EURÓPAI PARLAMENT 2009-2014 Állampolgári Jogi, Bel- és Igazságügyi Bizottság 10.9.2010 1. MUNKADOKUMENTUM A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében bűncselekmények, köztük terrorcselekmények megelőzése, kivizsgálása, észlelése és ezek nyomán büntetőeljárások megindítása céljából átadott és feldolgozott személyes adatok védelméről szóló, az Európai Unió (EU) és az Amerikai Egyesült Államok (USA) közötti jövőbeli nemzetközi megállapodás Állampolgári Jogi, Bel- és Igazságügyi Bizottság Előadó: Jan Philipp Albrecht DT\830119.doc PE448.804v01-00 Egyesülve a sokféleségben
Az EU és azusa közötti, jövőbeli adatvédelmi megállapodás megvitatásához szükséges, hogy az Atlanti-óceán két partján alkalmazott adatvédelmi megközelítésekkel kapcsolatban néhány előzetes észrevételt tegyünk. A két rendszer főbb fejleményeit és változásait feltárni hivatott első két munkadokumentumnak ez a fő célja. Egy harmadik munkadokumentum a jövőbeli adatvédelmi megállapodással kapcsolatos észrevételeket tartalmazza majd. Az EU által e téren alkalmazott megközelítés Léteznek olyan érvek, miszerint a magánélethez való jogot és az adatvédelmet az egyéni és a politikai autonómia erkölcsi és politikai eszményképei «jogi megtestesítőinek» kell tekinteni. A magánélethez való jogot (az önfejlesztést) a személyiség alakításának (az állam és mások általi) méltánytalan korlátozásoktól való szabadságaként, az adatvédelmet (az adatok szempontjából való önmeghatározást ) pedig az egyén által a világra kivetített személyiség bizonyos szempontjai felett való ellenőrzésként értelmezik. 1 A magánélet tiszteletben tartásához való jog az Emberi jogok európai egyezményének (EJEE) 8. cikkében, valamint az Európai Unió Alapjogi Chartája (a továbbiakban: a Charta ) 7. cikkében rögzített alapvető fogalom. A személyes adatok védelméhez fűződő alapvető jogot a Charta 8. cikke tartalmazza, kiterjed rá az EJEE 8. cikke is, valamint a Lisszaboni Szerződés is rendelkezik róla az EUMSz. 16. cikkében. Jelenleg az EU-ban és más nemzetközi szervezetek keretén belül több jogszabály is érvényben van a személyes adatok védelmére vonatkozóan. E tekintetben az alábbiak említendők: a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 95/46/EK irányelv 2, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről szóló, 2002/58/EK irányelv (az elektronikus hírközlési adatvédelmi irányelv) 3, a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 45/2001/EK rendelet 4, a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, 2008/977/IB tanácsi kerethatározat (CFDDP) 5, Az Európa Tanács 1981. évi 108. számú egyezménye az egyéneknek a személyes adatok gépi feldolgozása során való védelméről (CoE 108), valamint az ahhoz csatolt 2001. évi jegyzőkönyv 6. 1 A. Rouvroy és Y. Poullet: Önmeghatározás mint «kulcsfogalom» és A. Rouvroy és Y. Poullet: Jog az adatok szempontjából való önmeghatározáshoz és az önfejlesztés értéke. A magánélet demokrácia szempontjából való jelentőségének újraértékelése, 24. o. 2 HL L 281., 1995.11.23., 31. o. 3 HL L 201., 2002.7.31., 37. o. Felülvizsgálata az Európai Parlament és a Tanács 2009. november 25-i 2009/136/EK irányelvével történt. 4 HL L 8., 2001.1.12., 1. o. 5 HL L 350., 2008.12.30., 60. o. PE448.804v01-00 2/5 DT\830119.doc
A 29-es munkacsoport és a rendőrségi és igazságügyi munkacsoport (a továbbiakban: RIM ) A magánszféra jövője című jelentésével összhangban hangsúlyozni kell, hogy a 95/46/EK irányelvet általános jogi keretnek szánták, amelyet a különböző ágazatok esetében egyedi adatvédelmi rendszerekkel lehet kiegészíteni. Ilyen egyedi rendszer az elektronikus hírközlési adatvédelmi irányelvben előírt rendszer is. Az adatvédelmi irányelv ezenfelül nem alkalmazandó az adatok uniós intézmények általi feldolgozására (amelyet a 45/2001/EK rendelet szabályoz), sem pedig a közösségi jog hatályán kívül eső tevékenységekre, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottakra, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal [ ] továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletekre (3. cikk (2) bekezdés)). 7 A rendőrségi és igazságügyi együttműködésre vonatkozó jelenlegi adatvédelmi szabályok Jelenleg a 2008/977/IB számú CFDDP az a jogi eszköz, amelyet a személyes adatok részben vagy teljesen automatikus feldolgozására, valamint a valamely nyilvántartási rendszer részét képező vagy valamely nyilvántartási rendszerbe szánt személyes adatok automatikustól eltérő feldolgozására alkalmazni kell. A CFDDP nem érint alapvető nemzetbiztonsági érdekeket vagy különleges nemzetbiztonsági hírszerző tevékenységet. A magánszféra jövője című jelentés a CFDDP-t a korábbi harmadik pillérre vonatkozó általános keret felé tett első lépésnek tekinti, amely még távolról sem teljes. Kizárólag a határokon átnyúló helyzetekre alkalmazandó. Úgy tűnik, hogy hiányoznak belőle a rendvédelmi terület munkamódszereinek hatékony kezeléséhez szükséges lényeges elemek és eszközök. 8 A CFDDP 6. cikke előírja, hogy a különleges adatkategóriák (a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra utaló, valamint az egészségi állapotra vagy a szexuális életre vonatkozó személyes adatok) feldolgozása csak abban az esetben engedélyezett, ha az elengedhetetlenül szükséges, továbbá ha a nemzeti jog megfelelő garanciákat biztosít. A CoE 108 6. cikke ugyanakkor kimondja, hogy az ilyen személyes adatokat nem lehet automatikus módon feldolgozni, kivéve, ha erre az esetre a nemzeti jogszabályok megfelelő biztosítékokról rendelkeznek. A CFDDP az adatok harmadik országok illetékes hatóságai vagy nemzetközi testületek részére való átadása tekintetében olyan mechanizmusról rendelkezik, amely szerint az átadás bizonyos feltételek (cél, átvevő hatóság, a tagállam hozzájárulása) mellett megengedhető, ideértve a harmadik ország vagy nemzetközi testület megfelelőségére vonatkozó feltételt is (13. cikk). 6 ETS No. 108, 1981.1.28. és http://conventions.coe.int/treaty/en/treaties/html/181.htm. 7 A jelentés rámutat, hogy több ágazati jogszabály szintén tartalmaz a személyes adatok feldolgozására vonatkozó egyedi szabályokat (a pénzmosásra, vámjogszabályokra vagy a vízuminformációs rendszerre, az EURODAC-ra vagy a SIS II-jogszabályokra vonatkozóan). 02356/09/EN WP 168, elfogadták 2009. december 1 -jén. 8 (n7) 25. o. DT\830119.doc 3/5 PE448.804v01-00
Más jogi eszközökhöz való viszony A CFDDP harmadik országokkal kötött megállapodásokhoz való viszonyát tekintve a kerethatározat úgy rendelkezik, hogy nem érinti a tagállamokra vagy az Európai Unióra a harmadik országokkal a CFDDP elfogadásakor meglévő kétoldalú és/vagy többoldalú megállapodások értelmében háruló kötelezettségeket és kötelezettségvállalásokat. Előirányozza ugyanakkor, hogy e megállapodások alkalmazása során a valamely másik tagállamtól átvett személyes adatok harmadik országnak történő továbbítását a 13. cikk (1) bekezdése c) pontja vagy, adott esetben, a (2) bekezdése tiszteletben tartásával kell végrehajtani (26. cikk). A CFDDP rendelkezik hatálybalépése előtt az EUSz. VI. címe szerint elfogadott azon jogi aktusokkal való kölcsönhatásairól is, amelyek a személyes adatok tagállamok közötti cseréjét vagy a tagállamok kijelölt hatóságainak az Európai Közösséget létrehozó szerződés szerint létrehozott információs rendszerekhez való hozzáférését szabályozzák. Leszögezi, hogy amennyiben ezen aktusok egyedi feltételeket határoznak meg ezen adatok fogadó tagállam általi felhasználására vonatkozóan, akkor azok elsőbbséget élveznek a CFDDP másik tagállamtól kapott vagy másik tagállam által rendelkezésre bocsátott adatok felhasználására vonatkozó rendelkezéseivel szemben. Ilyen példák a különösen a terrorizmus és a határokon átnyúló bűnözés elleni küzdelemre irányuló, határokon átnyúló együttműködés megerősítéséről szóló, 2008/615/IB tanácsi határozat (az ún. prümi határozat) és az Európai Unió tagállamainak bűnüldöző hatóságai közötti, információ és bűnüldözési operatív információ cseréjének leegyszerűsítéséről szóló, 2006/960/IB tanácsi kerethatározat (a svéd kezdeményezés). E szövegek különböző adatvédelmi normákra hivatkoznak. A fenti szövegek alapján szolgáltatott személyes adatok feldolgozását illetően az az előírás, hogy a biztosítandó védelem szintje a CoE 108 és az ahhoz csatolt 2001. évi jegyzőkönyv által előírttal legalább egyenértékű legyen 9. Az Europol határozata szintén saját, a CoE 108 egyezményből eredeztethető adatvédelmi szabályokat határoz meg. 10 Meg kell továbbá említeni, hogy az Europol és az USA között létezik egy kiegészítő megállapodás a személyes adatok és az azokkal kapcsolatos információk cseréjéről, amely külön adatvédelmi rendelkezéseket tartalmaz. 11 E rövid áttekintésből kitűnik, hogy a korábbi harmadik pillér területén jelenleg szövevényes adatvédelmi szabályok vannak érvényben. Amint a 29-es munkacsoport és a RIM közös jelentése is utal rá, az eltérések a szóban forgó területek sajátosságaira vezethetők vissza, vagy lehetnek pusztán a jogalkotás eltérő történeti fejlődésének következményei is. 12 9 Az egyezmény több elvet határoz meg az adatok tisztességes és jogszerű gyűjtésére és felhasználására vonatkozóan. Adatok nevezetesen kizárólag egyedi célra gyűjthetők, és más célra nem használhatók fel. Az adatoknak pontosaknak, a célnak megfelelőeknek kell lenniük, és csak a szükséges ideig szabad tárolni őket. Az egyezmény az érintett személy (adatalany) számára megállapítja az adatokhoz való hozzáférés és az adatok helyesbítésének jogát, valamint különleges védelmet ír elő az érzékeny adatok, például a vallásra, a politikai meggyőződésre és a származásra vonatkozó adatok, valamint az egészségügyi információk számára. 10 HL L 121., 2009.5.15., 37. o. 11 http://www.europol.europa.eu/legal/agreements/agreements/16268-1.pdf 12 (n7) 7. o. PE448.804v01-00 4/5 DT\830119.doc
Közelmúltbeli fejlemények A 2009. december 1-jén hatályba lépett Lisszaboni Szerződés EUMSz. 16. cikke azt írja elő, hogy a természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a tagállamok által végzett személyes adatkezelés tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat a rendes jogalkotási (együttdöntési) eljárás szerint kell elfogadni. A szerződés emellett előírja, hogy e szabályok tiszteletben tartását független hatóságok ellenőrzik. Ez azt vonja maga után, hogy az adatvédelemre vonatkozó új jogalapot a magán- és a közszférában végzett valamennyi adatfeldolgozásra alkalmazni kell, ideértve a rendőrségi és igazságügyi együttműködés, valamint a közös kül- és biztonságpolitika keretében folytatott adatfeldolgozást is. A Lisszaboni Szerződéshez csatolt 21. nyilatkozat ezenfelül kimondja, hogy az Európai Unió működéséről szóló szerződés 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén e területek sajátos természetéből adódóan a személyes adatok védelmére és az ilyen adatok szabad áramlására vonatkozó különleges szabályok válhatnak szükségessé. Ami a felügyeletet illeti, a Bíróság egy közelmúltbeli határozata egyértelműen leszögezte, hogy a felügyeleti hatóságoknak olyan függetlenséggel kell rendelkezniük, amelynek alapján feladatkörüket külső befolyás nélkül láthatják el. E függetlenség nemcsak a felügyelt szervezetek által gyakorolt bármilyen befolyást zár ki, hanem bármilyen összefonódást vagy más, akár közvetlen, akár közvetett külső befolyást is, ami akadályozhatná az említett hatóságoknak a magánélet védelméhez való alapvető jog és a személyes adatok szabad áramlása közötti helyes egyensúly létrehozásában álló feladatai teljesítését (saját kiemelés) 13. E tekintetben hangsúlyozni kell azt is, hogy a 95/46/EK irányelvre épülő adatvédelmi keret felülvizsgálatával kapcsolatban megindult a gondolkodás, és a hangsúly az adatvédelmi hatóságok szerepének erősítésére, az egységes mind a magán-, mind a közszférára, továbbá a rendőrségi és igazságügyi együttműködésre is kiterjedő uniós szintű jogi keret szükségességére, valamint a magánszemélyek védelmének az adatfeldolgozás helyétől és az azt végző személytől független magas szintjére helyeződik. 14 13 Bizottság kontra Németországi Szövetségi Köztársaság, C-518/07, (30) bekezdés. 14 További információk a http://ec.europa.eu/justice/policies/privacy/news/docs/pr_15_07_10_en.pdf oldalon találhatók. Lásd még a 29-es munkacsoportnak az elszámoltathatóság elvéről szóló, 2010. július 13-án elfogadott véleményét: 00062/10/EN WP 173. DT\830119.doc 5/5 PE448.804v01-00