3. SZÁMÚ MUNKADOKUMENTUM

Átírás

1 EURÓPAI PARLAMENT Állampolgári Jogi, Bel- és Igazságügyi Bizottság SZÁMÚ MUNKADOKUMENTUM az Unióban és az Egyesült Államokban folytatott megfigyelési gyakorlatok és az uniós adatvédelmi rendelkezések közötti kapcsolatról Állampolgári Jogi, Bel- és Igazságügyi Bizottság Előadó: Claude Moraes Jan Philipp Albrecht (társszerző) DT\ doc PE v01-00 Egyesülve a sokféleségben

2 1. Tömeges megfigyelési gyakorlatok az Európai Unióban és az Egyesült Államokban Amint azt az NSA korábbi alvállalkozója, Edward Snowden révén napvilágot látott információk nyomán megállapítást nyert, illetve azóta számos újságírói vizsgálat és jelentés révén kiegészítésre került és megerősítést nyert, több tagállam és harmadik ország rendelkezik az elektronikus kommunikáció hírszerző ügynökségek általi tömeges megfigyelését célzó programmal. 1 A napvilágra került információk közül a hírszerző ügynökségek néhányat megerősítettek, de az érintett ügynökségek nagyrészt nem voltak hajlandók állást foglalni, illetve azt közölték, hogy a dokumentumokat félreértelmezték. Az Egyesült Államok, az Egyesült Királyság, Svédország, Franciaország és Németország rendelkezik az ahhoz szükséges eszközökkel, hogy az internetes gerinckábeleket rácsatlakozzon, és egy bizonyos ideig a forgalom egészét (ún. full take, NSA és GCHQ), illetve egy részét (FRA, DGSE, BND) rögzítse, és beszámolók szerint emellett legalábbis Hollandia is dolgozik egy ilyen programon. A gerinckábelekhez való hozzáférés vagy jogszerű adatszerző eszközök és szabványosított interfészek révén 2, vagy a száloptikai kábelekre közvetlenül rácsatlakozva, azok meghajlításával vagy megtoldásával történik 3. Médiabeszámolók szerint legalább az Egyesült Államok és az Egyesült Királyság is rendelkezik az ahhoz szükséges eszközökkel, hogy jogosulatlan hozzáférés révén hozzáférjen bizalmas számítógépes és távközlési rendszerekhez, ideértve esetleg az uniós intézmények kommunikációs szolgáltatójához való hozzáférést is. Egyes állítások szerint az NSA olyan programmal is rendelkezik, amely a széles körben használt titkosítási eszközökbe aktívan ún. hátsó kapukat ( backdoors ) épít be annak érdekében, hogy a lehallgatott forgalom és adat legnagyobb részét olvasni tudja. 4 A számítógépes eszközökön többek között távoli számítógépes létesítményekeben (számítási felhőkben) tárolt és feldolgozott adatokhoz való hozzáférést különböző hírszerző programok valósítják meg, ezek közül legkiemelkedőbb az NSA PRISM programja, amelynek alapját a FISA törvényben és az USA PATRIOT törvényben foglalt jogi rendelkezések képezik. Emellett legalább az Egyesült Államok és az Egyesült Királyság harmadik országokbeli nagykövetségei, konzulátusai és katonai létesítményei rendelkeznek a GSM-hálózatok, többek között az állam- és kormányfők lehallgatását célzó elektromágneses 1 Lásd a DG INPOL C. Tematikus Főosztálya által a LIBE különleges vizsgálatához kapcsolódóan megrendelt két tanulmányt: Az Egyesült Államok megfigyelési programjai és azok hatása az uniós polgárok alapvető jogaira, PE , szeptember, illetve A személyes adatok tömeges megfigyelését célzó nemzeti programok az uniós tagállamokban és azok uniós joggal való összeegyeztethetősége, PE , október. 2 Vö. az AT&T San Franciscó-i kapcsolólétesítményének titkos 641A terme, ld. Whistle Blower s Evidence, Uncut, Wired, május 22., a GCHQ Tempora programja, ld. A GCHQ száloptikai kábeleket csapol meg a világ kommunikációjához való titkos hozzáférés céljából, The Guardian, június 21., a évi német távközlés-megfigyelési rendelet. E szabványok meghatározásáért az Európai Távközlési Szabványügyi Intézet (ETSI) Jogszerű Adatszerzési Szemináriuma felel. 3 Az Egyesült Államok haditengerészete egy speciális tengeralattjáróval, az USS Jimmy Carterrel rendelkezik, amelynek révén ezt a tenger alatti kábeleken el lehet végezni. 4 Az NSA Titkosításelemző és -hasznosító Szolgálata: Bullrun projekt besorolási útmutató az NSA titkosító programjához, megjelent: PE v /11 DT\ doc

3 adatszerző eszközökkel. 1 Az e programok által begyűjtött, nyers személyes adatokat az Öt szem megállapodás értelmében az Egyesült Államok, az Egyesült Királyság, Kanada, Ausztrália és Új-Zéland hírszerző szervei ömlesztve osztják meg egymással. 2 Ezen országok és más tagállamok között eltérő mértékben léteznek más információmegosztási megállapodások is. Míg a legtöbb esetben e tömeges megfigyelés a vonatkozó törvényeket szigorúan értelmezve kizárólag külföldi személyek kommunikációja esetében megengedett, léteznek gyakorlatok e korlátozás megkerülésére, például azáltal, hogy igen alacsony mércét állapítanak meg akkor, amikor a kommunikáció alanya külföldi voltának valószínűségét meghatározzák (pl. az Egyesült Államok FISA törvényében a relevancia kritériumának tág értelmezése révén), vagy hogy az internetet jellegénél fogva külföldinek nyilvánítják (amint az a német BNDről a közelmúltban kiderült 3 ), illetve hogy az ügynökségek kicserélik egymás közt az egymás állampolgárairól gyűjtött adatokat. 4 Ez a megfigyelési tevékenységek jellegzetesen transznacionális jellegére és a kizárólag nemzeti ellenőrzési szervek korlátaira világít rá. Mindezen napvilágra került információk súlyos aggodalmakat vetettek fel ezen intézkedéseknek az Unió elsődleges és másodlagos adatvédelmi joga, a kiberbiztonságra és a számítástechnikai bűnözésre vonatkozó jog, az Európa Tanács keretében fennálló kötelezettségek, valamint az uniós jognak az Unió és a tagállamok hatáskörének határait is érintő, szélesebb körű rendelkezései szerinti jogszerűségével kapcsolatban. A következő szakaszokban azon kihívásokat fejtjük ki, amelyeket az Egyesült Államok és több uniós tagállam tömeges megfigyelési gyakorlatai jelentenek az uniós jogra és különösen az uniós adatvédelemre nézve. 2. Az uniós és az európai adatvédelmi jog Elsődleges jog: A tagállamok jogi rendszerének összeegyeztethetőnek kell lennie az Európai Unióról szóló szerződés 6. cikkében és az Európai Unió Alapjogi Chartájában rögzített alapvető jogokkal és alapvető jogelvekkel. Az adatvédelem az Alapjogi Charta 8. cikke szerinti, kötelező erejű alapvető jog, amely az Emberi Jogok Európai Egyezményének 8. cikkét tükrözi, és az EUMSZ 16. cikkében foglalt egyedi jogalapon nyugszik: Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.. Az alapvető jogok különleges védelmet élveznek, és a jogszabályokban előírt egyéb jogoknál szigorúbb biztosítékok vonatkoznak rájuk. 1 James Ball: Az NSA a világ 35 vezetőjét hallgatta le, miután egy amerikai hivatalnok átadta a kapcsolattartási adataikat, The Guardian, október 25., 2 Az UKUSA Megállapodásként is ismert Öt szem megállapodás létezését már a magán- és kereskedelmi jellegű közlések elfogására szolgáló globális rendszer (Echelon lehallgatórendszer) létezéséről szóló európai parlamenti állásfoglalás is megerősítette (A5-0264/2001, ). Lásd még: Az NSA június 24-i sajtóközleménye: Az UKUSA Jelekre vonatkozó hírszerzési megállapodásról szóló, feloldott minősítésű dokumentumok elérhetők: 3 Fakt, ARD német televízió, november 12., a kézirat elérhető a címen. 4 James Ball: Az Egyesült Államok és az Egyesült Királyság titkos megállapodást kötött arról, hogy lehetővé teszi az NSA számára a britek személyes adatainak feloldását, The Guardian, november 20., DT\ doc 3/11 PE v01-00

4 Az Emberi Jogok Európai Bíróságának (EJEB) tekintélyes ítélkezési gyakorlattal rendelkezik, amelyben rögzíti a végrehajtó és hírszerző szervek által folytatott titkos megfigyelő tevékenységek jogszerűségét és legitimitását meghatározó normákat. Az EJEB a magánélet védelméhez és az adatvédelemhez való joggal kapcsolatos ítélkezési gyakorlata konkrétan kihangsúlyozza azt az ezen intézkedésekben rejlő veszélyt, hogy a demokrácia védelmének ürügyén aláássák vagy akár lerombolják a demokráciát, és megerősítette, hogy a szerződő államok a kémkedés és a terrorizmus elleni küzdelem nevében nem fogadhatnak el akármilyen, általuk megfelelőnek ítélt intézkedést 1. Az EJEB ítélkezési gyakorlata rögzíti, hogy azon bűncselekmények és tevékenységek esetében, amelyekre vonatkozóan egyértelmű és pontos módon nemzetbiztonsági megfigyelés rendelhető el, a törvénynek egyértelműen meg kell határoznia, hogy a megfigyelés a személyek mely kategóriáira terjedhet ki, és az időtartamot minden megfigyelés esetén szigorúan korlátozni kell, valamint az EJEE szerinti jogokba való, állítólagosan jogellenes beavatkozás eseteire hatékony jogorvoslatot kell biztosítani. A tagállamok hangsúlyozták, hogy a hírszerző megfigyelési gyakorlatok tekintetében nem létezik uniós hatáskör, mivel a közrend fenntartása és a nemzetbiztonság védelme az ő kizárólagos hatáskörükbe tartozik. Mivel azonban az uniós adatvédelmi jogban vannak nemzetbiztonsági kivételek (részletesen lásd alább), a Parlament részéről is egyértelművé kell tenni, hogy a nemzetbiztonság mit jelent, és hogy a nemzetbiztonságra való hivatkotással hozott intézkedések mennyiben esnek az Unió elsődleges és másodlagos adatvédelmi jogának hatályán kívül. Adatvédelmi jog: A magán- és a közszférára vonatkozó adatvédelem általános szabályait a 95/46/EK irányelv 2 határozza meg. A 2008/977/IB kerethatározat 3 határozza meg az adatoknak a Unió belső határain átnyúló megosztása esetén a bűnüldöző ágazatra vonatkozó adatvédelmi szabályokat. A jelenlegi uniós adatvédelmi jog a célhoz kötöttség és az adatminimalizálás elvén, valamint az érintett jogain alapul, amely magában foglalja többek között az adatok feldolgozásáról való tájékoztatáshoz és az az ellen való tiltakozáshoz, a saját személyes adatokhoz való hozzáféréshez való jogot és azt, hogy az érintettet jelentős mértékben érintő határozatokat nem lehet automatizált módon meghozni. A tagállamok által végzett tömeges megfigyelésre vonatkozó adatvédelmi korlátozások: A 95/46/EK irányelv 13. cikke értelmében a tagállamok kizárólag akkor fogadhatnak el jogszabályokat e jogok körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges: a) nemzetbiztonság; b) honvédelem; c) közbiztonság; d) 1 Klass és mások kontra Németországi Szövetségi Köztársaság, Emberi Jogok Európai Bírósága, szeptember 6. (A. sorozat, 28. szám). 2 Az Európai Parlament és a Tanács október 24-i 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról 3 A Tanács november 27-i 2008/977/IB kerethatározata a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről PE v /11 DT\ doc

5 bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket; f) a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység; g) az érintett, vagy mások jogainak és szabadságainak védelme.. A nemzetbiztonság itt az uniós tagállamokra, nem pedig harmadik országra vonatkozik. Gyakorlati szempontból nehezen határolható el a közbiztonságtól, amely viszont nem esik az Unió hatáskörén kívül. Tekintélyes ítélkezési gyakorlat áll rendelkezésre, amely korlátozza a nemzetbiztonság fogalmát, és amely szerint e tekintetben a kormányzati szervek által hozott bármely intézkedésnek a jogállamiság alapelvei szerint arányosnak is kell lennie. Azon esetekben, amikor magánvállalkozások továbbítanak személyes adatokat nemzetbiztonsági célból a nemzeti hírszerző ügynökségeknek, e továbbítást és a nemzeti hírszerző szolgálatok általi további feldolgozást az EUSZ 4. cikke szerinti nemzeti kivétel szerint lehetne vizsgálni. A nemzeti hírszerző szolgálatok által benyújtott kérelemnek azonban tiszteletben kell tartania az EUSZ 2. cikkét, és teljes mértékben meg kell felelnie az EJEE-nek és a jogállamiság elvének. A harmadik államok által végzett tömeges megfigyelésre vonatkozó adatvédelmi korlátozások: A harmadik országok nemzetbiztonsága a hatályos adatvédelmi jog szerint nem szolgálhat mentesség alapjául. Ezért az európai személyes adatok elvben védelmet élveznek az ilyen mentességekkel szemben a harmadik országoknak való továbbítás esetén, így például a személyes adatok Egyesült Államoknak való átadásáról szóló, évi védett adatkikötő határozat 1 előírja, hogy az érintettek jogainak bármely korlátozása kizárólag a nemzetbiztonság, a közérdek vagy a bűnüldözés szempontjából szükséges mértékben megengedett. Amennyiben valamely harmadik ország nem biztosítja a személyes adatok védelmének megfelelő szintjét, az uniós jog szerint két mód van az adatok Unióból ilyen országokba való továbbításának megakadályozására vagy megszakítására: a) a Bizottság egyoldalúan felfüggesztheti a megfelelőségi besorolást; b) a nemzeti adatvédelmi hatóságok leállíthatják a személyes adatok továbbítását. Ezt a Védett adatkikötő megállapodás 3. cikkének (1) bekezdése is kimondja, amely a 95/46/EK irányelv 25. cikkének (3) bekezdésén alapul. 2 A Bizottság a közelmúltban 13 ajánlást tett közzé a Védett adatkikötő megállapodás javítása céljából, többek között annak biztosítására, hogy a Védett adatkikötő megállapodásban foglalt nemzetbiztonsági mentességet kizárólag a feltétlenül szükséges mértékben és arányos módon lehessen alkalmazni. 3 A személyes adatok harmadik országoknak való továbbítására vonatkozó uniós rendszer alapvetően a védelem folytonosságának elvén alapul annak elkerülése érdekében, hogy az 1 A Bizottság július 26-i 2000/520/EK határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott biztonságos kikötő adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről (C(2000)2441 számon közzétett dokumentum). 2 Vö. Franz C. Mayer: Mit Europarecht gegen die amerikanischen und britischen Abhöraktionen? Teil 1: NSA, nsa. 3 A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak a védett adatkikötő működéséről az uniós polgárok és az EU-ban letelepedett vállalatok szempontjából, COM(2013)0847, DT\ doc 5/11 PE v01-00

6 adatok Unióban biztosított védelme megszűnjön, sérüljön vagy azt megtagadják pusztán amiatt, hogy az adatokat harmadik országnak továbbítják. A szabályok és az elfogadott mechanizmus célja e követelmény biztosítása. Ezt már a 95/46/EK irányelv rögzítette, és a jelenlegi, rendeletre és irányelvre irányuló javaslatok ezt az elvet még egyértelműbbé teszik. Az irányelv a bűnüldözési tevékenységek tekintetében is javít majd a helyzeten, mivel az ezen ágazatra alkalmazandó adatvédelmi jogi keretben nagyobb konvergenciát hoz létre. A harmadik országoknak való továbbítás esetében mindig szükséges a célhoz kötöttség tiszteletben tartása, és a személyes adatokat a harmadik országban kizárólag a konkrét, meghatározott és jogszerű célra lehet feldolgozni, és ezzel nem összeegyeztethető módon nem dolgozhatók fel tovább. Ez bármely továbbítás előfeltétele, akár a Bizottság megfelelőségi határozatán, akár az uniós adatkezelő és az importőr által létrehozott szerződéses megállapodáson alapul. A harmadik országnak továbbított adatok hírszerzési célú további feldolgozása nem megfelelő cél, és szükségszerűen az előírt kötelezettségek alóli kivételnek minősülne. Ezért annak összhangban kell állnia a 95/46/EK irányelv 13. cikke szerinti mentességek rendszerével. 1 Ami a személyes adatok ömlesztett kategóriáinak feldolgozásán alapuló tömeges megfigyelést és a hírszerzési tevékenységeket illeti, azok az országok, amelyekben az állami hatóságok információkhoz való hozzáférésére vonatkozó hatásköre meghaladja az emberi jogok védelmének nemzetközileg elfogadott normái által megengedett mértéket, a továbbítás tekintetében nem minősülnek biztonságos rendeltetési helynek. Az adatvédelmi reformcsomag: A fent említett két jogszabály felülvizsgálata jelenleg zajlik, az évi irányelvet egy általános adatvédelmi rendelet váltja fel, a évi kerethatározat helyébe pedig egy adatvédelmi irányelv lép. E bizottság október 21-én szinte egyhangúlag szavazta meg az előadók, Jan Philipp Albrecht és Dimitrios Droutsas tárgyalási megbízását abból a célból, hogy a Tanáccsal a jogalkotási ciklus vége előtt első olvasatbeli megállapodás jöjjön létre. A LIBE jelentései a meglévő uniós jogszabályokban rögzített jogokon alapulnak, azokat bizonyos mértékig pontosítják, és céljuk az Unión belüli jobb és egységesebb végrehajtás. A LIBE törölte a nemzetbiztonsági mentességre való kifejezett hivatkozást a rendelet hatályáról szóló 2. cikkből, azon érv alapján, hogy a nemzetbiztonsági mentesség hatálya vitatott. A LIBE jelentése egyúttal egy új, 43a. cikket is beillesztett az adatvédelmi rendeletbe annak biztosítása érdekében, hogy a harmadik országok közhatóságai vagy bíróságai általi, az Unióben tárolt és feldolgozott adatokhoz való hozzáférési kérelmeknek kizárólag akkor lehessen helyt adni, ha arra az uniós jog is jogalappal szolgál, és ha azt az illetékes európai európai adatvédelmi hatóság is jóváhagyta. Az elektronikus hírközlési adatvédelmi irányelv, a közlések bizalmas jellege és az adatok megőrzése: Az elektronikus hírközlésre vonatkozó adatvédelmet a 2002/58/EK irányelv 2 is kifejezetten szabályozza. Az 5. cikk értelmében a tagállamok nemzeti jogszabályok révén biztosítják a [ ] közlések [ ] titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon 1 Az európai adatvédelmi biztos a LIBE bizottság október 7-i meghallgatásán tartott előadása során erre az álláspontra helyezkedett. 2 Az Európai Parlament és a Tanács július 12-i, legutóbb 2009-ben módosított 2002/58/EK irányelve az elektronikus hírközlési ágazatban a személyes adatok kezeléséről és a magánélet védelméről (elektronikus hírközlési adatvédelmi irányelv). PE v /11 DT\ doc

7 történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el.. A 15. cikk (1) bekezdése értelmében a tagállamok a közlések bizalmasságát ilyen módon kizárólag akkor korlátozhatják, ha az egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E nemzetbiztonsági mentességet ismét csak nem lehet úgy tekinteni, hogy szabad kezet ad, hanem bizonyos feltételeknek meg kell felelnie. A 15. cikk ugyanakkor mint általános bevezető rendelkezés több tagállamot arra indított, hogy az adatok megőrzése tekintetében a évi adatmegőrzési irányelven 1 is túlmutató törvényeket fogadjon el. Az adatmegőrzési irányelv írországi és ausztriai alkotmányos panaszok nyomán jelenleg bírósági eljárás tárgyát képezi 2. Az elektronikus hírközlési adatvédelmi irányelv pozitív kötelezettségeket is ró a tagállamokra arra vonatkozóan, hogy megelőzzék a közlések magánszereplők általi tömeges megfigyelését. A Bíróság a Scarlet kontra Sabam ügyben hozott ítéletében kimondta, hogy egy internetszolgáltató által az ügyfelei interneten folytatott tevékenységeinek nyomon követésére alkalmazott általános megfigyelő rendszer nem áll összhangban az elektronikus hírközlési adatvédelmi irányelvvel, sem pedig az Európai Unió Alapjogi Chartájával. 3 Az uniós intézmények általi adatvédelem: A 2001/45/EK rendelet 4 a személyes adatok uniós intézmények és szervek általi feldolgozására vonatkozik. Az ügynökségek, például az Europol és az Eurojust esetében az adatvédelmi rendszert az ügynökségre vonatkozó egyedi jogi aktus határozza meg. Ezenfelül ezen ügynökségekre az általuk feldolgozott információk sajátos és érzékeny jellege folytán nagyobb felelősség hárul a harmadik országoknak való továbbításból eredő, az egyének alapvető jogait érintő súlyos és káros hatások miatt. Amennyiben az Unió vagy annak ügynökségei személyes adatokat továbbítanak harmadik országoknak, meg kell hozniuk a szükséges intézkedéseket annak biztosítására, hogy a továbbított adatokat a továbbiakban ne dolgozzák fel nem megfelelő, például hírszerzési célokra. Amennyiben tudomásukra jut, hogy az adatokat hírszerzési célokra vagy tömeges megfigyelésre használják vagy használhatják fel, meg kell hozniuk a szükséges intézkedéseket annak megelőzésére, tájékoztatniuk kell az európai adatvédelmi biztost, és szükség esetén fel kell függeszteniük a továbbítást. Aggályok merültek fel azzal kapcsolatban, hogy a nemzeti bűnüldözési szervek és esetleg a hírszerző szolgálatok és más nemzetközi partnerek általi, az Europol felé irányuló információmegosztás elmossa az EUMSZ 5. fejezet V. cikkének hatálya alá tartozó rendőrségi együttműködés és az uniós szintű hírszerzés közötti határvonalat. Ez kevés teret ad a megosztott információ fajtájának és pontos forrásának jogszerűségére és az adatvédelmi elveknek való megfelelőségére vonatkozó felülvizsgálat számára, mivel nem egyértelmű, 1 Az Európai Parlament és a Tanács március 15-i 2006/24/EK irányelve a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott adatok megőrzéséről és a 2002/58/EK irányelv módosításáról. 2 A főtanácsnoki indítvány december 12-ére várható. 3 A Bíróság (harmadik tanács) C-70/10 sz. ügyben hozott, november 24-i ítélete. 4 Az Európai Parlament és a Tanács december 18-i 45/2001/EK rendelete a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról. DT\ doc 7/11 PE v01-00

8 melyik az alkalmazandó jog, és következésképpen mely elvek alkalmazandók. Az egyes uniós tagállamok által működtetett megfigyelő programokra vonatkozó állítások azt jelzik, hogy a rendőrség, a hadsereg és a hírszerzés szereplői és gyakorlatai fokozatosan összeeolvadnak, ami jogi bizonytalanságot teremt, és az uniós ügynökségek tevékenységeibe és hitelességébe vetett bizalom hiányát hozza létre, valamint egy olyan elszámoltathatósági hiátusra mutat rá, amelyet európai szinten hatékonyan kell kezelni. Az EU és az Egyesült Államok közötti adatvédelmi keretmegállapodás: 2010 májusában az Európai Bizottság az EU és az Egyesült Államok közötti tárgyalásokra vonatkozó megbízást fogadott el egy, a rendőrségi és igazságügyi együttműködés területére kiterjedő adatvédelmi keretmegállapodással ( ernyőmegállapodással ) kapcsolatban, amelyet a Tanács december 2-án agyott jóvá. 1 A tárgyalások kezdettől fogva erőpróbát jelentettek, és több mint egy évvel ezelőtt holtpontra jutottak. A keretmegállapodás fő jelentősége abban állna, hogy megoldaná az uniós polgárok számára biztosított bírósági jogorvoslat kérdését azon esetekben, amikor személyes adataikat továbbítják az Egyesült Államoknak. Jelenleg nem áll teljes körű és kölcsönös jogorvoslat az uniós polgárok rendelkezésére, mivel az egyesült államokbeli bíróságokhoz való hozzáférés kizárólag az egyesült államokbeli polgárok (állampolgárok és állandó lakosok) számára biztosított, Ezen időszerű és sürgős kérdés mellett a tárgyalások lezárása helyreállítaná az adatok transzatlanti továbbításába vetett bizalmat is. Alapvető jelentőségű lenne, hogy a Bizottság célja, az uniós polgárok számára jogorvoslatot biztosító, ésszerű és átfogó megállapodás 2014 nyara előtt megszülessen. Az Európa Tanács 108. egyezménye: Az EU jelenleg csatlakozik az Európa Tanács Emberi Jogok Európai Egyezményéhez, amelynek már valamennyi tagállam részes fele. Az EJEE 8. cikke kimondja, hogy Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák.. Ezt még egyértelműbben rögzíti az Európa Tanács 108. egyezménye, a személyes adatok gépi feldolgozása során az egyének védelméről szóló január 28-i egyezmény, amelynek 5. cikke kimondja, hogy a személyes adatokat csak tisztességesen és törvényesen szabad megszerezni és feldolgozni, illetve csak törvényes célra szabad tárolni, és attól eltérő módon nem szabad felhasználni. A 108. egyezmény 9. cikke kizárólag abban az esetben tesz lehetővé kivételeket, ha azok szükséges intézkedések[re] egy demokratikus társadalomban, illetve ha az adatalany vagy mások jogainak vagy szabadságjogainak védelme érdekében szükségesek. Tekintélyes mennyiségű ítélkezési gyakorlat áll rendelkezésre, amely kimondja, hogy mi tartozik e korlátok közé Az adatbiztonságra és a számítógépes támadásokra vonatkozó rendelkezések Adatbiztonsági rendelkezések: Az Unió valamennyi adatvédelmi jogszabálya tartalmaz olyan rendelkezéseket, amelyek felhatalmazzák az adatkezelőt a feldolgozott személyes adatok biztonságának szavatolására. Ez magában foglalja az adatok számítógépes külső támadások elleni biztosítását és az adatok megsértése esetén az ellenőrző hatóságok és az érintett értesítését. Ebből logikusan következik, hogy a tagállamok hatóságai számára meg kellene Két eklatáns példa az S és Marper kontra Egyesült Királyság ügyben hozott ítélet (2009), amely különösen a nem gyanúsított személyek esetében lerövidítette az Egyesült Királyság DNS-adatbázisában való megőrzési időt, illetve a Gillan és Quinton kontra Egyesült Királyság ügyben hozott ítélet (2010), amely kimondta, hogy a terrorizmus elleni évi törvény értelmében a rendőrségre ruházott hatáskörök nem voltak kellőképpen meghatározva, és megfelelő jogi biztosítékok sem vonatkoztak rájuk, ezért a joggal nem állnak összhangban. PE v /11 DT\ doc

9 tiltani az ilyen támadások végrehajtását, azok helyett eseti alapon, jogszerű módon kell hozzáférést nyerniük jogszerű adatszerzés útján. Még nem világos, hogy a jelentett, a Belgacom és más távközlési szolgáltatók, pl. a SWIFT elleni támadások személyes adatok megsértésével is jártak-e, ugyanakkor mivel a Belgacom a későbbiekben elismerte, hogy lehetséges, hogy az ügyfelek személyes adataihoz hozzáfértek 1, az ügyfeleknek többek között az uniós intézmények a jelentett támadásokról való tájékoztatása céljából megelőző intézkedéseket kell kidolgozni. A számítógépes támadásokról szóló irányelv és a Budapesti Egyezmény: Az az információs rendszerek elleni támadásokról szóló új irányelv 2 idén nyáron lépett hatályba és a meglévő kerethatározat helyébe. A Budapesti Egyezmény felhatalmazza a részes feleket, hogy a számítógépes rendszerekhez való illetéktelen hozzáférést, a nem nyilvános adattovábbítás megszerzését, illetve a számítógépes adatokba és rendszerekbe való beavatkozást bűncselekménynek minősítsék. Míg a Budapesti Egyezmény egyes rendelkezései lehetővé teszik a részes felek számára, hogy jogszabályokat fogadjanak el a tartalmi adatok illetékes hatóságok általi (pl. bűnüldözési intézkedések esetén történő) megszerzéséről, ezek kizárólag az érintett ország területén alkalmazandók. Az Egyezmény hatálya nem terjed ki a közléseknek az Egyezmény valamely másik részes felének területén történő (tömeges) megfigyelésére és az információs rendszerek elleni támadásokra, és ezért ezek a Budapesti Egyezményt végrehajtó nemzeti jogszabályok, az uniós kerethatározat, illetve az új irányelv értelmében jogellenesek. Ez annál is inkább fontos, mivel az Egyesült Államok is a Budapesti Egyezmény részes fele. A LIBE bizottság a közelmúltban aggodalmának adott hangot az Európa Tanács számítástechnikai bűnözésről szóló egyezményével foglalkozó bizottságának arra irányuló munkájával kapcsolatban, hogy kiegészítő jegyzőkönyvet dolgozzon ki a tárolt számítástechnikai adatokhoz való határokon átnyúló hozzáférésről, és kifejezésre juttatta, hogy aggodalommal tölti el, hogy amennyiben sor kerül egy ilyen kiegészítő jegyzőkönyv elfogadására, annak végrehajtása azt eredményezheti, hogy a bűnüldöző hatóságok távolról korlátlanul hozzáférhetnek a más államok joghatósága alá tartozó területen található szerverekhez és számítógépes rendszerekhez, anélkül hogy igénybe kellene venniük a kölcsönös jogsegélyről szóló megállapodásokat vagy az igazságügyi együttműködés más, az egyének alapvető jogainak köztük az adatok védelméhez és a megfelelő eljáráshoz való jog garantálása céljából létrehozott eszközöket Következtetés és ajánlások 1. A tagállamok jogi rendszerének összeegyeztethetőnek kell lennie az Európai Unióról szóló szerződés 6. cikkében és az Európai Unió Alapjogi Chartájában rögzített alapvető jogokkal és alapvető jogelvekkel Az Európai Parlament és a Tanács augusztus 12-i 2013/40/EU irányelve az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról. 3 Az Állampolgári Jogi, Bel- és Igazságügyi Bizottságnak az eljárási szabályzat 50. cikke értelmében készített véleménye az Ipari, Kutatási és Energiaügyi Bizottság számára: A számítási felhőben rejlő potenciál felszabadítása Európában (2013/2063(INI)), szeptember 19., PE v DT\ doc 9/11 PE v01-00

10 2. Az adatvédelem az Alapjogi Charta 8. cikke szerinti, kötelező erejű alapvető jog, amely az Emberi Jogok Európai Egyezményének 8. cikkét tükrözi, és az EUMSZ 16. cikkében foglalt egyedi jogalapon nyugszik. 3. A tagállamokat több uniós adatvédelmi és kiberbiztonsági jogszabály köti. A továbbiakban meg kell vizsgálni, hogy bármely tömeges megfigyelési tevékenység e tekintetben sérti-e az Unió elsődleges vagy másodlagos jogát. Azt is meg kell vizsgálni, hogy a tagállamok tevékenységei sértik-e az Európa Tanács egyezményeinek és az Emberi Jogok Európai Egyezményének keretében vállalt kötelezettségeket. 4. Mivel az uniós adatvédelmi jogban vannak nemzetbiztonsági kivételek, a Parlament részéről is egyértelművé kell tenni, hogy a nemzetbiztonság mit jelent, és hogy a nemzetbiztonságra való hivatkotással hozott intézkedések mennyiben esnek az Unió elsődleges és másodlagos adatvédelmi jogának hatályán kívül. 5. A harmadik országok nemzetbiztonsága a hatályos adatvédelmi jogszabályok szerint nem szolgálhat mentesség alapjául. Az európai személyes adatok elvben védelmet élveznek e mentességekkel szemben a harmadik országoknak való továbbítás például a személyes adatok Egyesült Államoknak való átadásáról szóló, évi Védett adatkikötő határozat alapján történő továbbítás esetén. A Biztonságos kikötő megállapodás felülvizsgálata során egyértelműen korlátozni kell a lehetséges kivételek körét, a tömeges megfigyelési tevékenységeket pedig ki kell zárni. 6. Az uniós adatvédelmi reformot sürgősen le kell zárni. Miután október 21-én elfogadták a LIBE jelentéseit és tárgyalási megbízását, a Tanácsnak mielőbb el kell fogadnia tárgyalási pozícióját annak érdekében, hogy még a jogalkotási ciklus vége előtt megállapodás szülessen. Rendkívül fontos lenne az adatokhoz való, harmadik országok általi hozzáférés elleni védelemről szóló új 43a. cikk megtartása. 7. Mihamarabb le kell zárni az EU és az Egyesült Államok közötti, a rendőrségi és igazságügyi együttműködés területére vonatkozó adatvédelmi keretmegállapodásról szóló tárgyalásokat, és megfelelően rendezni kell az uniós polgárokat megillető jogorvoslat egyesült államokbeli jelenlegi hiányát. 8. Az Európa Tanács számítástechnikai bűnözésről szóló egyezményének javasolt, a tárolt számítógépes adatokhoz való határokon átnyúló hozzáférésről szóló kiegészítő jegyzőkönyve azt eredményezheti, hogy a bűnüldöző hatóságok távolról korlátlanul hozzáférhetnek a más államok joghatósága alá tartozó területen található szerverekhez és számítógépes rendszerekhez, ami elfogadhatatlan. Ehelyett bármely jegyzőkönyvnek a kölcsönös jogsegélyről szóló megállapodásokra és az igazságügyi együttműködés más, az adatok védelméhez és a megfelelő eljáráshoz való jog biztosítását célzó eszközeire kell hivatkoznia. 9. A jövőbeli Europol-rendeletnek magában kell foglalnia egy olyan cikket, amely rögzíti, hogy az EUSZ 6. cikke és az Európai Unió Alapjogi Chartája szerinti alapvető jogokat sértő módon megszerzett adatokat nem szabad feldolgozni. 10. Az egyes uniós tagállamok által működtetett megfigyelő programokra vonatkozó állítások azt jelzik, hogy a rendőrség, a hadsereg és a hírszerzés szereplői és gyakorlatai fokozatosan PE v /11 DT\ doc

11 összeeolvadnak, ami jogi bizonytalanságot teremt, és az uniós ügynökségek tevékenységeibe és hitelességébe vetett bizalom hiányát hozza létre, valamint egy olyan elszámoltathatósági hiátusra mutat rá, amelyet európai szinten hatékonyan kell kezelni. DT\ doc 11/11 PE v01-00