Az Európai Közösségek Bírósága 2006. május 30-án született ítéletében[1] megsemmisítette a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17-i 2004/496/EK tanácsi határozatot,[2] valamint az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légiutasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14-i 2004/535/EK bizottsági határozatot[3] (a továbbiakban: megfelelőségi határozat). A bizottsági határozatot azonban 2006. szeptember 30-áig - de legkésőbb a Tanácsi megállapodás megszűnéséig - hatályban tartja.[4] Az alábbiakban az ügy körülményei, jogi kérdései kerülnek bemutatásra.
Az Egyesült Államok röviddel a 2001. szeptember 11-i terrortámadásokat követően olyan jogszabályokat fogadott el, amelyek az Egyesült Államok területére, területéről vagy területén keresztül járatot indító légi utasszállítókat arra kötelezik, hogy az Egyesült Államok vámhatóságainak elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a "Passenger Name Records"-nak nevezett utasnyilvántartási adatállományokhoz (a továbbiakban: PNR-adatok).[5] A vonatkozó amerikai jogszabályok előírták, hogy a légitársaságok - legyen szó akár amerikai, akár harmadik országban honos légitársaságról - kötelesek hozzáférést biztosítani a PNR-adatokhoz az Egyesült Államok Vámügyi és Határvédelmi Irodája részére (United States Bureau of Customs and Border Protection, a továbbiakban: CBP).[6] A Bizottság elismerte ugyan a szóban forgó biztonsági érdekek legitimitását, azonban már 2002 júniusában tájékoztatta az Egyesült Államok hatóságait, hogy e rendelkezések ellentétesek lehetnek a tagállami adatvédelmi jogszabályokkal, illetve a közösségi jogi normákkal, különös tekintettel az 1999. február 8-i 323/1999/EK rendelettel[7] módosított, a számítógépes helyfoglalási rendszerek ügyviteli szabályzatáról szóló, 1989. július 24-i 2299/89/ EGK tanácsi rendelet[8] egyes rendelkezéseire. Az Egyesült Államok hatóságai - erre reagálva - ugyan elhalasztották az előbbiekben említett új rendelkezések hatálybalépését, továbbra is fenntartották azonban annak jogát, hogy a PNR-adatokhoz való elektronikus hozzáférésről szóló jogszabályoknak 2003. március 5. után meg nem felelő légitársaságokkal szemben szankciókat alkalmazhassanak. Ezen időponttól kezdve számos európai unióbeli nagy légitársaság hozzáférést engedett e hatóságoknak a PNR-adataihoz.
Az Európai Közösségek Bizottsága a tájékoztatást követően tárgyalásokat kezdett az Egyesült Államok hatóságaival, mely tárgyalások eredményeként született - a későbbiekben a megfelelőségi határozat mellékletében megjelenő - dokumentum, amely a CBP kötelezettségvállalásait tartalmazza (a továbbiakban: kötelezettségvállalás). A megfelelőségi határozat későbbi jogalapjául a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi Irányelv (továbbiakban: Irányelv)[9] 25. cikk (6) bekezdése szolgált, mely felhatalmazza a Bizottságot, hogy harmadik ország(ok)ról megállapítsa, azok megfelelő védelmet biztosítanak az egyén magánéletének, jogainak és szabadságainak védelme vonatkozásában. Az előbbi kötelezettségvállalással valamint a megfelelőségi határozat-tervezettel összefüggésben az Irányelv 29. cikkével a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport (a továbbiakban: munkacsoport) több kritikai észrevételt is megfogalmazott. A munkacsoport - 2002. október 24-ei véleményében - kételyeit fejezte ki egyebek között a jogalap helyes megválasztását illetően, szorgalmazva ezen kérdés Uniós szintű rendezését.[10] A munkacsoport ezen érvelését későbbi - 2003. június 13-ai - véleményében[11] is megismételte. A 2003-as vélemény aggodalmát fejezte ki továbbá a kötelezettségvállalás jogi kötelező érvényével összefüggésben (az amerikai fél vonatkozásában), kiemelte továbbá a "pull" és "push"-rendszerek közötti lényeges eltérést az alapvető jogok védelme szempontjából (az előbbi alapján az adat kikérője - jelen esetben az Egyesült Államok megfelelő hatósága - közvetlen hozzáféréssel bír az egész adatbázishoz, míg a "push"-rend-szernél maga az adatgyűjtő - jelen esetben a légitársaságok - állítják össze az átadásra kerülő adatcsomagokat); az adatgyűjtés célhoz kötöttségének problematikáját (különös tekintettel a CBP kötelezettségvállalásának 3. pontjában szereplő "egyéb súlyos bűncselekmények" kategória túlzott általánosságára utalva), a különleges adatok és az adatbázisban rögzített valamennyi PNR adat átadását, valamint az érintett jogorvoslati és helyreigazítási jogának érvényesíthetőségét felsorolva, mint további megfontolásra érdemes területeket. A 2003-as vélemény megemlítette továbbá, hogy az amerikai jogszabályok nem teszik kötelezővé az Egyesült Államok hatóságai részére a PNR adatok bekérését, sem az ilyen adatok rendszeres lekérését nem írják elő. Ennek megfelelően - a munkacsoport véleménye szerint az Egyesült Államok hatóságai jogkörüket igen kiterjesztően értelmezik.[12] A munkacsoport 2004. január 29-ei véleményében megismételte továbbá azon álláspontját, miszerint a "push"-rendszer bevezetése nélkül nem képzelhető el az Irányelvnek megfelelő alapjogi védelem[13] valamint ismételten leszögezte, hogy a kötelezettségvállalás önmagában (kihirdető nyilatkozat nélkül) nem bír kötelező jogi érvénnyel az Egyesült Államok hatóságai részére.[14]
Megjegyzendő, hogy a Bizottság a kötelezettségvállalás kötelező érvény problémáját (legalább részlegesen) orvosolta a 44. pont megszövegezésével, mely szerint a CBP megalkotja az ahhoz szükséges jogi normákat, ami alapján ha (a CBP) alkalmazottai megszegik a kötelezettségvállalásban foglaltakat, úgy az fegyelmi, illetve büntetőjogi intézkedéseket vonhat maga után.[15] Ezzel szemben, a munkacsoport véleményével ellentétes megfogalmazás található a kötelezettségvállalás 13. pontjában, mely szerint a CBP mindaddig a "pull" rendszert használja (azaz a szolgáltatók rendszeréhez közvetlenül hozzáférve, maga hívja le a PNR
- 172/173 -
adatok teljességét) amíg a közösségi szolgáltatók nem alakítják ki a "push"-rendszerhez szükséges feltételeket.[16]
Ezt követően a Bizottság 2004. március 1-én a Parlament elé terjesztette a megfelelőségi határozat tervezetét (mellékelve hozzá a CBP kötelezettségvállalásainak tervezetét), melynek jogalapjául az Irányelv 25. cikk (6) bekezdését jelölte meg (ld. korábban). A Bizottság 2004. március 17-én az EK 300. cikk (3) bekezdésének első albekezdése szerinti konzultáció végett[17] ugyancsak megküldte a Parlamentnek az Egyesült Államokkal kötendő megállapodás megkötéséről szóló tanácsi határozat iránti javaslatot. A Tanács 2004. március 25-i levelében az előbb idézett EK cikkben lefektetett sürgősségi eljárásra utalva azt kérte, hogy a Parlament legkésőbb 2004. április 22-ig adjon véleményt e javaslatról.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás