok először javaslatokat, előkészítő papírokat készítenek, vannak olyan anyagok, amelyeket a nemzetközi jog a travaux préparatoires műfajába sorolna, és olyanok, amelyek végleges formába öntöttek, igyekszünk érzékeltetni az egyes megfogalmazások kiformálódásának folyamatát, tehát tulajdonképpen a történeti aspektusra helyezzük a hangsúlyt.
Az első megközelítés, a tárgykörök felsorolása, azzal az igénnyel íródott, hogy bevezetőt adjon és tájképet fessen az Európai Unió intézményeinek adatvédelmi felfogásáról. A tárgykörök, amelyekben előfordul, érintett, az adatvédelem a következőek: Utasnyilvántartási adatállomány (PNR), előzetes utasinformáció (API), polgári repülés biztonsága, számítógépes helyfoglalási rendszerek; Magánélet védelme az összekapcsolódó világban (21. századi adatvédelmi keret); Adatvédelemnek a magánélet védelmét erősítő technológiák által történő ösztönzéséről; Adatvédelmi tisztségviselők; Lakóingatlanokhoz kapcsolódó hitelmegállapodások; Adósok vagyonának átláthatósága; Euro-átutalások és beszedések; Intelligens fogyasztásmérő rendszerek, Korai figyelmeztető és gyors reagáló rendszer; Vízumokra vonatkozó adatok cseréje; Európai e-igazságügyi stratégia; Genfi alapelvek átültetése a gyakorlatba (információs társadalomban globális együttműködés), európai információs társadalom, információs társadalomra vonatkozó közösségi statisztikáról; Hágai program: jog érvényesülése, szabadság és biztonság Európában 2005 óta; A stockholmi program - a polgárokat szolgáló és védő nyílt és biztonságos Európa; Feldolgozott adatok megőrzése; Engedély nélkül tartozkodó személyek; Hatósági erkölcsi bizonyítványokra vonatkozó információcsere; Tartással kapcsolatos kölcsönös igazgatási segítségnyújtás; Schengeni Információs Rendszer (SIS II); Vízuminformációs Rendszer; Európai Bűnügyi Nyilvántartási Rendszer (ECRIS); A belső piaci információs rendszer adatvédelmi helyzete; Adatvédelmi irányelv jobb végrehajtása, adatvédelmi tisztviselők; Kábítószer-függőség Európai Megfigyelőközpont; Bűnügyi nyilvántartásból származó információk cseréjének megszervezése; Európai Rendőrségi Hivatal; EU Alapjogi Ügynökség; European Network and
- 263/264 -
Information Security Agency; Európai Külügyi Hivatal; Nagyméretű IT-rendszerek üzemeltetését végző ügynökség; Terrorizmus és bűnözés elleni harc; Átmeneti időre fenntartott "kötelezettségek" fogalma; Közös agrárpolitika finanszírozása; Hatóságok és a Bizottság közötti együttműködés; Szociális biztonsági rendszerek koordinálása; Jövő hálózatai és az internet; A jövő internetjével foglalkozó magán-állami partnerség; A tárgyak internete és a közszféra információinak további felhasználása; Közösségi hálózatépítő oldalak hatása a polgárokra/fogyasztókra; A biztonság és az alapvető szabadságjogok interneten történő megerősítése; Elektronikus egészségügyi nyilvántartó rendszerek; Egészségügyi ellátás (határon átnyúló); Betegjogok; Biometrikus azonosítók és vízumkérelmek; Adósminősítéssel foglalkozó munkacsoport; E-hírközlések titkosságának védelme, bizonyos forgalmi adatok megőrzése; Európai statisztika; Mezőgazdasági támogatások kedvezményezettjeire vonatkozó információk közzététele.
Az alábbi csoportokat alkothatjuk, ha a fenti témaköröket rendszerezni akarjuk. Az első csoportba azok a tételek tartoznak, amelyek - lévén, hogy tárgyuk az információs társadalom - közvetlenül összefüggnek az adatvédelem problematikájával. A második csoport csoportképző ismérve az adatvédelem szabályozása; ide tartozik az adatvédelmi keretirányelv megteremtésére vonatkozó dokumentum, az adatvédelmi tisztségviselőkkel kapcsolatosan készült anyag, az adatok megőrzésével összefüggő dokumentum. A harmadik csoportot olyan témák alkotják, mint a szabadság és biztonság. Álláspontunk szerint, helyes, felülről lefelé haladva, tehát a nagyobb témáktól a kisebbek felé, hogyha most következik a magánélet védelme, a negyedik csoport, és ezt követi az ötödik, az a csoport, amelyben egyébként talán a legtöbb dokumentum van - a személyes adatoké. Véleményünk szerint önálló csoportot képeznek, a hatodikat, azok az anyagok, amiket az köt össze, hogy valamilyen rendszer kapcsán fordulnak elő bennük utalások az adatvédelemre. Ilyenek a fogyasztóvédelmi, a helyfoglalási és más rendszerekkel kapcsolatos anyagok. A hetedikbe soroljuk azokat a dokumentumokat, amikben van az európai szintű adatvédelem szempontjából releváns információ; itt az elemeket az köti össze, hogy valamelyik uniós ügynökség (hálózati információs, alapjogi) vagy hivatal (külügyi, rendőrségi) létrehozatala kapcsán szabályoztak felmerült adatvédelmi problémát. (Megjegyezzük, az ún. agencification jelen-
- 264/265 -
ségét a külföldi[3] és a magyar szakirodalom[4] tárgyalja.) A nyolcadik csoport csoportképző ismérve az, hogy valamilyen közigazgatási cselekmény (például hatósági erkölcsi bizonyítvány kiadása) kapcsán szükségessége válik a nemzeti tagállami hatóságok közötti együttműködés és ennek adatvédelmi vonzata van. Ugyanígy adatvédelmi vonzata lehet a Bizottság és a nemzeti hatóság közötti együttműködésnek. A kilencedik csoport elemei közötti kohéziót az hozza létre, hogy mindegyik az internettel kapcsolatos (jövő internetje, tárgyak internetje stb.). A tizedik csoportot nevezhetjük pénzügyinek, hiszen itt olyan dokumentumok szerepelnek, mint euroátutalás, hitelmegállapodás stb. Külön osztályba sorolhatónak látjuk a statisztika és adatvédelem, illetve az egészségügy és adatvédelem, továbbá az e-igazságügy és az adatvédelem témaköreit, ez a 11., a 12. és a 13. csoport. Legvégére hagytuk azokat az európai uniós intézmények által alkotott és adatvédelmi relevanciával bíró olyan anyagokat, amelyek a terrorizmus és bűnözés elleni harccal, illetve a közösségi pénzek sérelmére elkövetett csalásokkal elleni küzdelemmel foglalkoznak.
Az adatvédelmi tartalmú források között első helyre raktuk az európai adatvédelmi biztos véleményét. Más uniós intézmények is adnak ki véleményt, az Európai Gazdasági és Szociális Bizottság, a Régiók Bizottsága, ezek természetesen szélesebb kompetenciával és talán nagyobb presztízzsel bíró szervek, de nyilvánvalóan a biztos véleménye szakmailag cizelláltabb. A forrásokat lehetne, magától értetődő, aszerint is osztályozni, hogy hard law-tól haladunk a soft felé. Evidens, a végén elkerülhetetlen tisztázni, hogy a sok ötletből, véleményből, állásfoglalásból, ajánlásból mi is került bele a jogba (a rendeletbe vagy irányelvbe). Ám miután úgy is gondolkodhatunk, hogy nézzük meg: hogyan is épül fel valamely adatvédelmi relevanciájú uniós végleges szöveg, mi most ezt a sorrendet adjuk meg; első helyen az európai adatvédelmi biztos véleményét említve.
- 265/266 -
Az európai jogi tanulmányok stúdiuma szempontjából természetesen nagyon érdekes, hogy az uniós jogforrások között mi a hierarchia; lehet, hogy visszatérünk majd erre a problémára, de most csak azt akarjuk bemutatni, hogy kik, milyen szervek szólnak hozzá az Unión belül egy az adatvédelem körében fölmerülő kérdéshez, írásban. Második helyen utalunk, mint írásos formára, a Bizottság ajánlására, ezután említjük az Európai Parlament állásfoglalását, amelynek van egy olyan változata, aminek a címében szerepel egy jelző, nevezetesen: "jogalkotási". Negyedikként jelöljük meg a bizottsági javaslatot, ami lehet módosított is. Ötödikként a Bizottság jelentését, ami persze mindig valami múltban történt eseményt, eseménysort dolgoz fel. A közlemény ezzel szemben a jövőre irányul, például stratégiát dolgoz ki. A Bizottság határozata maga is jogforrás, amelyet valamely más, magasabb szintű jogforrás alapján ad ki. Ilyen például a 2010/625/EU, amelyet a Bizottság 2010. október 19-én hozott a 95/46/EK irányelv alapján a személyes adatok Andorrában biztosított megfelelő védelméről. Nyolcadikként említjük az álláspontot, a tanácsit, amelyet első olvasatban hoz. Megjegyezzük: a Parlamentnek is van ajánlása, ahogy a Tanácsnak is van határozata, és együtt alkotnak irányelvet és rendeletet, mint az közismert. A Tanács a Bizottsággal együtt cselekvési tervet dolgoz ki, de van a Bizottság szervezeti egységeinek ún. munkadokumentuma is, ilyen a valamely országról kidolgozott monitoring jelentés. Különböző programok vannak: hágai, stockholmi, általános és speciális. Végül, nemzetközi jogi forrásban is szerepel az adatvédelem, így például megállapodásban, ideiglenes megállapodásban levélválaszban.
Az információs társadalom vagy információs korszak (information age) elnevezés a szakirodalomból jött.
Az újabb, folyóiratban megjelent közlemények,[5] a nagy elődökhöz képest részletesebben és kritikusabban tárgyalják az információs társadal-
- 266/267 -
mat, mint jelenséget. Solove jól látja például, hogy az átláthatóság elve és a magánélethez való jog között egyfajta feszültség keletkezett a digitális eszközök nagyon gyors elterjedése nyomán. Helytálló az a megfigyelése is, hogy a kormányzati és magánszektor között információ-átfolyások azonosíthatók. Egyébként Solove az információs korszakot (társadalmat), jogi aspektusból, azokkal a szabályokkal írja le, amelyek az adatvédelmi jogokat (ítéleteket), illetve a törvényhozás által alkotott normákat tartalmazzák, továbbá azokkal, amik a magáninformációkhoz és a nyilvános, de magánszemélyekről szóló információkhoz való hozzáférést szabályozzák. Kitér a kártérítési jogra az alkotmányjog mellett, főként a negyedik alkotmánymódosításra. Tárgyköre jobb megértése érdekében Kafkát és Orwellt idézi meg, fölvet egy igen érdekes kérdést is - a piac alapú szabályozást elemző fejezetben - hogy mennyit is ér, mi az értéke a személyhez fűződő információknak.
Amit igazán fontosnak gondoltuk megtudni az az, hogy az európai uniós intézmények[6] mit gondolnak, hogyan vélekednek az információs társadalomról. Nagyjából azt lehet mondani a dokumentumok alapján, hogy a közös intézmények szerint az információs társadalom egy olyan társadalom, ahol a televíziózás nem ismer határokat, ahol a film online elérhető; amiben triple play szolgáltatások vannak, ahol széles a sáv; olyan társadalom, amiben megjelenik a nanotechnológia és a grid technológia és az IP-n keresztüli televíziózás lehetősége. Van egy másik téma is, a globális együttműködésé, amelyből látszik mi is az Európai Unió szerveiben az álláspont az információs társadalomról.[7] A dokumentumban pozitíve nem határozzák meg azt, de lehet látni, hogy olyan társadalomnak fogják fel, amelyben hálózatok kötik össze a szereplőket és valószínűleg ezért is tulajdonítanak nagy jelentőséget a biztonságnak, mármint a hálózatinak, továbbá a szellemi tulajdonjognak. Az uniós intézmények látják az adatvédelem jelentőségét, nem elkülönítve azt a magánélet tisz-
- 267/268 -
teletben tartása követelményétől. Amit már az elején is támogattak az az elektronikus ügyvitel terjesztése, jól látva azt, hogy a közös szabványok hiánya nagyon megnehezíti az új technológiák elterjedését, amire egyébként, támogatásként egy hatszáz millió eurós program keretében 90 milliót a Bizottság előirányzott.
Az adatvédelem a magánélet védelmének[8] része, az egy másik kérdés, hogy épp az információs társadalom erőteljes kiformálódási tendenciája miatt az adatvédelem, mint még mindig egy új téma, nagyon nagy hangsúlyt kapott a médiában, a közpolitikában, miközben a személyes érdeklődés se csökkent. Ha szabad ezt mondani, úgy állítjuk: az internetes térben megjelentek egyfajta emberi jogok, mint a személyes adatok tárolásának megszüntetését követelő jog vagy másképp fogalmazva, mint a személyes adatok tárolásának megszüntetéséhez való jog, "the right to be forgotten". Az is szinte emberi joggá kezd válni, hogy a polgárnak joga lesz ahhoz az értesítéshez, amit akkor kell kapnia, ha a másnál lévő adatai megsérülnek, hozzáférhetővé válnak.
Azt világosan lehet látni, hogy az elektronikus szolgáltatások betörtek az otthonokba, a spam és malware fel tudják fordítani a mindennapi életet.
A kívülről jövő támadások ellen az a minimális szellemi pajzs, hogy a személyek ellenőrzést gyakorolhassanak személyes adataik (felhasználása) felett. Magától értetődőnek látszik, hogy a védekezési vonalat a kerítésen is túlra kell tolni, legalább a járdáig, de legjobb kiterjeszteni egészen oda, ahonnan a támadás jöhet. Ezt szolgálják azok az intézkedések, amelyek a támadók eszközeinek gyengítését célozzák, ilyen például az alapértelmezett beállítások, amelyek a személyes adatok védelmét szolgálják vagy az adatsértést észlelő cégek kötelezése az adatsértések bejelentésére a médiákban.
- 268/269 -
Amint feljebb már céloztunk rá, nagyon úgy tűnik, hogy európai szinten emberi jogokat akarnak konstruálni az információs társadalom európai állampolgárainak. Ezért különösen figyelemre érdemes a Bíróság két ítélete.[9] Jól ismert eset, jellemzi is az információ korszakát, hivatkozik[10] is rá Közleményében a Bizottság, hogy egy "...multinacionális vállalat olyan online térképészeti rendszert épített ki Európa-szerte, amely az összes magán- és középületről képeket gyűjt, és az is előfordul, hogy az utcán tartózkodó emberekről is képet készít." (Természetesen a Bizottság véget akar vetni ennek a gyakorlatnak, az már egy másik kérdés, hogy nem mindegyik tagállam jogrendjébe ütköző ez a vitatott tevékenység. Következésképpen: a szemünk előtt alakul ki egy másfajta társadalom, de ennek szabályai még nem egységesek a tagállamok összességét tekintve.) Ezen a ponton előkerül újból a nemzeti jogok összehangolása, aminek az igénye már felbukkant, jó egy évtizeddel ezelőtt a szerzői jog és más jogok kapcsán. itt jegyezzük meg. Az uniós intézmények közül nemcsak a Bizottság, de a Parlament és a Tanács is érzékelt olyan jelenségeket, amelyek eredőjét az információs társadalom tényében[11] látta. Nyilvánvalóan az a kérdés, hogy mit tudott hozni az információs társadalom, hogy a szerzői jog újból az érdeklődés középpontjába került. Persze, a szerzői jog nem adatvédelem, mégis valamilyen olyan jog, ami felmerül az emberi jogok kapcsán is. Azt lehet látni az irányelvből, hogy a szerzők és producerek anyagi természetű elvárásai sérülnek, a szerzők nem kapják meg díjazásukat a producerek számára meg nem térül meg a befektetés. Az egész jelenséghalmaz oka pedig - az irányelv preambuluma szerint - a műszaki fejlődés. Sok mindent megemlít az irányelv: számítógépes programokat, műholdas műsorsugárzást, digitális technikát. Az irányelv preambuluma, voltaképpen indokolása, nemcsak a műszaki fejlődést említi, hanem a sok, elszaporodott jogellenes magatartást: az elektronikus jogkezelési adatokat eltávolítanak, megváltoztatnak, jogosulatlanul ter-
- 269/270 -
jesztenek ilyen adatokat, behozzák azokat, sugározzák, nyilvánossághoz közvetítik.
Visszatérve ahhoz a témakörhöz, ami a magánélet és az adatvédelem összefüggéseit boncolgatja, utalni kell újból a Bizottság mecénási szerepére, ami jól kitűnik a következő dokumentumból: Időközi jelentés a 2007 és 2013 közötti időszakra vonatkozó "Alapvető jogok és polgárság programról.[12] A jelentés szerint a Bizottság 2007 és 2010 között hatvanegy saját kezdeményezésű intézkedést indított, amelyeket a program közbeszerzési eljáráson keresztül finanszíroz. Ezekben az esetekben az intézkedést, a támogatásokkal ellentétben, teljes mértékben a program finanszírozza és a termék vagy eredmény teljes mértékben a Bizottságot illeti meg. A finanszírozott témák számos témára kiterjedtek, így többek között a következőre: figyelemfelkeltő és tájékoztató kampányok az adatvédelemről.[13]
Ha a közösségi intézmények által kifejtett adatvédelmi tevékenységről akarunk értekezni akkor első helyen a Rendeletet[14] kell elemezni majd azokat az intézményeket, amelyek ilyen irányú tevékenységet folytatnak. Maga a rendelet, annak szövege, azért érdekes, mert nyilvánvalóan például akar szolgálni a nemzeti törvényhozások számára. A szöveg az adatok minőségére vonatkozó elvekkel kezdődik, folytatódik az adatfeldolgozás jogszerűségével, amelynek kapcsán a jogalkotó megállapítja, hogy az akkor jogszerű, ha az levezethető a Szerződésekből vagy jogszabályokból, vagy közérdekből elvégzendő feladat végrehajtásához szükséges vagy hatáskör gyakorlásához elengedhetetlen, illetőleg az érintett az adatfeldolgozáshoz egyértelmű hozzájárulását adta vagy valamilyen szerződés teljesítéséhez szükséges. A rendelet szabályozza a személyes adatok továbbítását a közösségi intézményeken belül és azok között és azt az esetet is ha az adattovábbítás nem esne a 95/46/EK irányelv hatálya alá.
- 270/271 -
Az irányelv rendelkezik a különleges adatkategóriák feldolgozásáról is. Külön rész foglalkozik az érintett jogaival, így a tájékoztatással, ha az érintettől adatot gyűjtenek, továbbá a helyesbítéshez és zároláshoz való jogával. A helyesbítéshez akkor van joga az érintettnek, ha az adat hibás vagy hiányos. A zárolást pedig akkor, ha pontosságukat vitatja vagy az érintett szerint nincs már az adatkezelőnek azokra, vagy az adatfeldolgozás jogellenes, de az érintett nem azok törlését, hanem azok zárolását kéri.
Az uniós intézmények közül elsőnek az Európai Hálózat- és Információbiztonsági Ügynökséggel[15] foglalkozunk, tesszük ezt egyrészt azért, mert modern kormányzás egyik jellemzője az ügynökségek elszaporodása, ahogy azt a külföldi és a magyar szakirodalom kimutatta, másrészt pedig azért, mert nagyon úgy tűnik az információbiztonság szélesebb fogalom, mint az adatvédelem: az előbbi magába foglalja az utóbbit. Ugyanakkor világosan látszik, hogy az információbiztonság és az adatvédelem nem szinonim fogalmak, az információbiztonság nem adatvédelem, azonban az Ügynökség, a bizalom és a megbízhatóság növelése érdekében adatokat fog gyűjteni, ami a Javaslat 1.4 pontjából [Célkitűzések] egyik alpontjából [1.4.1.] kitűnik: "Az Ügynökség továbbra is dolgozni fog egy olyan keret kialakításán, amely rendszeres adatgyűjtés és -feldolgozás, információterjesztés és visszajelzések útján lehetővé teszi a döntéshozók számára az új technológiák és az új alkalmazások következtében fellépő újfajta kockázatok jobb megértését és elemzését." - írja a dokumentum. A másik dokumentum[16] is érdekes, ti. hogyan reagál az európai adatvédelmi biztos a Javaslatra. Az "általános értékelés"-ében hangsúlyozza, hogy "... az adatfeldolgozás biztonsága az adatvédelem döntő fontosságú tényezője." Ebből következik, ahogy már fentebb jeleztük: az információbiztonság általánosabb fogalmába az adatvédelem biztonsága beletartozik. Megjegyezzük: a biztonsági követelményeket egy rendelet[17] és
- 271/272 -
két irányelv[18] tartalmazzák. A biztos véleménye szerint a javasolt rendelet adatvédelmi szempontból aggályokat vet fel. Álláspontja, hogy a Javaslat: "...nem határozza meg pontosan vajon az Ügynökségre ruházott feladatok közé tartozik-e a személyes adatok kezelése." Továbbá, a biztos szerint: "A javaslatnak foglalkoznia kell a személyes adatok feldolgozásának lehetséges vonzataival is, amelyek az értesítések elemzéséből következhetnek." [A 202/21/EK irányelvben foglalt rendelkezések[19] szerint a nemzeti szabályozó hatóságok adott esetben tájékoztathatják az Ügynökséget a biztonság megsértésével kapcsolatos eseményekről.] Megjegyezzük, a témában készült még egy anyag,[20] amely nagyon jól argumentál, így: a nemzeti szintű törekvések széttöredezettsége; a hálózati és biztonságpolitikai együttműködést illetően irányadó modell hiánya; a készültség szintjének elégtelensége, aminek következménye a korai figyelmeztető és válaszadási képesség korlátozottsága; európai szintű adatok hiánya az éppen fölmerülő problémára és a számítástechnikai bűnözés elleni harc csekély eredményessége, mert a hálózat- és információbiztonság szempontjai nem épültek be az egyes szakpolitikákba.
Az uniós intézmények közül nyilvánvalóan az adatvédelmi biztos szervezete, ami a leginkább professzionális az adatvédelem területén. De milyen feladatok teljesítését várják el tőle a Bizottság, a Tanács és a Parlament?[21] Egy nagyon fontos elvet rögzít a határozat a munkavégzésre vonatkozóan, amit egyébként épp fordítva szoktak érteni, ti. úgy, hogy az (intézményi) adatvédelem megelőzné az állampolgárok azon jogát, hogy a köztevékenységgel kapcsolatos információkhoz az állampolgárok hozzáférjenek; ezzel szemben az elv az, hogy: "Az adatvédelem célját annak a célnak a figyelembevételével kell teljesíteni, hogy az állampolgárok számára a köztevékenységekkel kapcsolatos információk hozzáférhetősége
- 272/273 -
nem korlátozható." Ugyanerről beszél az (5) bekezdés is,[22] amely kimondja: az európai adatvédelmi biztost a közösségi jog kötelezi, hogy tevékenysége megfeleljen az uniós intézmények dokumentumaihoz való hozzáférésnek. Az már egy másik kérdés, hogy van egy másik obligatioja, nevezetesen: védelmeznie kell a személyes adatokat és a magántitokhoz való jogot.
A közösségi pénzek egyik őre az Európai Csalásellenes Hivatal, az OLAF,[23] Érdekes, hogy egy ilyen célú szervet milyen adatvédelmi megfontolásokkal korlátozzák felderítő tevékenységében. A Rendelet 8. szakasza foglalkozik az adatvédelemmel és a szabályozás egyik célja az, hogy a külső és belső vizsgálatok során megszerzett vagy szolgáltatott információkhoz más személyek ne jussanak hozzá, mint akiket a Rendelet megnevez. Másfelől: az információt másra, mint csalás, korrupció és egyéb jogellenes cselekmény megakadályozása vagy megelőzése ne lehessen felhasználni. A szabályozás másik, deklarált célja pedig az volt, hogy a Hivatal alkalmazottjai betartsák a közösségi és nemzeti adatvédelmi szabályokat.
Nem kevésbé izgalmas az adatvédelem szabályozása[24] egy olyan uniós szervnél, amely nyomozati cselekmények elvégzését kérhet valamely tagállam illetékes hatóságától, és ez az Európai Unió Igazságügyi Együttműködési Egysége, az European Judical Cooperation Unit, rövidítve: Eurojust. Adatvédelmi szempontból, magától értetődően, elég kényes területen kell mozognia a jogalkotónak. A jogalkotó által kiadott szöveg tekintettel van a specifikumokra, ez többek között a 10. cikkből[25] kiderül, de először azokról az általánosan alkalmazandó elvekről (jogszerűség és tisztességesség elve, az adatfeldolgozás arányossága és szükségessége) rendelkezik, amiknek át kell hatnia a munkafolyamatokat. Ebben a cikkben
- 273/274 -
(4.) van szó az emberi jogok és az egyének alapvető szabadságainak maradéktalan tiszteletben tartásáról, a magánélet tiszteletben tartásáról a személyes adatok feldolgozása tekintetében, a diszkrimináció tilalmáról és adatok anonimmé tételéről. Külön foglalkozik a szabályzat az adatminőséggel, az adatbiztonsággal és az adatalanyok tájékoztatáshoz való jogával. A további speciálisnak tekinthető szabályok azok, amelyek felállítják a "személyes adatot ügyhöz kapcsolódó" és a személyes adatot ügyhöz nem kapcsolódó kategóriákat.[26] Speciális még a "különleges adatkategóriák"-kal foglalkozó 17. cikk. Az adatbiztonságot érintő kérdések (III. fejezet) között találunk még különleges normákat (24. cikk), amelyek engedélyezik a nyomozással kapcsolatos adatok tárgymutatójának létrehozatalát és ideiglenes munkafájlok kialakítását, amelyek személyes adatokat is tartalmaznak. [Az ügyviteli rendszer minden újonnan megnyitott ideiglenes munkafájlhoz automatikusan hivatkozási számot (azonosítót) csatol.[27]]
Közismert: az Európai Rendőrségi Hivatal, az Europol, volt az első olyan szervezet, amelyet az Európai Unióról szóló szerződés alapján hoztak létre. Amikor a Javaslatot[28] előterjesztették (2006-ban) az Europolt egyezményt módosító három egyezmény, a melyeket 2000-ben, 2002-ben és 2003-ban fogadtak el, még nem léptek hatályba. Így aztán az európai adatvédelmi biztos[29] jól vette észre, hogyha a Javaslat kiterjeszti az Europol megbízatását, úgy az Unió szervei, a tagállami hatóságok és a harmadik országok közötti adatcsere jelentős kérdéssé lép elő. Azt is nagyon jól látta az anyag az alkalmazandó adatvédelmi jogot illetően, hogy "...a 45/2001/EK rendelet csupán a közösségi jog hatálya alá tartozó tevékenységek gyakorlása során végzett feldolgozásra vonatkozik, ennélfogva elvileg nem alkalmazandó az Europol által végzett feldolgozási műveletekre." [Megjegyezzük, ez igen finom különbségtétel, ami azt jelenti, hogy a
- 274/275 -
címzettek közötti különbözőség van, ami tényleg így is van, hiszen a Rendelet 8. cikkének címe: "Személyes adatok továbbítása közösségi intézményektől és szervektől eltérő a 95/46/EK irányelv hatálya alá tartozó címzettek részére". A 42. pontban aztán a Vélemény meg is állapítja, hogy az Europol "nem közösségi intézmény vagy szerv." A Javaslat V. fejezete tartalmazza az adatvédelemre és adatbiztonságra vonatkozó egyedi szabályokat - állapítja meg a biztos. [Megjegyezzük, ugyanezt a felépítést, metódust láttuk az Eurojust adatvédelmi szabályozásánál; azaz az adatvédelemre vonatkozó jogi kerethez hozzáírja a jogalkotó a kiegészítő szabályokat, a lex specialist.] Miután az Europol és az Európai Unió közötti adatcsere az esetek többségében az európai adatvédelmi biztos felügyelete alá tartozik és az Europol tevékenysége során nagy adatcsere folyik, de különbözőek a felügyeleti szervek, az adatvédelmi biztos szerint annyira "összetett a kérdés", hogy neki személy szerint aggályai vannak az Europol információs rendszere átjárhatóságával kapcsolatban. Világos, az Europol eddig se volt jelentéktelen szervezeti egység az egyesülő Európa gondolat számára, a Javaslat után pedig nagyon oda kell figyelni, nyilvánvalóan adatvédelmi szempontból, hiszen az Europol megbízatását kiterjeszti a Javaslat a szervezett bűnözéshez nem szorosan kapcsolódó bűncselekményekre, amelyek az európai elfogatóparancsról szóló tanácsi kerethatározatban[30] szereplő súlyos bűncselekmények felsorolásában szereplőkkel megegyezik. Egyébként, az eltelt 10 év valósága (több téves adatú elfogatóparancs kiadása) nagyon erősen rávilágított arra, hogy az adatminőség elméleti kidolgozottsága sem óv meg minket teljesen az adatminőségben lévő hibák, félelmetes, az emberi jogokat, ezen belül az emberi méltóságot sértő következményektől, például a névtévesztés miatti, téves, reggeli letartóztatásoktól.
Magától értetődő, hogy ez a terület ti. a rendőrségi és az igazságügyi együttműködésé, a legérzékenyebb az összes terület közül, amiben információcsere folyik emberi jogi és így adatvédelmi szempontból is, tehát egyáltalán nem meglepő, hogy a biztos az arányosság elvével nem összeegyeztethetőnek tartja azt [10. cikk (2) bekezdés] hogy az Europol "feldolgozhat adatokat annak eldöntése céljából, hogy ezek az adatok fel-
- 275/276 -
adatai szempontjából fontosak-e." Az nagyon fontos mozzanat a Véleményben, miszerint a fenti "megfogalmazás nem elég pontos, gyakorlatilag magában rejti a mindenféle meghatározatlan célú feldolgozás veszélyét." Ugyanakkor, és ez a biztos apparátusának hozzáértéséről tanúskodik:[31] a biztos "... tisztában van azzal, hogy a személyes adatokat olyan szakaszban kell feldolgozni, amikor az Europol feladatának végrehajtása szempontjából fennálló jelentőségük megállapítására még nem került sor. Biztosítani kell azonban azt, hogy az olyan személyes adatok feldolgozása, amely jelentőségének értékelésére még nem került sor, szigorúan a jelentőség értékelésének céljára korlátozódjon, amely értékelést ésszerű határidőn belül kell végezni, emellett biztosítani kell azt is, hogy - amennyiben a jelentőség ellenőrzésére nem kerül sor - az adatok bűnüldözési céllal ne kerüljenek feldolgozásra:"
Befejezésül, még azt látszik fontosnak kiemelni a Véleményből, hogy adatvédelmi szempontból kardinális kérdés az olyan adatok védelme a hatóságoknál, amik magánszervezetektől érkeznek.
Ahogy a témák szerinti csoportosítást indokoló részben, fentebb, jeleztük bizonyos rendszerek (SIS,[32] VIS és Eurodac,[33] illetve az azonnal tárgyalásra kerülő Ecris[34]) egy osztályt alkotnak a felmerülő szabályozási problémákat illetően. Mindenekelőtt talán azt érdemes leszögezni, hogy "nem a tagállamokon belüli információcseréről van szó."[35] Maga a nyilvántartási rendszer az e-igazságügyi stratégia egyik komponense.[36] Az ECRIS, amúgy, osztott információtechnológiai rendszer, és három elemből épül
- 276/277 -
fel: a tagállamok bűnügyi nyilvántartási adatbázisai, a közös kommunikációs infrastruktúra és az összeköttetést biztosító szoftver.[37] A jogszabály, mármint a megalkotásra kerülő tanácsi határozat nem hoz létre központi európai adatbázist, és nem írja elő a más tagállamok bűnügyi nyilvántartási adatbázisaihoz való közvetlen hozzáférést, másrészt azonban nemzeti szinten centralizálja a felelősségi köröket a tagállamoknak a tanácsi kerethatározat 3. cikkének értelmében kijelölt központi hatóságai révén. Ez a mechanizmus írja a biztos - a minimálisra csökkenti a személyes adatok tárolását és cseréjét, ugyanakkor pontosan meghatározza a központi hatóságok felelősségét. E mechanizmus értelmében a tagállamok felelősek a nemzeti bűnügyi nyilvántartási adatbázisok működéséért és az információcsere hatékonyságáért. Hasonlóképpen ők felelősek az összeköttetést biztosító szoftverért.[38] Nagyon úgy látszik, hogy a kockázatok abból adódnak, amikor az ítélethozatal szerinti tagállam és az adott személy állampolgársága szerinti tagállam, tehát a küldő és a fogadó tagállam által rögzített adatok nem naprakészek és nem azonosak.
Már fentebb szó volt a korai figyelmeztető és gyorsreagáló rendszerről (EWRS), tanulmányozást érdemelnek a rendszerre vonatkozó adatvédelmi iránymutatások.[39] Mint az ismert már 1998-ban határozat született a fertőző betegségek[40] járványügyi felügyeleti és ellenőrzési hálózatának létrehozásáról.[41] Az Early Warning Response System szabályait módosító bizottsági határozat aztán külön biztosítékokat vezetett be arra, hogy amennyiben a fertőző betegségekhez kapcsolódó olyan eseményre kerül sor, aminek uniós vonzata is lehet úgy a tagállamok az érintkezést nyomon követő eljárások során a fertőzött és a feltehetőleg veszélyeztetett személyek azonosítása céljából személyes adatokat közölhessenek egymással. Az EWRS - a határozat Melléklete szerint - olyan központi mechanizmus szerepét hivatott betölteni, amely lehetővé teszi a tagállamoknak,
- 277/278 -
hogy riasztásokat küldjenek az Uniót érintő lehetséges egészségügyi veszélyt jelentő eseményekről, továbbá információkat osszanak meg egymással, és azokra időben, biztonságos módon és összehangoltan válaszoljanak. Ugyanakkor a Melléklet 2. pontja megjegyzi: "..az iránymutatások nem nyújtanak teljes áttekintést Az EWRS-sel kapcsolatos valamennyi adatvédelmi kérdésről." Továbbá az összeállítók hangsúlyozzák: "... ezek az iránymutatások nem jelentik az uniós adatvédelmi jog hiteles értelmezését, mivel az Unió intézményrendszerében az uniós jogértelmezés feladata kizárólagosan a Bíróság hatáskörébe van utalva." Az alkalmazandó jog a hatályos nemzeti jog az illetékes EWRS-hatóságok számára a személyes adatok tekintetében. [A nemzeti jogok hasonlítanak egymásra, mindegyik alapja a 95/46/EK irányelv, de nem teljesen azonosak. Az érintetteknek szolgáltatandó információk részletessége az adatgyűjtés időpontjában, valamint az egyének személyes adatainak meghatározott kategóriáira, például személyes adatok, a vonatkozó feldolgozási szabályok jelentősen eltérnek a tagállamok között.] Végül is, az EWRS-en keresztül cserélt információk nem mindegyike személyes természetű, de nyilvánvalóan a többségük az. A személyes adatról az iránymutatás nem mond többet, mint a 95/46/EK irányelv és a 45/2001/EK rendelet, azaz személyes adat az azonosított vagy azonosítható természetes személyre [ebben a zsargonban: az érintettre] vonatkozó információ. Az azonosítható személynek az a meghatározása, hogy az olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziólógiai, mentális, gazdasági, kulturális vagy társadalmi identitásra vonatkozó egy vagy több tényezőre való utalás révén.[42] Jól látszik az adatvédelmi szempontból méltányolandó cél az anyagból: azonosítani a fertőzött és a potenciálisan veszélyben lévő személyeket miáltal lehetővé válik megakadályozni a súlyos fertőző betegségek terjedését. Az ilyen együttműködés - állapítja meg a Melléklet szövege - magában foglalhatja az EWRS-ben történő adatcsere révén személyes, ideértve az érzékeny egészségügyi adatok cseréjét a megerősített vagy gyanús emberi esetekről az érintkezést nyomon követő intézkedések által közvetlenül érintett tagállamok között. A dokumentum tárgyalja a személyes adatok
- 278/279 -
feldolgozásának tárgykörét és külön azt, hogy az adatok feldolgozása milyen jogszabályi alapokon nyugszik. Ezek közül nagyon konkrét az a megállapítás, ami így hangzik: "Az EWRS-ben az egyénekre vonatkozóan az érintkezés nyomon követéséhez szükséges adatok cseréje szempontjából a 95/46//EK irányelv 7. cikkének c), d) és e) pontjában megállapított feltételek a leginkább relevánsak (például a fertőzött személy elérhetősége, szállítás és a személy utazási útvonalával és szálláshelyeivel kapcsolatos egyéb adatok, meglátogatott személyekre és a fertőzésnek potenciálisan kitett személyekre vonatkozó információk)." [Egyébként: a "009/547/EK bizottsági határozattal, a 200/57/EK határozatba bevezetett módosítások eredménye volt az, hogy az EWRS-be a "fertőzöttekkel való érintkezés nyomon követésére szolgáló" adatok bevitele céljából a személyes adatok feldolgozásának törvényes céljai tisztázottak lettek.] Elvileg - szögezi le az anyag - az érintett tagállamok között a fertőzött személyek, valamint azon személyek személyes adatainak cseréjére, akiket a fertőzés közvetlen veszélye fenyeget, azért van szükség, hogy megfelelő ellátást, illetve kezelést kaphassanak, valamint az érintett személyek és általában az uniós polgárok egészségének védelme érdekében elszigetelés és karantén céljából lehetővé váljon felkutatásuk és azonosításuk." Jól látszik, hogy a korai figyelmeztető és gyorsreagáló rendszer közös adatkezelésen alapul. Mindegyik EWRS-szereplő külön felhasználója a rendszernek, bár a megosztott információkhoz való hozzáférés a rendszerben már moduláltan történik a különböző felhasználói profilok és a "szelektív" kommunikációs csatornák létrehozása révén, amelyek megfelelő garanciát jelentenek az alkalmazandó adatvédelmi szabályoknak való megfelelés biztosítására - írja a dokumentum.[43] Majd így folytatja: "Alapvetően az azonosított vagy azonosítható természetes személyek semmilyen egészségügyi vagy más személyes adatát nem közvetítik az általános üzenetközvetítő csatornán. A rendszerbe különleges biztosítékokat vezettek be, hogy ezen a csatornán meg lehessen akadályozni a jogszerűtlen adatfeldolgozást. A 2009/547/EK határozattal módosított 200/57/EK határozat 2. a) cikke arra nézve vezetett be biztosítékot, hogy az egyének érintkezést követő és egészségügyi adatait kizárólag az érintkezést nyomon követő adott eljárásban közvetlenül érintett tagállamokra korlátozzák és a hálózat többi tagállama, illet-
- 279/280 -
ve a Bizottság továbbá a European Centre for Disease Prevention and Control [ERDC, ami szintén egy független ügynökség] ezekhez az adatokhoz ne férhessen hozzá. Ebből a célból az EWRS-be "szelektív üzenetközvetítő csatornát építettek be, amely kizárólagos kommunikációs csatornát biztosít az érintkezést nyomon követő adott intézkedésben érintett tagállamok között. A szelektív üzenetközvetítő csatornán keresztül személyes információk megosztásával az illetékes hatóságok a személyes adatok feldolgozása tekintetében az adatkezelő szerepét veszik át, így ők vállalják a felelősséget a feldolgozási tevékenységek jogszerűségéért. Ezen a ponton merül fel, mert említésre került, az a kérdés, hogy itt ki minősül adatkezelőnek. [Az irányelv alkalmazásában adatkezelő az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának célját és módját.[44]] A Bizottság és az ECDC felhasználói elvileg nem férnek hozzá a szelektív üzenetközvetítő csatornán megosztott személyes adatokhoz. (Csak rendkívüli esetben vonható be a Bizottság a személyes adatoknak a szelektív csatornán keresztüli megosztásába, és kizárólag akkor, ha ez elengedhetetlen az előírt közegészségügyi intézkedések[45] és ezek végrehajtási szabályainak időben történő és hatékony végrehajtásának egyeztetéséhez vagy lehetővé tételéhez.) Technikai okokból azonban az EWRS-ben a központi adattárolás végső soron a Bizottság mint rendszergazda és koordinátor feladata. Ebben a minőségében a Bizottság felelős az EWRS jogosult felhasználóinak azon személyes adatainak a nyilvántartásáért, tárolásáért és további feldolgozásáért, amelyek a rendszer működéséhez szükségesek. Az EWRS ezért egyértelmű példa a
- 280/281 -
közös adatkezelésre - állapítja meg a határozat Melléklete[46] -, "...amikor az adatvédelem felelőssége különböző szinteken megoszlik a Bizottság és a tagállamok között. Annál inkább, mivel 2005 óta a Bizottság és a tagállamok adatkezelői minőségükben úgy döntöttek, hogy az EWRS informatikai alkalmazásának napi működését az ECDC-re ruházzák, amely ezt a feladatot a Bizottság nevében végzi."
Ha az EWRS tanulmányozása adatvédelmi szempontból tanulságos volt, akkor a Schengeni Információs Rendszeré még inkább az lesz. Az, hogy a jogtechnikai problémák a Schengeni Egyezmény kapcsán komoly politikai lett Hollandia és Románia között (a román elnök nyolc hónapja nem fogadja az új holland nagykövetet, hogy az átadhassa megbízólevelét) mutatja, hogy a határellenőrzésként számon tartott, valamikori kormányközi megállapodáshoz kapcsolódó adatvédelmi problémák: a nemzeti hatóságok hozzáférési jogosítványai a figyelmeztető jelzésekhez, az Europol és az Eurojust hozzáférésének kérdése ehhez a rendszerhez, milyen nagyságúvá tudják kinőni magukat.
A Schengeni Információs Rendszer nagyléptékű informatikai rendszer, voltaképpen a térségen belüli belső határellenőrzések megszüntetése idején, mintegy kiegyenlítő intézkedésként hozták létre. A rendszer az illetékes nemzeti hatóságok számára lehetővé teszi azon információk cseréjét, amelyeket személyek és tárgyak külső határoknál vagy a nemzeti területeken történő ellenőrzésekor, illetőleg a vízumok és tartózkodási engedélyek kiállításakor használnak fel. Az alábbiakban a második generációs Schengeni Információs Rendszerről [SIS II[47]] lesz szó. A rendszer beállításához a Bizottság három javaslatot terjesztett elő. Az egyik egy rendelet, ami vízummal, a menedékjoggal kapcsolatos bevándorlással foglalkozik. A másik pedig egy határozat, amely szabályozza a rendszer igénybevételét a büntetőügyekben folytatott rendőrségi és igazságügyi együtt-
- 281/282 -
működés keretében. A harmadik is rendeletjavaslat, ami viszont a járművek nyilvántartásáért felelős hatóságoknak a rendszeradatokhoz való hozzáférésével foglalkozik. A SIS II egy központi adatbázist tartalmaz, amelyet Központi Schengeni Információs Rendszernek [CS-SIS] neveznek. A CS-SIS-hez [Central System-Schengen Information System] a Bizottság olyan operatív irányítást biztosít, ami minden tagállam által külön-külön meghatározott országos hozzáférési pontokhoz kapcsolódik. Az ún. SIRENE hatóságok (valamennyi tagállamban azonos nevű SIRENE iroda [bureau] elnevezést kapták) fontosabb feladatai a következők: a SIS körözésekhez köthető bűnügyi információcsere; folyamatos 24 órás elérhetőség; a hazai elrendelésű schengeni körözések adatminőségének ellenőrzése; az ún. találat-kezelést követő intézkedéssorozat nemzetközi koordinációja; az ilyankor szükséges információk továbbítása. Ezek az eljárások igazodnak az egyes schengeni körözési kategóriákhoz, azaz: a) elfogás (európai vagy nemzetközi elfogatóparancs alapján, valamint az ezt követő átadás/kiadatás teljes rendőri szervezése; b) schengeni beutazási és tartózkodási tilalom érvényesítése; c) eltűnt személyek körözésével, megtalálásával kapcsolatos rendőri teendők; d) tartókodási hely körözésével (megállapításával) kapcsolatos teendők; e) leplezett megfigyeléssel kapcsolatos információátadás és végül tárgyak (például gépjárművek) schengeni körözésének, lefoglalásának elősegítése. A SIS II szélesebb körű hozzáférést tesz lehetővé a SIS-hez az Europol, az Eurojust, a tagállamok ügyészségei, a jármű forgalmi engedélyeket kiállító hatóságok számára, továbbá a figyelmeztető jelzéseket összekapcsolja, illetőleg új adatkategóriákkal egészíti ki a rendszert, így biometrikus adatokkal (ujjlenyomat, fénykép), valamint a Vízuminformációs Rendszerrel megosztandó technikai felületet hoz létre. A biztosnak az a véleménye (1.2.4.1.), hogy a biometrikus adatok alkalmazásának hatásait jobban végig kellett volna gondolni. A Vélemény más tárgykörökben is fogalmaz meg aggályokat, így például: olyan hatóságok kerülhetnek közel az adatbázishoz, amelyek tevékenysége nem illeszthető a szabályok meghatározta célrendszerhez. Elmosódottnak véli a szabályozásban a tagállamok és a Bizottság közötti hatáskörmegosztást is. Jó megfigyelése az is, hogy a 108. számú egyezmény és a 95/46/EK viszonyítva a készülő rendelethez nem lex specialisak. Nem minden alap nélküli annak a kívánságának a megfogalmazása sem, hogy"... a rendszernek kiszámíthatónak kell lennie, azaz kellő bizonyos-
- 282/283 -
ságot lehessen szerezni arról, hogy a tagállamok nemzeti szinten miként dolgozzák fel az adatokat.[48] Egyébként, a Vélemény erősen szembe megy a tagállamok azon törekvésével, hogy az adatok felhasználására nézve olyan rendelkezéseket hozzanak, amik nem szerepelnek a SIS II szövegeiben. Ezért is javasolta, hogy, hogy a Schengeni Egyezmény 102. cikk (4) bekezdésével azonos szöveget vegyenek bele a javaslatokba; ti. a rendelet 21. cikkébe és a határozat 40. cikkébe. Az is egy önálló álláspontja a biztosnak, hogy "... a biometrikus adatok természetüknél fogva érzékeny jellege a SIS II javaslatokban nem szereplő külön biztosítékokat igényel."[49] Peter Hustinx (a biztos) szerint a hangsúlyt az adatok minőségének javítására kell helyezni és nem az interoperabilitásra [amire az államok helyezik a hangsúlyt]. Ezt a követelményt többször előhozza véleményében Hustinx. Egyszer általánosan: a rosszul azonosított személyek méltóságát védve; egyszer pedig nagyon konkrétan: "2004. júniusában egy portlandi ügyvéd két hétre börtönbe került, mert ujjlenyomatát az FBI-nak sikerült egy, a madridi bombamerénylet után (a detonátort tartalmazó műanyagzacskó) talált ujjlenyomattal azonosítani. Végül kiderült, hogy az összehasonlítási folyamatba hiba csúszott, ami téves értelmezéshez vezetett. A fentiekből látható, a biztos folyamatosan támadja a biometrikus adatokra való túlzott támaszkodást. Másrészt az is, hogy a hozzáférési jogosultságokat szigorítaná. Amellett tör lándzsát, hogy a SIS II adatokhoz való hozzáférés szükségességét az illető hatóságnak kellene bizonyítania. Az érintettekkel kapcsolatosan[50] újból hangsúlyozza a velük kapcsolatos méltányos bánásmód fontosságát, a tájékoztatáshoz való jogukat, az adatmegőrzés korlátozottságához való igény elismerését, valamint azt, hogy segítségért az adatvédelmi hatósághoz fordulhassanak és erről a lehetőségről az állampolgároknak tudomásuk legyen. Többször előkerül az anyagban a biztos ama határozott véleménye, hogy "...a tájékoztatáshoz való jognak nem lehet feltétele az érintett kérelme. [Ez egyébként nagyon érdekes, ti. a tájékoztatáshoz való jog, gondolva arra, hogy annak terjedelme más jogágban is vita alatt áll, megérne a téma egy önálló vizsgálódást.] Jól látja a biztos, hogy a jogot általánossá kellene tenni, és a kivételeket lehetne kodifikálni; például azt az esetet, ha
- 283/284 -
az érintett tartózkodási helye ismeretlen vagy az információnyújtás ugyan nem lehetetlen, de aránytalanul nagy erőfeszítést igényel(ne).
A vízuminformációs rendszer a viták középpontjába került, amikor más nemzeti hatóságok is elkezdtek érdeklődni iránta. Magyarázatként elég annyit mondani, hogy a VIS-t nem bűnüldöző eszköznek fejlesztették ki, hanem olyan információs rendszernek, amely az európai vízumpolitika alkalmazásának szolgálatába áll. Egy idő után azonban a Tanácsban ülő miniszterek a VIS kezdték emlegetni azt a tényt, hogy a belső biztonságért felelős szervek nem rendelkeznek hozzáféréssel a VIS-hez. [Megjegyezzük: Ugyanez volt a problémájuk a SIS II és az Eurodoc adataival összefüggésben.] A miniszterekkel ellenkező állásponton lévő adatvédelmi biztos[51] azzal érvelt, hogy a 95/46/EK irányelv 13. cikke szerint a hozzáférés meghatározott cél esetén, meghatározott körülmények között és jogi biztosítékok mellett engedélyezhető, de sohase rendszeresen. A vita után kialakult kompromisszum a következő elemekből áll: csak meghatározott bűncselekmények esetén lehetséges a hozzáférés; a tagállamok megadják azon hatóságok jegyzékét, amelyek a hozzáférési jogosultsággal élhetnek; tagállamonként csak egy hozzáférési hely lesz; szigorú szabályok fognak születni az adatok további átvitelére és végül: az adatok megtekintésére felhatalmazott felelős személyekről az Europol és a tagállamok nyilvántartást fektetnek fel.
Ebben a tárgykörben végül is arról van szó, hogy személyes adatok milyen feltételekkel hagyhatják el az Unió területét. A joganyagban meglepően sok ország szerepel, mindegyik megállapodást most nem idézzük, illusztrációként csak a Bizottság egyik határozatát[52] citáljuk. Nemzetközi
- 284/285 -
adatvédelmi téren a Parlament is aktív.[53] [Most ahogy leírtuk látjuk, milyen esetlen az Európai Unióhoz a "nemzetközi" szót használni, hiszen az Unió maga is nemzetek szövetsége.] Egyébként, nyilvánvalóan mindig arról van szó, hogy valamely nem Uniós országban megfelelő-e az adatvédelem.[54] 2001-ben már született egy joganyag[55] az unióból (akkor még Közösségből) kifelé irányuló adatáramlások megkönnyítésére. Ez egy általános szerződési feltételek volt (mintacsomag), hogy kellő biztosítékokat nyújtson az adatoknak harmadik országokba történő továbbításához. Ily módon az adatkezelők az adatok továbbítását az adatvédelmi szabályok egyetlen csomagja szerint végezhetik - volt a megfontolás. Aztán 2004-ben[56] finomítottak az elgondoláson, mégpedig úgy, hogy a jogalkotó készített két csomagot és az adatkezelők számára lehetővé tette a határozat mellékletében szereplő I. és II. csomag közötti választást. "A feltételeket azonban nem változtathatják meg, illetve nem vonhatnak össze egyes feltételeket vagy csomagokat."[57]
A nem EU tagállamok adatvédelmének témája önmagában is érdekes, de még érdekesebbé válik, ha azon keresztül kerül a vizsgálódás célpontjába, hogy hogyan viszonyul az Európai Unió adatvédelmének normáihoz. Mondjuk, például előttünk van az Egyesült Államok adatvédelmi szabályozási struktúrája és az Európai Unióé, de miként rendezik az eltéréseket - vetődik fel a kérdés. A két nagyhatalom közötti viszonyt több
- 285/286 -
(jog)forrás[58] és jogeset[59] rendezi; e források közül különösen figyelmet érdemlő Robert Pitotsky az Egyesült Államok Szövetségi Kereskedelmi Bizottsága elnöke által írt levél az Európai Unió Bizottsága XV. Főigazgatósága igazgatójának, John Moggnak, amiből jól látszik milyen is lehet egy harmadik, EU-n kívüli ország adatvédelmi rendszere, egy olyan államé, ahova eljuthatnak bármely európai polgár adatai. A levél, amelyet a Hivatalos Lap is leközölt, végeredményben a Bizottság határozatának[60] V. melléklete. Továbbá: egy többszörös levélváltás záróakkordja és annak bizonyítása, hogy az adatok áramlása kapcsán nem sérül a "biztonságos kikötő amerikai elve, így ezáltal az európaiak adatvédelme sem, mert a Federal Trade Commission szélesen értelmezi a Törvény (mármint a Federal Trade Commission-ra vonatkozó törvény, továbbiakban FTC-törvény) 5. szakaszát, amely tiltja a "tisztességtelen vagy félrevezető cselekményeket vagy gyakorlatot", hogy az adatvédelem teljes legyen. Azzal, hogy "teljes" azért csínján kell bánni, mert ugyan a tisztességes hitelinformációról szóló törvény vonatkozik az internetes adatgyűjtésre és értékesítésre, de csak annyiban, amennyiben ezek (ti. az adatgyűjtés és az értékesítés) megfelelnek a törvényben meghatározott "fogyasztói jelentés"
- 286/287 -
és "fogyasztói tájékoztatási ügynökség" fogalmának. Ugyanakkor tényleg: az az értelmezés, pontosabban törvényszöveg,[61] miszerint "félrevezető gyakorlat" az olyan nyilatkozat, mulasztás vagy gyakorlat, amely jelentős mértékben félre tudja vezetni az értelmes fogyasztót; illetve az, amely szerint tisztességtelen a gyakorlat, ha a felhasználónak jelentős kárt okoz vagy valószínűleg okozhat, ami ésszerűen nem elkerülhető, és a fogyasztót vagy a versenyt kiegyenlítő előnyökkel nem kárpótolja - nem mondható alkalmatlannak az adatvédelemmel összefüggő jogellenes magatartások üldözésére. A chairman, Pitotsky, egyfelől biztosítja az európai igazgatót, hogy az FTC elsőbbséggel kezeli az EU-tagállamokból érkező megkereséseket (ha azok a "biztonságos kikötő" elveinek nem teljesítésével kapcsolatosak), másfelől eseteket ismertet hivatala működéséből.
Az első bemutatott esetben (GeoCities-ügy) azért lépett fel a hatóság, mert a GeoCities (mint később kiderült - hamisan) úgy nyilatkozott, hogy bizonyos, a honlapjukon keresztül gyűjtött személyazonosító adatokat csak belső célokra vagy a fogyasztók felé reklámajánlatok megtételére, általuk kért termékek és szolgáltatások biztosítására használnak, és további "nem kötelező" információt a fogyasztó hozzájárulása nélkül nem adják ki harmadik félnek.
Másodjára pedig azzal hívta fel magára a hatóság figyelmét a cég, mert félrevezető gyakorlatot alkalmazott adatok megszerzéséhez - gyermekektől. A Bizottság ebben az ügyben gyermekek személyes adatainak online gyűjtéséről hozott határozatot. A Liberty Financial Companies Inc. üzemeltette a Young Investor weboldalt, amely gyermekeknek és tizenéveseknek szólt, pénzzel, illetve befektetésekkel kapcsolatos témákról. A bizottság szerint a weboldal hamisan állította, hogy a gyerekek körében végzett felmérés keretében gyűjtött adatok névtelenek maradnak és a résztvevőknek e-mail hírlevelet, illetve nyereményeket küldenek. Valójában a gyermekre és a család pénzügyi helyzetére vonatkozó adatok azonosíthatóak maradtak, és sem hírlevelet, sem nyereményeket nem küldtek. A megegyezéses megállapodás a jövőre nézve megtiltja az ilyen jellegű hamis állításokat és előírja a cég számára, hogy gyermekeknek szóló weboldalakon adatvédelmi értesítést helyezzen el, továbbá: kérje a szülő bizo-
- 287/288 -
nyítható beleegyezését az előtt mielőtt a gyermekektől személyazonosító adatokat kér.[62]
A harmadikban (ReverseAuction.com-eset) egy online aukciós oldal egy versenytárs weboldaláról (eBay.com) szerezte meg a fogyasztók azonosítható személyi adatait, akiknek aztán kéretlenül, félrevezető e-mail üzeneteket küldött és üzleti adataikat kérdezte.[63] A hatóság azon érvelés alapján lépett fel a cég ellen, hogy az hamisan nyilatkozta, hogy elfogadja eBay felhasználói megállapodását és adatvédelmi politikáját - ami az 5. szakasz értelmében félrevezető gyakorlat. Az amerikai hatóság vezetője igyekszik meggyőzni az európai félt, hogy olyan instrumentumok birtokában van, amelyek lehetővé teszik az európaihoz hasonló védelmét az átküldött adatokénak. Nem könnyű megítélni, hogy tényleg minden Európából Amerikába átküldött adat biztonságban van-e, ugyanis - írja az elnök - "...ha valamely fuvarozó vállalkozás [légitársaság, utazási iroda] nem őrzi meg az utasoktól kapott információ titkosságát, ez önmagában nem minősül, ez önmagában nem minősül a [49 U. S. C.] 41712 szakasza megsértésének. Azonban amennyiben a fuvarozó vállalkozás nyilvánosan és hivatalosan elkötelezi magát a megszerzett fogyasztói információ titkosságának védelmét biztosító "biztonsági kikötő" elvek mellett, a minisztérium [ti. a Kereskedelmi] jogosult arra, hogy éljen a 41712 szakaszban kapott hatósági jogkörével az elvek betartásának biztosítására. Amennyiben tehát az utas információt közöl egy olyan fuvarozóval, amely vállalta a "biztonságos kikötő" elvek követését, akkor az elvek be nem tartása a fogyasztónak valószínűleg kárt okozna és a 41712. szakasz megsértésének bizonyulna. Hivatalom nagy fontosságot tulajdonít minden ilyen állítólagos tevékenység kivizsgálásának és az ilyen tevékenységre valló esetekben eljárás folytatásának. ezen túlmenően tájékoztatjuk a Kereskedelmi Minisztériumot minden ilyen eset végeredményéről."
Egy kicsit egyszerűbb a helyzet a harmadik országokba történő adattovábbítás és a személyes adatok védelme tárgykörében - Svájccal, mert ebben az esetben hamar oda jutott az Unió,[64] hogy megfelelő a védelem
- 288/289 -
személyes adatoknak Svájcba jutása esetén, noha Svájc nem is szövetségi csak konföderációs állam. Az indokolás szerint azért [a határozat 5. pontja], mert "a svájci konföderáció tekintetében a személyes adatokra vonatkozó jogi normák kötelező jogi hatállyal rendelkeznek mind szövetségi [a svájci adatvédelmi törvény 1993. július elsején lépett hatályba], mind kantonális szinten." A törvény a szövetségi szervek és a magánszektor egésze által végzett személyesadat-feldolgozásra, illetve a kantonális szervek által a szövetségi jogszabályok alapján végzett adatfeldolgozási műveletekre vonatkozik, amennyiben az ilyen adatfeldolgozás nem tartozik az adatvédelemről szóló kantonális rendelkezések alá." A kantonokat illetően a határozat további magyarázattal szolgál [8. pont a határozatban]: " A legtöbb kanton adatvédelmi jogszabályokat fogadott el azokon a területeken - különösen az állami kórházakra, az oktatásra, a közvetlen kantonális adókra és a rendőrségre vonatkozóan - amelyek hatáskörükbe tartoznak. A többi kantonban az ilyen adatfeldolgozásra szabályozó jellegű jogi aktusok vagy a kantonális esetjog elvei vonatkoznak. Bármi is a kantonális rendelkezések forrása és tartalma, illetve, ha nem is léteznek kantonális rendelkezések, a kantonoknak ragaszkodniuk kell az alkotmányos elvekhez. A hatáskörükbe tartozó területeken a kantonális hatóságok továbbíthatnak személyes adatokat a környező országok hatóságai részére, főként fontos közérdek védelmét szolgáló kölcsönös jogsegély céljából, vagy állami kórház esetében, az érintettek létfontosságú érdekeinek védelme céljából." A megfelelő védelem melletti érvként megemlíti a határozat, hogy Svájc 1997-ben ratifikálta az Európa Tanács az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezményét (108. egyezmény).
A fentiekből világosan látszik, hogy az uniós jogot áthatja az adatvédelmi szabályozás szelleme, amiben semmi misztikus nincs, hiszen a magánélet védelmét szabályozó normákból vezetődik le, mind az európai adatvédelmi biztos beavatkozó tevékenysége, mind az igazságszolgáltatásé. Kialakult
- 289/290 -
egy egységes adatvédelmi politika a jogszabályok eredményeképpen az európai intézményeknél, szerveknél biztosan, aminek jellemzője, hogy az adatokat marketing célra nem továbbítják harmadik személynek, az adatokat maximum 4 évre őrzik meg és mindenkinek joga van a téves adatai kijavításához, amire a lehetőséget, rendszerint már az adatok kérésénél biztosítják az elérhetőség megadásával, például: eurlex-helpdesk@publications.europa.eu .
Az is tetten érhető, hogy adatvédelemért felelős személyek és szervek elkezdték magukat abba az irányba tolni, ahol a nemzeti bankok és vezetőik vannak, tulajdonképpen semmi más nem történik, mint lecsapódik egy folyamat ezen a területe is; Európa elmegy a konföderáció és a föderatív irányba, miközben, természetesen erős hangja van a nemzeti önállóságnak - egyszerre két irányzat van jelen. Jól mutatja ezt a C-301/06 számú ügy,[65] amelyben Írország keresetében azt kérte, hogy a Bíróság semmisítse meg a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15-i 2006/24/EK európai parlamenti és tanácsi irányelvet (HL L 105., 54. old.), mivel azt nem megfelelő jogalapon fogadták el. [Megjegyzendő, hogy Írország keresetét támogatta a Spanyol Királyság és a Holland Királyság és a Szlovák Köztársaság.] A keresetben Írország arra hivatkozott, hogy az EK 95. cikknek a 2006/24 irányelv jogalapjául történő választása alapvető tévedés volt. Írország álláspontja szerint a 2006/24 irányelv (7)-(11) és (21) preambulum-bekezdésének, valamint az említett irányelv lényeges rendelkezéseinek, különösen 1. cikke (1) bekezdésének vizsgálata bizonyítja, hogy az EK 95. cikk az említett irányelv jogalapjaként alkalmatlan és igazolhatatlan. Az említett irányelv - folytatódik tovább az ír érvelés - ugyanis egyértelműen bűncselekmények elleni küzdelemre irányul. A szlovák érvrendszer a fentiekhez azt tette hozzá, hogy "...a személyes adatoknak a 2006/24 irányelv által előírt megőrzése a magánszemélyeket az EJEE 8. cikke alapján megillető magánélet tiszteletben tartásához való jog gyakorlásába történő beavatkozáshoz vezet. Kétségbe vonható, hogy ilyen
- 290/291 -
jelentős mértékű beavatkozás igazolható-e gazdasági indokokkal, jelen esetben a belső piac hatékonyabb működésével. Megfelelőbb megoldást jelent, ha azon aktus elfogadására, amelynek fő és nem rejtett célja a bűnözés és a terrorizmus elleni küzdelem, a Közösség hatókörén kívül kerül sor, ami helyénvalóbb igazolását kínálja a magánélet tiszteletben tartásához való jogba történő beavatkozásnak." A két nemzetállam érvelésével szembe a Parlament az állította, hogy "...a 2006/24 irányelv fő célja a tagállamok által a szolgáltatásnyújtók részére előírt adatmegőrzési kötelezettségek harmonizálása." Fentebb érintettük az adatmegőrzés idejének problémáját, látható, hogy az Unión belül megnyugtatóan rendeződött gyakorlatilag a probléma, az más kérdés, hogy a nemzetállamoké eltérő. A Parlament érvelésében volt igazság: "...az új keletű aggodalmak késztették a tagállamokat a hírközléshez kapcsolódó adatok törlésének megakadályozását és a bűnüldöző szervek részére történő rendelkezésre állásuk biztosítását szolgáló intézkedések elfogadására." A Bíróság elutasította Írország keresetét, a felperes hiába hivatkozott a fent tárgyalt Parlament kontra Tanács és Bizottság ügyre.
Jól látszik, két nagy ügycsoport van az adatvédelmi jogon belül, az egyik az Unión belüli adatvédelem, ha az adatok a nemzetállamok között áramolnak, és a másik, ha az adatok elhagyják az Uniót. Közben ugyan egy külön síkon folyik a küzdelem az adatok "tisztán tartásáért", ha a hozzáférés célja nem a bűnözés és a terrorizmus elleni harc. Természetesen nem könnyű elhatárolni a különböző síkokat: "...a személyes adatoknak a közhatalmi szervek által a közbiztonság biztosítása érdekében létrehozott keretnek megfelelő továbbítását érintő 2004/496 határozattól eltérően ugyanis a 2006/24 irányelv a belső piacon működő szolgáltatásnyújtók tevékenységére vonatkozik, és nem tartalmaz szabályozást a közhatalmi szervek bűnüldöző tevékenységeit illetően."[66]&9632;
* * *
- 291/292 -
by Endre Ferenczy
The study discusses the effect of European Union institutions on the data protection. Firstly the author overviews the subjects wherein in the EU institutions make rules. In the second place the paper enumerates the institutions of EU and the legal sources. The essay examines the interconnection between the privacy and the data protection. In the third place the author analyses the obligations of the European institutions. The study investigates a new field of acquis communautaire: data protection in the information systems, for example, facebook. ■
- 292 -
JEGYZETEK
*A munka szakmai tartalma kapcsolódik a "Minőségorientált, összehangolt oktatási és K+F+I stratégia, valamint működési modell kidolgozása a Műegyetemen" c. projekt szakmai célkitűzéseinek megvalósításához. A projekt megvalósítását az Új Széchenyi Terv TÁMOP-4.2.1/B-09/1/KMR-2010-0002 programja támogatja.
[1] Az adatvédelem külföldi szabályozása. Jogtudományi Közlöny, 2010. 3. 135-146.; Az elektronikus joggal foglalkozó szakirodalomról. Magyar Jog, 2010. 7. 403-410.; Az elektronikus jogra vonatkozó külföldi nézetekről (tátrsszerző: Török Gábor). In: Ünnepi tanulmányok Sárközy Tamás 70. születésnapjára. Lectum, Szeged, 2010. 103-122.
[2] Mint ismert az információs társadalom leírására, az adminisztrációt megelőzve, a szakirodalomban került sor; CASTELLS, M.: The information age: economy, society and culture. (Vol 1.: The Rise of network society. Vol. 2.: The Power of idetity. Vol. 3.: End of millennium. Blackwell. Oxford, 1996. 1504. old. A tudásalapú társadalomról. TOFFLER, A.: Les nouveaux pouvoirs: Savoirs, richesse et violence à la veille du XXe siècle. Fayard, Paris, 1991. 658. Az Unió intézményei nem tudományos műhelyek, hanem szabályozó hatóságok, ezért lemaradásukat az események mögött, hogy úgy mondjuk, a piac mindig beárazza és ez így van az adatvédelem esetében is.
[3] POLLIT, Ch. et al.: Agencies. How governments do things through semi-autonomous organisations. New York, Palgrave MacMillan. 2005. 304.
[4] HAJNAL Gy.: Adminisztratív politika a 2000-es évtizedbe. Az ügynökség-típusú államigazgatási szervek strukturális dinamikája 2002 és 2009 között. Politikatudományi Szemle, 2011. 3. 54-74.
[5] SOLOVE, J. D.: The Digital Person: Technology and Privacy in the Information Age. GWU Law School Public Law Research Paper. 2004. No. 121. 286. BALKIN, M. J.: Digital Speech and Democratic Culture. A Theory of Freedom of Expressin for Information Society. New York University Law Review, Vol 79, No. 1, 2004, Yale Law School, Public Law Working Paper No. 63.
[6] Például ilyen dokumentum, amiből ez megismerhető: i2010 európai információs társadalom a növekedésért és a foglalkoztatásért vagy i2010: első éves jelentés az európai információs társadalomról. COM/2006/0215 végleges.
[7] A Bizottság Közleménye a Tanács, az Európai Parlament az Európai Gazdasági és Szociális Bizottság és a Régiók Bizottsága részére: Globális együttműködés felé az információs társadalomban: a genfi alapelvek átültetése a gyakorlatba - bizottsági javaslatok az Információs Társadalom Csúcstalálkozó (WSIS) második szakaszához COM(2004) 0480.
[8] A magánélet védelme az összekapcsolódó világban 21. századi európai adatvédelmi keret. COM(2012) 9 final.
A magánéletre vonatkozó, az Uniót kötő jogforrások a következőek: Az emberi jogokról szóló európai egyezmény (8. cikk), 1950. az Európa Tanács jogalkotása; az Európai Unió Alapjogi Chartája (7. és 8. cikk valamint az 52.); az EU-Szerződés 6. cikk (2) bekezdése és végül: az Európa Tanács-i 108. egyezmény (1981. január 18.).
[9] Az Európai Unió Bíróságának a C-92/09 és a C-93/09 számú, a Volker und Markus Schecke és Eifert egyesített ügyekben hozott [2010. november 9.] ítélete, amelyben megállapította: a személyes adatok védelméhez való jog nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni.
[10] Uo. 8.
[11] Az Európai Parlament és a Tanács 2001/29/EK irányelve az információs társadalomban a szerzői és szomszédos jogok egyes vonatkozásainak összehangolásáról.
[12] A Bizottság jelentése az Európai Parlamentnek és a Tanácsnak COM(2011) 249.
[13] Uo. 5.
[14] Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról.
[15] Javaslat: az Európai Parlament és a Tanács rendelete az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról szóló 460/2004/EK rendeletnek az Ügynökség megbizatási ideje tekintetében történő módosításáról. COM(2010)0520 végleges.
[16] Az európai adatvédelmi biztos véleménye az Európai Hálózat- és Információbiztonsági Ügynökségről (ENISA) szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról. 52011XX0401(04).
[17] 45/2001/EK 22. és 35. cikk.
[18] 2002/58/EK 4. és 5. cikk.
[19] Irányelv az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról. Hivatalos Lap I.108, 202.4.24. 33. old.
[20] Proposal for Regulation of the European Parliament and of the Counsil concerning the European Network and Information Security Agency (ENISA). COM(2010) 0521 final.
[21] Az Európai Parlament, a Tanács és a Bizottság 1247/2002/EK határozata (2002. július 1.) az európai adatvédelmi biztos feladatainak ellátására vonatkozó szabályokról és általános feltételekről. 32002D1247.
[22] HL 2002.7.12. 43.
[23] A Tanács 1074/1999/EURATOM rendelete (1999. május 25.) az Európai Csalásellenes Hivatal (OLAF) által folytatott vizsgálatokról.
[24] Az Eurojust személyes adatok feldolgozására és védelmére vonatkozó eljárási szabályzatával kapcsolatos rendelkezések (az Eurojust kollégiumának 2004. október 21-i ülésén egyhangúlag elfogadott és a Tanács által 2005. február 24-én jóváhagyott szöveg. 32005Q0319(01).
[25] Uo. 10. cikk, mely arról rendelkezik, hogy maga az adatfeldolgozás titkos és minden személyt, akit az Eurojuston belüli vagy az Eurojusttal végzett munkára kérnek fel - szigorú titoktartási kötelezettség köti.
[26] Uo. 2. cikk (3) bek.
[27] Az Eurojust (24. cikk) olyan automatizált ügyviteli rendszert hoz létre, amely lehetővé teszi a nemzeti tagok számára, hogy a feldolgozás alatt lévő személyes adatokat egy korlátozott hozzáférésű, ideiglenes munkafájlban tárolják, illetve, hogy azokhoz - vagy bizonyos részeihez - más, a fájlhoz kapcsolódó ügyben érintett nemzeti tag (tagok) részére a hozzáférést.
[28] Javaslat az Európai Rendőrségi Hivatal létrehozásáról. COM(2006) 817 végleges.
[29] Az európai adatvédelmi biztos véleménye az Európai Rendőrségi Hivatal (Europol) létrehozásáról szóló tanácsi határozati javaslatról. 52006XX1027 (02).
[30] A Tanács 2002. június 13-i kerethatározata az európai elfogatóparancsról és a tagállamok közötti átadási eljárásokról. HL L 190., 2002.2.7. 18.
[31] Vélemény 20. pont.
[32] Vö.: Az európai adatvédelmi biztos véleménye a Schengeni Információs Rendszer második generációjával (SIS) kapcsolatos három javaslatról szóló 2005. október 19-i véleményét. HL C 91., 2006.4.19.
[33] A VIS és az Eurodac olyan rendszerek, amelyek teljes mértékben a közösségi jog hatálya alá esnek.
[34] Az európai adatvédelmi biztos véleménye a "2008/.../IB kerethatározat 11. cikke alkalmazásában az Európai Bűnügyi Nyilvántartási Információs Rendszer (ECRIS) létrehozásáról szóló tanácsi határozati javaslatról. HL C 42, 2009.2.20. 1-6.
[35] Uo. 5. old. 29. pont.
[36] Uo. 2. old. 10. pont.
[37] Uo. 3. old. 14. pont.
[38] Uo. 3. old. 16. pont.
[39] A Bizottság ajánlása (2012.február 6.) a korai figyelmeztető és gyorsreagáló rendszerre vonatkozó adatvédelmi iránymutatásokról. 32012H0073. (A Bizottság konzultációkat folytatott az adatvédelmi biztossal az ajánlás kiadása előtt.)
[40] Fertőző betegségek a korábbi SARS, a pandémiás A(H1N1) és azok, amelyeket a 2119/98/EK határozat mellékletében felsorol, a hálózat csak ezekkel foglalkozik.
[41] 2119/98/EK (1998.szeptember 24.) európai parlamenti és tanácsi határozat. HL L 268., 1998.10.3.
[42] A 95/46/EK irányelv 2. cikkének a) pontja és a 45/2001/EK rendelet 2. cikkének a) pontja.
[43] Melléklet, 36.
[44] 95/46/EK 2. cikk d) pontja.
[45] A közegészségügyi intézkedések meghozatalának rendjéről a fertőző betegségek járványügyi felügyeleti és ellenőrzési hálózatáról szóló 2119/98/EK határozat rendelkezik a következő betegségek esetében: védőoltással megelőzhető betegségek; nemi úton terjedő betegségek, vírusos májgyulladás, élelmiszer útján terjedő betegségek, víz útján terjedő betegségek és környezeti eredetű betegségek, nizokomiális fertőzés, nem szokványos kórokozó tényezők által terjesztett egyéb betegségek, ideértve a Creutzfeldt-Jacob kórt is, a nemzetközi egészségügyi rendelkezésekben szereplő betegségek, így a sárgaláz, kolera és pestis, egyéb betegségek, mint a veszettség, tífusz, vírusos eredetű vérzéses lázas megbetegedések, malária és minden más, eddig be nem sorolt betegség. Ilyen esetben a Bizottság feladata, hogy a feldolgozás jogszerűen történjen és megfeleljen a 45/2001/EK rendelet előírásainak.
[46] Uo. 37.
[47] Az Európai Adatvédelmi Biztos véleménye a Schengeni Információs Rendszer második generációjának (SIS II) létesítéséről, működtetéséről és felhasználásáról (COM (2005) 230 végleges) szóló tanácsi határozatról; a Schengeni Információs Rendszer második generációjának (SIS II) létesítéséről, működtetéséről és felhasználásáról szóló európai parlamenti és tanácsi rendeletjavaslatról, és a járművek forgalmi engedélyének kiadására hatáskörrel rendelkező tagállami szolgálatoknak a Schengeni Információs Rendszer második generációjához (SIS II) való hozzáféréséről [COM(2005) 237 végleges] szóló európai parlamenti és tanácsi rendeletjavaslatról HL C 91 (2006.4.19.) 38-56.
[48] Uo. 42.
[49] Uo. 4.1. pont.
[50] Uo. 49. old. 6. pont.
[51] Az Európai Adatvédelmi Biztos véleménye a vízuminformációs rendszerhez (VIS) a tagállamok belső biztonságáért felelős hatóságai valamint az Europol számára a terrorcselekmények és egyéb súlyos bűncselekmények megelőzése, felderítése és kivizsgálása érdekében, konzultációs céllal történő hozzáférési javaslatról COM (2005) 600 végleges. 52006XX0425(01).
[52] A Bizottság egyik határozata (2004. április 28.) a személyes adatok Man-szigeteken biztosított megfelelő szintű védelméről (értesítés a C(2004) 1566. számú dokumentummal történt) EGT vonatkozású szöveg. 32004D0411.
[53] Például: European Parliament resolution of 5 May 2010 on the launch of negotiations for Passenger Name Record (PNR) agreements with the United States, Australia and Canada. HL 2011/C 81 E/12, 15.3.2011. 70-74.
[54] Például: 2006/253/EK: A Bizottság határozata (2005. szeptember 6.) a Kanadai Határszolgálati Ügynökség rendelkezésére bocsátott, a légiutasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről (értesítés a C(2005) 3248. számú dokumentummal történt) EGT vonatkozású szöveg). HL L 91, 2006.3.29. 49-60.
[55] A Bizottság határozata (2001. június 15.) a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (az értesítés a C(2001) 1539. számú dokumentummal történt) EGT vonatkozású szöveg. HL L 181., 2001.7.4., 19-31., magyar különkiadás 26. kötet 347-360.
[56] 2004/915/EK: A Bizottság határozata (2004. december 27.) a 2001/497/EK határozat módosításáról a személyes adatoknak harmadik országokba irányuló továbbadására vonatkozó alternatív általános szerződési feltételek bevezetéséről (az értesítés a B(2004) 5271 számú dokumentummal történt) EGT vonatkozású szöveg. HL L 385 2004.12.29. 74-84.
[57] A 2001/497/EK határozat (1) bekezdésébe bekerült mondatrész szövege.
[58] Megállapodás az Amerikai Egyesült Államok és az Európai Közösség között a polgári repülés biztonságának szabályozásában történő együttműködésről. HL L 291., 2011.11.9., 3-44; Az Európai Adatvédelmi Biztos véleménye Tanácsi határozatra irányuló javaslat az Európai Unió és az Amerikai Egyesült Államok között az Európai Unióból származó pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program (TETP II) céljából történő feldolgozásáról és az Amerikai Egyesült Államok részére való átadásáról szóló megállapodás megkötéséről. HL C 355., 2010.12.29. 10-15.
[59] C-317/04. és C-318/04 egyesített ügyek: A Bíróság (Nagytanács) 2006. május 30-i ítélete - Európai Parlament kontra Európai Unió Tanácsa. Az Ítéletben a Bíróság a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17-i 2004/496/EK tanácsi határozatot és az Egyesült Államok Vámügyi és Határirodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14-i 2004/535/EK bizottsági határozatot megsemmisítette. (Az utóbbi határozatot 2006. szeptember 30-ig, ezen belül is legfejlebb a megállapodás megszűnéséig azonban hatályban tartotta.)
[60] A Bizottság határozata (2000. július 26.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott "biztonságos kikötő" adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatosan gyakran felvetődő kérdésekről az értesítés a C(2000) 2441. számú dokumentummal történt. HL L 215., 2000.8.25. 7-47.
[61] 15 U.S.C. § 45. (n).
[62] Lásd: www.ftc.gov/opa/1999/9905/younginvestor.htm honlapon.
[63] Lásd: ReverseAuction.com, Inc., 000032 számú polgári per (D.D.C.) www.ftc.gov/opa/2000/01/reversed4.htm honlapon.
[64] A Bizottság határozata (2000. július 26.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján, a személyes adatok Svájcban biztosított megfelelő védelméről (az értesítés a C(2000) 2304. számú dokumentummal történt) EGT vonatkozású szöveg. HL L 215, 2000.8.25. 1-3.
[65] Írország kontra Európai Parlament és az Európai Unió Tanácsa, EBHT 2009 I-593.
[66] C-301/06. számú ügy, 91. pont
Lábjegyzetek:
[1] Ferenczy Endre, tudományos főmunkatárs, MTA TK Jogtudományi Intézete, 1014 Budapest, Országház u. 30. E-mail: ferenczy@jog.mta.hu
Visszaugrás