Language of document : ECLI:EU:C:2006:346

A BÍRÓSÁG ÍTÉLETE (nagytanács)

2006. május 30.(*)

„Az egyének védelme a személyes adatok feldolgozása vonatkozásában – Légi közlekedés – 2004/496/EK határozat – Az Európai Unió és az Amerikai Egyesült Államok közötti megállapodás – Az Amerikai Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok – 95/46/EK irányelv – 25. cikk – Harmadik államok – 2004/535/EK határozat – Megfelelő védelmi szint”

A C‑317/04. és C‑318/04. sz. egyesített ügyekben,

az EK 230. cikk alapján megsemmisítés iránt a Bírósághoz 2004. július 27‑én

az Európai Parlament (képviselik: R. Passos, N. Lorenz, H. Duintjer Tebbens és A. Caiola, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)

felperesnek,

támogatják:

az Európai Adatvédelmi Biztos (EAB) (képviselik: H. Hijmans és V. Perez Asinari, meghatalmazotti minőségben)

beavatkozó,

az Európai Unió Tanácsa (képviselik: M. C. Giorgi Fort és M. Bishop, meghatalmazotti minőségben)

a C‑317/04. sz. ügy alperese ellen,

támogatják:

az Európai Közösségek Bizottsága (képviselik: P. J. Kuijper, A. van Solinge és C. Docksey, meghatalmazotti minőségben, kézbesítési cím: Luxembourg),

Nagy Britannia és Észak-Írország Egyesült Királysága (képviselik: M. Bethell, C. White és T. Harris, meghatalmazotti minőségben, segítőjük: T. Ward barrister, kézbesítési cím: Luxembourg)

beavatkozók,

és

az Európai Közösségek Bizottsága (képviselik: P. J. Kuijper, A. van Solinge, C. Docksey és F. Benyon, meghatalmazotti minőségben, kézbesítési cím: Luxembourg)

a C‑318/04. sz. ügy alperese ellen,

támogatja:

Nagy Britannia és Észak-Írország Egyesült Királysága (képviseli: M. Bethell, C. White és T. Harris, meghatalmazotti minőségben, segítőjük: T. Ward barrister, kézbesítési cím: Luxembourg)

beavatkozó,

benyújtott keresetei tárgyában,

A BÍRÓSÁG (nagytanács),

tagjai: V. Skouris elnök, P. Jann, C. W. A. Timmermans, A. Rosas és J. Malenovský tanácselnökök, N. Colneric (előadó), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič és J. Klučka bírák,

főtanácsnok: P. Léger,

hivatalvezető: M. Ferreira főtanácsos,

tekintettel az írásbeli szakaszra és a 2005. október 18‑i tárgyalásra,

a főtanácsnok indítványának a 2005. november 22‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        A C‑317/04. sz. ügyben az Európai Parlament keresetlevelében az Európai Unió és az Egyesült Államok közötti, a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i 2004/496/EK tanácsi határozat (HL L 183., 83. o.; helyesbítve: HL 2005. L 255., 168. o.) megsemmisítését kéri.

2        A C‑318/04. sz. ügyben a Parlament keresetlevelében az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i 2004/535/EK bizottsági határozat (HL L 235., 11. o., a továbbiakban: megfelelőségi határozat) megsemmisítését kéri.

 Jogi háttér

3        Az emberi jogok és az alapvető szabadságok védelméről szóló, Rómában, 1950. november 4‑én kelt egyezmény (a továbbiakban: EEJE) 8. cikke kimondja:

„1.      Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák.

2.      E jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.”

4        Az EK 95. cikk (1) bekezdése második mondatának szövege a következő:

„A Tanács a 251. cikkben megállapított eljárásnak megfelelően és a Gazdasági és Szociális Bizottsággal folytatott konzultációt követően elfogadja azokat a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseinek közelítésére vonatkozó intézkedéseket, amelyek tárgya a belső piac megteremtése és működése.”

5        A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvnek (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) a Bizottságot az EK‑Szerződés 251. cikkében említett eljárásnak megfelelően elfogadott jogi aktusokban megállapított végrehajtási hatásköreinek gyakorlása során segítő bizottságokkal kapcsolatos rendelkezéseknek az 1999/468/EK tanácsi határozathoz történő hozzáigazításáról szóló, 2003. szeptember 29‑i 1882/2003/EK európai parlamenti és tanácsi rendelettel (HL L 284., 1. o.; magyar nyelvű különkiadás 1. fejezet, 4. kötet, 447. o.) módosított szövegét (a továbbiakban: irányelv) az EK‑Szerződés 100a. cikke (jelenleg, módosítást követően EK 95. cikk) alapján fogadták el.

6        Ennek tizenegyedik preambulumbekezdése kimondja: „az egyének jogai és szabadságai védelmének elvei, különösen a magánélet tiszteletben tartásához való jog védelmének elve, amelyeket ez az irányelv tartalmaz, tartalmat adnak és kiegészítik azokat, amelyeket az Európa Tanács 1981. január 28‑i, az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezménye tartalmaz”.

7        Az irányelv tizenharmadik preambulumbekezdése értelmében:

„[A]z Európai Unióról szóló szerződés V. és VI. címében említett, a közbiztonsággal, védelemmel, nemzetbiztonsággal kapcsolatos tevékenységek, vagy az adott állam büntetőjog területén végzett tevékenységei kívül esnek a közösségi jogszabályok hatályán, a tagállamokra az Európai Közösséget létrehozó szerződés 56. cikke (2) bekezdésének, 57. cikkének vagy 100a. cikkének értelmében háruló kötelezettségek sérelme nélkül […]”.

8        Az irányelv ötvenhetedik preambulumbekezdése kimondja:

„[…] a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani”.

9        Az irányelv 2. cikke ekként rendelkezik:

„Ezen irányelv alkalmazásában:

a)      »személyes adat« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén;

b)      »személyes adatok feldolgozása« (»feldolgozás«) a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;

[…]”

10      Az irányelv 3. cikke értelmében:

„Hatály

(1)      Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)      Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:

–        a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,

[…]”

11      Az irányelv 6. cikkének (1) bekezdése kimondja:

„A tagállamok rendelkeznek arról, hogy a személyes adatok:

[…]

b)      gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;

c)      gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;

[…]

e)      tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit.”

12      Az irányelv 7. cikke ekként rendelkezik:

„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha:

[…]

c)      az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges;

[…]

vagy

e)      az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges;

vagy

f)      az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”

13      Az irányelv 8. cikke (5) bekezdésének első albekezdése értelmében:

„A bűncselekményekre, büntetőítéletekre vagy biztonsági intézkedésekre vonatkozó adatok feldolgozása kizárólag a hatóság ellenőrzése mellett történhet, vagy ha a nemzeti jog megfelelő külön biztosítékot nyújt, az olyan eltérésekre is figyelemmel, amelyet a tagállamok a megfelelő külön biztosítékot nyújtó nemzeti rendelkezések alapján engedélyezhetnek. Mindazonáltal a büntetőítéletekről teljes körű nyilvántartást csak a hatóság ellenőrzésével lehet vezetni.”

14      Az irányelv 12. cikke ekként rendelkezik:

„A tagállamoknak biztosítaniuk kell minden érintett számára a jogot, hogy az adatkezelőtől:

a)      korlátozás nélkül, ésszerű időközönként, túlzott késedelem vagy költség nélkül:

–        megerősítést kapjon arról, hogy rá vonatkozóan adatok feldolgozása folyamatban van‑e, továbbá, hogy információt kapjon legalább az adatfeldolgozás céljáról, az érintett adatkategóriákról, a címzettekről vagy a címzettek kategóriáiról, akik felé az adatokat továbbítják,

–        érthető formában értesítést kapjon az adatfeldolgozás alatt álló adatokról és azok forrásával kapcsolatos minden rendelkezésre álló információról,

–        tájékoztatást kapjon a rá vonatkozó adatok automatizált feldolgozása során alkalmazott logikáról legalább a 15. cikk (1) bekezdésében említett automatizált döntések esetében;

b)      az esettől függően kérje az olyan adatok helyesbítését, törlését vagy zárolását, amelyek feldolgozása nem felel meg ezen irányelv rendelkezéseinek, különösen az ilyen adatok hiányos vagy hibás volta miatt;

c)      kérje az adatokról tudomást szerző harmadik felek értesítését a b) ponttal összhangban végzett minden helyesbítésről, törlésről vagy zárolásról, hacsak ez lehetetlennek nem bizonyul, vagy aránytalanul nagy erőfeszítést nem igényel.”

15      Az irányelv 13. cikke (1) bekezdésének szövege a következő:

„A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:

a)      nemzetbiztonság;

b)      honvédelem;

c)      közbiztonság;

d)      bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;

e)      valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket;

f)      a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;

g)      az érintett, vagy mások jogainak és szabadságainak védelme.”

16      Az irányelv 22. cikke ekként rendelkezik:

„Jogorvoslat

A jogszabályban esetlegesen előírt közigazgatási jogorvoslat sérelme nélkül, amelynek keretében többek között a 28. cikkben meghatározott felügyelő hatósághoz lehet fordulni, a bíróság elé utalást megelőzően, a tagállamoknak biztosítaniuk kell mindenki számára a jogorvoslathoz való jogot bármely olyan jogának megsértése esetén, amelyet a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jog biztosít számára.”

17      Az irányelv 25. és 26. cikke alkotja az irányelv személyes adatok harmadik országokba irányuló továbbításáról szóló IV. fejezetét.

18      Az „Elvek” című 25. cikk ekként rendelkezik:

„(1)      A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani.

(2)      A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.

(3)      A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.

(4)      Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.

(5)      A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.

(6)      A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében, az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján.

A tagállamok megtesznek minden szükséges intézkedést a Bizottság határozatának teljesítésére.”

19      Az irányelv „Eltérések” című 26. cikkének (1) bekezdése értelmében:

„A 25. cikktől eltérően, és amennyiben az adott esetre vonatkozó belföldi jogszabályok másképp nem rendelkeznek, a tagállamok rendelkeznek arról, hogy a személyes adatok olyan harmadik országba irányuló továbbítása vagy továbbítás-sorozata, amely a 25. cikk (2) bekezdése értelmében nem biztosít megfelelő szintű védelmet, csak a következő feltételek mellett történhet:

a)      az érintett egyértelműen hozzájárulását adta a tervezett továbbításhoz;

vagy

b)      a továbbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérelmére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;

vagy

c)      a továbbítás az adatkezelő és valamely harmadik fél közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;

vagy

d)      a továbbítás fontos közérdekből vagy jogi követelések létrejötte, érvényesítése vagy védelme miatt szükséges, illetve azt jogszabály írja elő;

vagy

e)      a továbbítás az érintett létfontosságú érdekeinek védelme miatt szükséges;

vagy

f)      a továbbítást olyan nyilvántartásból végzik, amely a törvények vagy rendeletek értelmében a nyilvánosság tájékoztatását szolgálja, és amely általában a nyilvánosság, vagy bármely jogos érdekét igazoló személy számára betekintés céljából rendelkezésre áll, amennyiben a jogszabályok által a betekintésre megállapított feltételek az adott esetben teljesülnek.”

20      Az irányelv és különösen annak 25. cikke alapján az Európai Közösségek Bizottsága elfogadta a megfelelőségi határozatot.

21      E határozat tizenegyedik preambulumbekezdése kimondja:

„A CBP [United States Bureau of Customs and Border Protection (az Egyesült Államok Vámügyi és Határvédelmi Irodája)], a részére továbbított, a légi utasok PNR-adatállományában [Passenger Name Record (utasnyilvántartási adatállomány)] szereplő személyes adatok feldolgozását a Department of Homeland Security, Bureau of Customs and Border Protection (CBP) 2004. május 11‑i Kötelezettségvállalásaiban (a továbbiakban: »Kötelezettségvállalások«) és az Egyesült Államok nemzeti jogszabályaiban megállapított feltételek mellett végzi a Kötelezettségvállalásokban meghatározottaknak megfelelően.”

22      Ugyanezen határozat tizenötödik preambulumbekezdése értelmében a PNR-adatokat kizárólag olyan célokra lehet felhasználni, amelyek a terrorizmus és a kapcsolódó bűncselekmények, a transznacionális jelleget öltő egyéb súlyos bűncselekmények – beleértve a szervezett bűnözést is –, illetve a fenti bűncselekmények miatt elrendelt letartóztatás, illetve kiadott elfogatóparancs előli szökés megelőzését és ezek leküzdését szolgálják.

23      A megfelelőségi határozat 1–4. cikke értelmében:

„1. cikk

A 95/46/EK irányelv 25. cikke (2) bekezdésére tekintettel, az United States Bureau of Customs and Border Protection (CBP) a mellékletben megállapított Kötelezettségvállalásokkal összhangban úgy tekintendő, mint amely a Közösség részéről történő, az Egyesült Államokból érkező, illetve az oda tartó légijáratokra vonatkozó PNR-adatok továbbításához szükséges megfelelő védelmi szintet biztosítja.

2. cikk

E határozat a CBP által biztosított védelem megfelelőségét érinti a 95/46/EK irányelv 25. cikke (1) bekezdése előírásainak való megfelelés céljából és nem érinti az említett irányelv egyéb rendelkezéseit végrehajtó, a személyes adatok tagállamokon belül történő feldolgozására vonatkozó egyéb feltételeket és korlátozásokat.

3. cikk

(1)      Azon hatáskörök sérelme nélkül, amelyek alapján a tagállamok illetékes hatóságai felléphetnek a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések szerint elfogadott nemzeti rendelkezéseknek betartása érdekében, a tagállamok illetékes hatóságai gyakorolhatják a CBP felé történő adatáramlás felfüggesztésre vonatkozó már fennálló hatáskörüket abból a célból, hogy megvédjék a magánszemélyeket személyes adataik feldolgozására való tekintettel a következő esetekben:

a)      amennyiben az Egyesült Államok egy illetékes hatósága megállapítja, hogy a CBP megsérti az alkalmazandó adatvédelmi követelményrendszert; vagy

b)      amennyiben alaposan valószínűsíthető, hogy a mellékletben megállapított védelmi követelményrendszert megsértették, elfogadható alapja van azon feltételezésnek, hogy a CBP nem teszi meg vagy nem fogja megtenni a szükséges és időszerű lépéseket annak érdekében, hogy elintézze a szóban forgó ügyet, az adattovábbítás folytatása az érintett személy számára súlyos károk közvetlen kockázatával jár és az illetékes tagállami szervek megtették az ésszerű erőfeszítéseket az adott viszonyok között annak érdekében, hogy értesítsék a CBP-t és, hogy lehetőséget nyújtsanak neki a válaszadásra.

(2)      A felfüggesztésnek véget kell vetni, amint a biztonsági követelmények biztosítva vannak és az érintett tagállamok illetékes hivatalát erről értesítették.

4. cikk

(1)      A tagállamok késedelem nélkül értesítik a Bizottságot, amennyiben a 3. cikk szerinti intézkedéseket hoznak.

(2)      A tagállamok és a Bizottság kölcsönösen értesítik egymást minden, az adatvédelmi követelményrendszerben beálló változásról és azon esetekről, amelyekben a mellékletben megállapított, a CBP által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek fellépése nem biztosítja e megfelelést.

(3)      Amennyiben a 3. cikk, illetve ugyanezen cikk (1) és (2) bekezdése értelmében begyűjtött információ bizonyítékul szolgál arra, hogy a természetes személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, vagy hogy a mellékletben megállapított, a CBP által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek nem végzik eredményesen feladatukat, a CBP-t értesíteni kell, és amennyiben szükséges, a 95/46/EK rendelet [helyesen: irányelv] 31. cikke (2) bekezdésében említett eljárást kell alkalmazni e határozat hatályon kívül helyezésére vagy felfüggesztésére.”

24      A megfelelőségi határozat mellékletét képező „[a] »Department of Homeland Security Bureau of Customs and Border Protection« (CBP) kötelezettségvállalásai” kimondja:

„Az Európai Bizottság […] a 95/46/EK irányelv […] 25. cikke (6) bekezdésében ráruházott hatáskörök gyakorlására vonatkozó szándékának megerősítéseként és a Department of Homeland Security Bureau of Customs and Border Protection-t (CBP) (Belbiztonsági Minisztérium Vámügyi és Határvédelmi Hivatal) elismerő határozat elfogadásának érdekében – amely egy olyan szerv, mely megfelelő védelmet biztosít az utasok légiszállításában az Irányelv alkalmazási körébe tartozó PNR-adatok […] továbbítására – a CBP a következőket vállalja […]”

25      E kötelezettségvállalások 48 pontot tartalmaznak, melyek a következő címek alá csokortosulnak: „Jogalap a PNR-adatok megszerzésére”; „A PNR-adatok CBP általi felhasználása”; „Kötelezően megadandó adatok”; „A »különleges« adatok kezelése”; „A PNR-adatokhoz való hozzáférés”; „A PNR-adatok tárolása”; „A CBP számítógépes rendszerének biztonsága”; „A PNR-adatok CBP általi kezelése és védelme”; „A PNR-adatok továbbítása más kormányzati szervekhez”; „Az érintett utasok tájékoztatáshoz, betekintéshez, felülvizsgálathoz való joga”; „Megfelelési kérdések”; „Viszonosság elve”; „A Kötelezettségvállalások felülvizsgálata és határideje”; „Precedensérték, illetve jogkeletkezés kizárása”.

26      E kötelezettségvállalások többek között a következők:

„1.      Törvényben foglalt jogállásuknál fogva (title 49, United States Code, section 44909(c)(3)) és ez utóbbi interim végrehajtó rendelkezéseinek (19. cím, Code of Federal Regulations, 122.49b szakasz) értelmében minden légifuvarozó, aki nem belföldi légiközlekedésben az Egyesült Államokból érkező vagy oda tartó utasszállító járat működtetésében érdekelt, köteles a CBP számára (korábban a United States Customs Service számára) – olyan mértékben, ahogy az a légifuvarozók automatizált foglalási/indulási ellenőrző rendszerében (»foglalási rendszerek«) összegyűjtésre került – a PNR-adatokhoz való elektronikus hozzáférést biztosítani.

[…]

3.      A PNR-adatokat a CBP kizárólag a következők megelőzésére és leküzdésére használja fel: 1. terrorizmus és kapcsolódó bűncselekmények; 2. egyéb súlyos bűncselekmények, beleértve a transznacionális jelleget öltő szervezett bűnözést; és 3. a fenti bűncselekmények elkövetése után esedékes letartóztatás, illetve elfogatóparancs előli menekülés [helyesen: 2. transznacionális jelleget öltő egyéb súlyos bűncselekmények, beleértve a szervezett bűnözést is; és 3. a fenti bűncselekmények elkövetése miatt elrendelt letartóztatás, illetve kiadott elfogatóparancs előli szökés]. A PNR-ben tárolt adatoknak a fenti célokra való felhasználásával a CBP a magas kockázati besorolású problémákra koncentrálhat, és ezzel megkönnyítheti és biztosíthatja a jóhiszemű utazást.

4.      A CBP számára kötelezően megadandó adatokat az »A« melléklet tartalmazza. […]

[…]

27.      A CBP bármilyen, a légifuvarozóktól bekért PNR-információnak [az információ szabadságáról szóló törvény] értelmében való lekérdezéséből fakadó minden jogi vagy igazgatási eljárással kapcsolatban arra hivatkozik, hogy ezek az adatok [e törvény] értelmében nem hozhatók nyilvánosságra.

[…]

29.      A CBP szabad mérlegelése szerint és egyedi elbírálási alapon csak olyan célokból továbbít kormányzati szerveknek PNR-adatokat (beleértve a terrorizmusellenes vagy bűnüldözési tevékenységet folytató külföldi kormányokat), melyek a 3. bekezdésben felsorolt események megelőzését és leküzdését szolgálják. (E kormányzati szervek megnevezése a továbbiakban: »Kijelölt hatóságok«).

30.      A CBP megfontoltan mérlegeli, hogy továbbítja‑e a PNR-adatokat a megállapított célok érdekében. A CBP először megállapítja, hogy a PNR-adat egy másik kijelölt hatóság előtti felfedése összeegyeztethető‑e a megállapított célokkal (lásd: 29. bekezdés). Ha igen, úgy a CBP – amennyiben tudomására jut, hogy törvényszegés vagy esetleges törvényszegés veszélye áll fenn – eldönti, hogy a kijelölt hatóság felelős‑e a fenti céllal kapcsolatos törvény vagy jogszabály megszegésének megelőzéséért, annak kivizsgálásáért vagy azzal kapcsolatos vádemeléséért, vagy a törvény vagy rendelet végrehajtásáért és hatályba léptetéséért. A felfedés kritériumait az összes ismertetett körülmény fényében felül kell vizsgálni.

[…]

35.      E Kötelezettségvállalásokban szereplő egyetlen kijelentés sem hátráltathatja a PNR-adatok felhasználását vagy felfedését semmilyen büntetőjogi bírósági eljárásban, vagy más, törvény által meghatározott esetben. A CBP minden olyan egyesült államokbeli jogszabály elfogadásáról értesíti az Európai Bizottságot, amely jelentősen befolyásolja a jelen Kötelezettségvállalásokban tett kijelentéseket.

[…]

46.      E Kötelezettségvállalások érvényességi ideje az Egyesült Államok és az Európai Közösség között kötött egyezmény hatályba lépésének napjától számított három év és hat hónap […]. E Kötelezettségvállalások értelmében a PNR-adatokat az Irányelvvel összhangban a légifuvarozók ezen adatoknak a CBP felé való továbbítása céljából dolgozhatják fel. [helyesen: E Kötelezettségvállalások időbeli hatálya az Egyesült Államok és az Európai Közösség között kötendő, a légifuvarozók által ezen adatok CBP részére történő továbbítás céljából való feldolgozásának engedélyezéséről szóló megállapodás hatályba lépésének napjától számított három év és hat hónap.] […]

47.      Ezen Kötelezettségvállalások nem hoznak létre, vagy ruháznak át semmilyen jogot, vagy kedvezményt semmilyen személyre vagy szerződő félre függetlenül attól, hogy az magánjogi vagy közjogi jellegű.

[…]”

27      A Kötelezettségvállalások „A” melléklete tartalmazza a CBP által a légifuvarozóktól bekért „PNR-adatelemeket”. Ezek többek között: a „PNR record locator code (nyilvántartási helymeghatározó kód)”, a foglalás időpontja, a név, a cím, a fizetés módja, a telefonszám, az utazási iroda, az „utas utazási státusza”, az e-mail cím, az általános megjegyzések, az ülés száma, a jegykezelésre nem jelentkezett utasra vonatkozó adat, valamint az esetlegesen összegyűjtött „APIS-információk”.

28      A Tanács, többek között az EK 95. cikk alapján, az EK 300. cikk (2) bekezdése első albekezdésének első mondatával összefüggésben, elfogadta a 2004/496 határozatot.

29      E határozat három preambulumbekezdése értelmében:

„(1)      A Tanács 2004. február 23‑án felhatalmazta a Bizottságot arra, hogy a Közösség nevében tárgyalásokat folytasson az Amerikai Egyesült Államokkal a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodásról;

(2)      A Szerződés 300. cikke (3) bekezdésének első albekezdése szerint a Tanács által meghatározott határidőn belül az Európai Parlament nem terjesztett elő véleményt, szem előtt tartva azon bizonytalan helyzet sürgős orvoslásának szükségességét, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintettek pénzügyi érdekei védelmének szükségességét.

(3)      A megállapodást jóvá kell hagyni.”

30      A 2004/496 határozat 1. cikke ekként rendelkezik:

„A Közösség nevében a Tanács jóváhagyja az Európai Közösség és az Amerikai Egyesült Államok közötti, a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodást.

A megállapodás szövegét csatolták e határozathoz.”

31      E megállapodás (a továbbiakban: megállapodás) szövege a következő:

„AZ EURÓPAI KÖZÖSSÉG ÉS AZ AMERIKAI EGYESÜLT ÁLLAMOK,

ELISMERVE az alapvető jogok és szabadságok, nevezetesen a magánélethez fűződő jog tiszteletben tartásának fontosságát, valamint ezen értékek tiszteletben tartásának fontosságát a terrorizmus és az ehhez kapcsolódó bűncselekmények, valamint a nemzeteken átnyúló, súlyos bűncselekmények – ideértve a szervezett bűnözést is – megelőzése és az azok ellen folytatott küzdelem során,

TEKINTETTEL az Egyesült Államok törvényeire és rendeleteire, amelyek előírják, hogy minden, az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállítójáratokat működtető légi szállító köteles a Belbiztonsági Minisztérium (Department of Homeland Security; a továbbiakban: »DHS«) [CBP‑je] részére elektronikus hozzáférést biztosítani [a PNR adatokhoz] ahogyan azokat a légi szállító automatikus helyfoglalás-/indulás-ellenőrzési rendszerében összegyűjti, illetve tárolja,

TEKINTETTEL a […] 95/46/EK […] irányelvre, és különösen annak 7. cikke c) pontjára,

TEKINTETTEL a CBP által 2004. május 11‑én kiadott kötelezettségvállalásokra, amelyeket a szövetségi közlönyben (»Federal Register«) tesznek közzé (a továbbiakban: »a kötelezettségvállalások«),

TEKINTETTEL a 95/46/EK rendelet [helyesen: irányelv] 25. cikkének (6) bekezdése alapján 2004. május 17‑én elfogadott, 2004/535/EK bizottsági határozatra, amely a CBP-t olyan intézményként ismeri el, amely megfelelő szintű védelmet biztosít azoknak az Európai Közösségből (a továbbiakban: »Közösség«) továbbított PNR adatoknak, amelyek a határozathoz csatolt kötelezettségvállalásoknak megfelelően az Egyesült Államokba érkező vagy onnan induló légi járatokra vonatkoznak (a továbbiakban: »határozat«);

TUDOMÁSUL VÉVE, hogy az Európai Közösség tagállamai területén működő, helyfoglalás-/indulás-ellenőrzési rendszerrel rendelkező légi szállítóknak – amint az technikailag kivitelezhető – meg kell szervezniük a PNR adatok továbbítását a CBP-nek, és hogy mindaddig – e megállapodás rendelkezéseinek megfelelően – az adatokhoz az Egyesült Államok hatóságai számára közvetlen hozzáférést kell biztosítani,

[…]

A KÖVETKEZŐKBEN ÁLLAPODTAK MEG:

1.      A CBP – szigorúan a határozatnak megfelelően, és mindaddig, amíg az alkalmazandó, illetve kizárólag addig, amíg kielégítő rendszer nem kerül felállításra az ilyen adatok légi szállítók általi továbbítására – elektronikus úton hozzáférhet a légi szállítóknak az Európai Közösség tagállamai területén elhelyezkedő helyfoglalás-/indulás-ellenőrzési rendszereiben (a továbbiakban: »helyfoglalási rendszerek«) tárolt PNR adatokhoz.

[Az angol szöveg a következő: „CBP may electronically access the PNR data from air carriers reservation/departure control systems (‘reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]

2.      Az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítók kötelesek az automatikus helyfoglalási rendszerükben szereplő PNR adatokat az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint, és szigorúan a határozatnak megfelelően feldolgozni, mindaddig, amíg az alkalmazandó.

3.      A CBP tudomásul veszi a határozatot, és kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat.

4.      A CBP a továbbított PNR adatokat feldogozza, és az ilyen adatfeldolgozással érintett személyeket az Egyesült Államok vonatkozó jogszabályainak és alkotmányos előírásainak megfelelően, jogellenes – különösen állampolgárságon vagy lakóhely szerinti országon alapuló – megkülönböztetés nélkül kezeli.

[…]

7.      Ez a megállapodás az aláírásakor lép hatályba. Ezt a megállapodást a felek diplomáciai úton történő értesítéssel bármikor felmondhatják. A felmondás a felmondásról szóló értesítés másik féllel való közlésétől számított kilencvenedik (90.) napon lép hatályba. E megállapodás a felek kölcsönös írásbeli megállapodásával bármikor módosítható.

8.      E megállapodásnak nem célja a felek jogszabályaitól való eltérés vagy azok módosítása; hasonlóképpen, e megállapodás nem hoz létre vagy keletkeztet semmilyen jogot vagy előnyt a magánszemélyek vagy más, magánjogi vagy közjogi jogalanyok részére.”

32      A megállapodás hatályba lépésének időpontjára vonatkozó tanácsi információk (HL 2004. C 158., 1. o.) szerint a Tanács soros elnökségének képviselője, illetve az Amerikai Egyesült Államok belbiztonsági minisztere által Washingtonban, 2004. május 28‑án aláírt megállapodás, a 7. pontjának megfelelően, aláírásának napján lépett hatályba.

 A jogviták előzményei

33      Az Egyesült Államok a 2001. szeptember 11‑i terrortámadásokat követően ugyanazon év novemberében olyan jogszabályokat fogadott el, amelyek az Egyesült Államok területére, területéről vagy területén keresztül járatot indító légi utasszállítókat arra kötelezik, hogy az Egyesült Államok vámhatóságainak elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a „Passanger Name Records”‑nak nevezett adatokhoz (a továbbiakban: PNR-adatok). A Bizottság, elismerve ugyan a szóban forgó biztonsági érdekek legitimitását, már 2002 júniusában tájékoztatta az Egyesült Államok hatóságait, hogy e rendelkezések ellentétesek lehetnek a közösségi és tagállami adatvédelmi jogszabályokkal, illetve az 1999. február 8‑i 323/1999/EK rendelettel (HL L 40., 1. o.; magyar nyelvű különkiadás 7. fejezet, 4. kötet, 251. o.) módosított, a számítógépes helyfoglalási rendszerek ügyviteli szabályzatáról szóló, 1989. július 24‑i 2299/89/EGK tanácsi rendelet (HL L 220., 1. o.; magyar nyelvű különkiadás 7. fejezet, 1. kötet, 277. o.) egyes rendelkezéseivel. Az Egyesült Államok hatóságai elhalasztották az új rendelkezések hatálybalépését, de végső soron elutasították, hogy letegyenek a PNR-adatokhoz való elektronikus hozzáférésről szóló jogszabályoknak 2003. március 5. után meg nem felelő légitársaságokkal szembeni szankciók alkalmazásáról. Ezen időponttól kezdve számos európai unióbeli nagy légitársaság hozzáférést engedett e hatóságoknak a PNR-adataihoz.

34      A Bizottság tárgyalásba kezdett az Egyesült Államok hatóságaival, melyek eredménye a CBP annak érdekében tett kötelezettségvállalásait („undertakings”) tartalmazó dokumentum, hogy a Bizottság az irányelv 25. cikkének (6) bekezdése alapján megfelelőségi határozatot fogadhasson el.

35      Az irányelv 29. cikkével létrehozott, a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport 2003. június 13‑i véleményében kétségeit fejezte ki a tervezett adatfeldolgozás vonatkozásában az említett kötelezettségvállalásokkal biztosított adatvédelmi szintet illetően. E kétségeit 2004. január 29‑i véleményében megismételte.

36      A Bizottság 2004. március 1‑jén a Parlament elé terjesztette az irányelv 25. cikkének (6) bekezdésén alapuló megfelelőségi határozat tervezetét, mellékelve hozzá a CBP kötelezettségvállalásainak tervezetét.

37      A Bizottság 2004. március 17‑én az EK 300. cikk (3) bekezdésének első albekezdése szerinti konzultáció végett megküldte a Parlamentnek az Egyesült Államokkal kötendő megállapodás megkötéséről szóló tanácsi határozat iránti javaslatot. A Tanács 2004. március 25‑i levelében a sürgősségi eljárásra utalva azt kérte, hogy a Parlament legkésőbb 2004. április 22‑ig adjon véleményt e javaslatról. E levélben a Tanács hangsúlyozta, hogy „a javasolt intézkedések indoka a terrorizmus elleni küzdelem, mely az Európai Unió alapvető prioritása, [hogy] jelenleg a légifuvarozók és az utasok bizonytalanságban vannak, amit sürgősen fel kell oldani, [és hogy] lényeges az érintettek pénzügyi érdekeinek védelme is”.

38      A Parlament 2004. március 31‑én a Bizottságra ruházott végrehajtási hatáskörök gyakorlására vonatkozó eljárások megállapításáról szóló, 1999. június 28‑i 1999/468/EK tanácsi határozat 8. cikke alapján állásfoglalást fogadott el, melyben az elé terjesztett javaslattal szembeni jogi fenntartásokat összegezte. E határozatban a Parlament közelebbről akként vélekedett, hogy a megfelelőségi határozat tervezete meghaladja az irányelv 25. cikkében a Bizottságra ruházott hatáskört. Az állásfoglalásban részletezett néhány kérdésben az alapvető jogok tiszteletben tartására alkalmas nemzetközi szerződés megkötését javasolta, és új határozattervezet előterjesztését kérte a Bizottságtól. Emellett fenntartotta a Bírósághoz fordulás jogát, a tervezett nemzetközi megállapodás jogszerűségének és különösen a magánélethez való joggal való összeegyeztethetőségének ellenőrzése érdekében.

39      A Parlament 2004. április 21‑én elnöke kérelmére elfogadta a jogi és belső piaci bizottság ajánlását arra vonatkozóan, hogy az EK 300. cikk (6) bekezdése alapján kérjék ki a Bíróság véleményét a tervezett megállapodásnak a Szerződés rendelkezéseivel való összeegyeztethetőségéről. Ezt az eljárást aznap meg is indították.

40      A Parlament ugyanaznap akként is határozott, hogy bizottsági tárgyalásra tűzi ki a tanácsi határozat javaslatáról szóló jelentést, egyben hallgatólagosan elutasítva ezzel a Tanács e javaslat sürgős tárgyalása iránti, március 25‑i kérelmét.

41      A Tanács április 28‑án az EK 300. cikk (3) bekezdésének első albekezdése alapján levelet intézett a Parlamenthez, melyben azt kérte, hogy a Parlament 2004. május 5‑ig adjon véleményt a megállapodás megkötéséről szóló határozat tervezetéről. A kérelem sürgősségét a 2004. március 25‑i levelében előadottakkal indokolta.

42      A Parlament, észlelve, hogy még mindig nem áll rendelkezésre a tanácsi határozati javaslat valamennyi nyelvi változata, 2004. május 4‑én elutasította a Tanács április 28‑án előterjesztett javaslatának sürgős tárgyalása iránti kérelmet.

43      A Bizottság május 14‑én elfogadta a megfelelőségi határozatot, amely a C‑318/04. sz. ügy tárgya. A Tanács 2004. május 17‑én elfogadta a 2004/496 határozatot, amely a C‑317/04. sz. ügy tárgya.

44      A Tanács soros elnöksége 2004. június 4‑én tájékoztatta a Parlamentet, hogy a 2004/496 határozatot a terrorizmus elleni küzdelemre, mint az Unió prioritására, és egyben a légitársaságokat érintő jogbizonytalanság feloldásának szükségességére, valamint a légitársaságok pénzügyi érdekeire tekintettel fogadta el.

45      A Parlament 2004. július 9‑i levelében tájékoztatta a Bíróságot, hogy 1/04. számon nyilvántartásba vett vélemény iránti kérelmét visszavonja.

46      A C‑317/04. sz. ügyben a Bíróság elnöke 2004. november 18‑i és 2005. január 18‑i végzéseivel engedélyezte a Bizottság, valamint Nagy Britannia és Észak-Írország Egyesült Királysága számára a Tanács kérelmeit támogató beavatkozást.

47      A C‑318/04. sz. ügyben a Bíróság elnöke 2004. december 17‑i végzésével engedélyezte az Egyesült Királyság számára a Bizottság kérelmeit támogató beavatkozást.

48      A Bíróság 2005. március 17‑i végzéseivel mindkét ügyben engedélyezte az Európai Adatvédelmi Biztos számára a Parlament kérelmeit támogató beavatkozást.

49      Az ezen ügyek között – a szóbeli szakaszban megerősítetten – meglévő összefüggésre figyelemmel az eljárási szabályzat 43. cikke alapján e két ügyet ítélethozatal céljából egyesíteni kell.

 A keresetről a C‑318/04. sz. ügyben

50      A Parlament négy megsemmisítési jogalapot ad elő, melyek hatáskörtúllépésen, az irányelv alapelveinek megsértésén, az alapvető jogok megsértésén és az arányosság elvének megsértésén alapulnak.

 Az első jogalap első részéről: az irányelv 3. cikke (2) bekezdése első francia bekezdésének megsértése

 A felek érvei

51      A Parlament előadja, hogy a Bizottság ultra vires fogadta el határozatát, mivel nem vette figyelembe az irányelv rendelkezéseit, így közelebbről megsértette az irányelv 3. cikke (2) bekezdésének a közösségi jog tárgyi hatálya alá nem tartozó tevékenységek kizárásáról szóló első francia bekezdését.

52      Kétségtelen, állítja a Parlament, hogy a PNR-adatoknak a megfelelőségi határozatban szereplő amerikai hatóság számára történő továbbítását követő feldolgozása a C‑101/01. sz. Lindqvist‑ügyben 2003. november 6‑án hozott ítélet (EBHT 2003., I‑12 971. o.) 43. pontja értelmében vett sajátosan állami tevékenységek gyakorlása érdekében történik és fog történni.

53      Az Egyesült Királyság által támogatott Bizottság úgy véli, hogy a légifuvarozók tevékenysége egyértelműen a közösségi jog hatálya alá tartozik. Előadja, hogy e gazdasági szereplők a Közösség területén dolgozzák fel a PNR-adatokat, és szervezik azok harmadik államba történő továbbítását. Így tehát ez magánszemélyek tevékenysége, nem pedig azon tagállamoké, sem azon tagállamoknak a fent hivatkozott Lindqvist‑ügyben hozott ítélet 43. pontja értelmében vett közhatalmáé, ahol az érintett légifuvarozók működnek. A PNR-adatok feldolgozásakor a légifuvarozók célja csupán a közösségi jog követelményeinek betartása, ideértve a megállapodás 2. pontjában szereplő kötelezettséget is. Az irányelv 3. cikkének (2) bekezdése a közösségi jog tárgyi hatálya alá nem tartozó közhatalmi tevékenységekre utal.

 A Bíróság álláspontja

54      Az irányelv 3. cikke (2) bekezdésének első francia bekezdése kizárja az irányelv hatálya alól a közösségi jog hatályán kívül eső, így különösen az Európai Unióról szóló szerződés V. és VI. címeiben megállapított tevékenységekkel, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveleteket.

55      A megfelelőségi határozat csupán a CBP részére továbbított PNR-adatokra vonatkozik. E határozat hatodik preambulumbekezdéséből kitűnik, hogy e továbbítás követelményei az Egyesült Államok által 2001 novemberében elfogadott törvényen, illetve a CBP által az alapján elfogadott végrehajtási rendelkezéseken alapulnak. E határozat hetedik preambulumbekezdése szerint e jogszabályok a biztonság megerősítését, valamint a személyek ki- és beléptetésének feltételeit érintik. A nyolcadik preambulumbekezdés értelmében a Közösség a közösségi jog által megadott határokon belül teljes mértékben támogatja az Egyesült Államok terrorizmus elleni küzdelmét. Ugyanezen határozat tizenötödik preambulumbekezdése kimondja, hogy a PNR-adatokat kizárólag olyan célokra lehet felhasználni, amelyek a terrorizmus és a kapcsolódó bűncselekmények, a transznacionális jelleget öltő egyéb súlyos bűncselekmények – beleértve a szervezett bűnözést is –, illetve a fenti bűncselekmények miatt elrendelt letartóztatás, illetve kiadott elfogatóparancs előli szökés megelőzését és ezek leküzdését szolgálják.

56      Ebből az következik, hogy a PNR-adatok CBP részére történő továbbítása a közbiztonsággal és a büntetőjog területén végzett állami tevékenységekkel kapcsolatos adatfeldolgozásnak minősül.

57      Igaz ugyan, hogy a PNR-adatokat a légitársaságok gyűjtik a közösségi jog hatálya alá tartozó tevékenységük végzése – azaz szolgáltatás igénybevételére jogosító repülőjegy eladása – során, ám a megfelelőségi határozatban szereplő adatfeldolgozás egészen más jellegű. E határozat ugyanis, mint arra a Bíróság a jelen ítélet 55. pontjában már emlékeztetett, nem a szolgáltatás nyújtásához és igénybevételéhez szükséges adatfeldolgozást, hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges adatfeldolgozást szabályozza.

58      A fent hivatkozott Lindqvist‑ügyben hozott ítélet Bizottság által felhívott 43. pontjában a Bíróság azt mondta ki, hogy az irányelv 3. cikke (2) bekezdésének első francia bekezdésében példálózó jelleggel említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé. Ebből azonban nem következik az, hogy a kérdéses adattovábbítás azért ne tartozna e rendelkezés hatálya alá, mert a PNR-adatokat gazdasági szereplők kereskedelmi célból gyűjtik, és harmadik államba történő továbbításukat e gazdasági szereplők szervezik meg. Ezen adattovábbítás háttere ugyanis közhatalmi jellegű és közbiztonsági célú.

59      Az eddigi megfontolásokból az következik, hogy a megfelelőségi határozat személyes adatoknak az irányelv 3. cikke (2) bekezdésének első francia bekezdése értelmében vett feldolgozásáról szól. E határozat tehát nem tartozik az irányelv tárgyi hatálya alá.

60      Így az első jogalapnak az irányelv 3. cikke (2) bekezdése első francia bekezdésének megsértésére alapozott első része alapos.

61      Következésképpen a megfelelőségi határozatot – az első jogalap egyéb részeinek és a Parlament által előadott egyéb jogalapoknak a vizsgálata nélkül is – meg kell semmisíteni.

 A keresetről a C‑317/04. sz. ügyben

62      A Parlament hat megsemmisítési jogalapot ad elő, melyek az EK 95. cikknek a 2004/496 határozat jogi alapjául való hibás választásán, az EK 300. cikk (3) bekezdése második albekezdésének megsértésén, az EEJE 8. cikkének megsértésén, az arányosság elvének megsértésén, az indokolási kötelezettség megszegésén és a jóhiszemű együttműködés kötelezettségének megszegésén alapulnak.

 Az EK 95. cikknek a 2004/496 határozat jogi alapjául való hibás választására alapított első jogalapról

 A felek érvei

63      A Parlament előadja, hogy az EK 95. cikk nem minősül a 2004/496 határozat megfelelő jogi alapjának. E határozatnak nem a belső piac – a szabad szolgáltatásnyújtás akadályainak eltörlésével történő – létrehozása és működése képezi a tárgyát és a tartalmát, valamint nem is tartalmaz ilyen célú rendelkezéseket. E határozat célja ugyanis a személyes adatok Egyesült Államok jogszabályaiban előírt feldolgozásának legalizálása. Emellett az EK 95. cikkre azért nem alapozható a Közösség hatásköre a megállapodás megkötésére, mert a megállapodás az irányelv tárgyi hatályán kívül eső adatfeldolgozásra vonatkozik.

64      A Tanács azt állítja, hogy a Szerződés 100a. cikke alapján érvényesen elfogadott irányelv 25. cikkének rendelkezései lehetőséget adnak személyes adatok megfelelő védelmi szintet biztosító harmadik államba történő továbbítására, ideértve szükség esetén a Közösség és e harmadik állam között megállapodás megkötéséhez vezető tárgyalások megkezdésének lehetőségét is. A megállapodás a PNR-adatoknak a Közösség és az Egyesült Államok közötti szabad mozgásáról szól a személyek alapvető jogait és szabadságait, így különösen a magánélethez való jogot tiszteletben tartó feltételekkel. A megállapodás célja a tagállambeli légitársaságok közötti, illetve az ezek és a harmadik állambeli légitársaságok közötti verseny Egyesült Államok által előírt követelményekből esetlegesen adódó, a személyek jogainak és szabadságának védelme miatti torzulásának elkerülése. Az Egyesült Államokba tartó vagy onnan induló utasokat szállító tagállami légitársaságok közötti verseny feltételei torzulnának, ha közülük csak egyesek biztosítanának hozzáférést adatbázisaikhoz az Egyesült Államok hatóságainak. A megállapodás célja egységesített kötelezettségek előírása valamennyi érintett társaság számára.

65      A Bizottság hangsúlyozza, hogy az Egyesült Államok törvényei és a közösségi szabályozás között nemzetközi közjogi értelemben vett „jogösszeütközés” áll fenn, amit fel kell oldani. Kifogásolja, hogy a Parlament vitatja, képezheti‑e az EK 95. cikk a 2004/496 határozat jogalapját, ám nem javasolt megfelelő jogalapot. A Bizottság álláspontja szerint e cikk e határozat „természetes jogalapja”, mivel a megállapodás a személyes adatok védelmének külső dimenziójáról szól Közösségen belüli továbbításuk esetén. Az irányelv 25. és 26. cikke a Közösség kizárólagos külső hatáskörét alapozza meg.

66      Emellett a Bizottság előadja, hogy ezen adatok elsődleges feldolgozását a légitársaságok kereskedelmi céllal végzik. Ezen adatoknak az Egyesült Államok hatóságai általi felhasználása okán azok még nem kerülnek ki az irányelv hatálya alól.

 A Bíróság álláspontja

67      Az EK 95. cikk az irányelv 25. cikkével összefüggésben nem alapozhatja meg a Közösség hatáskörét a megállapodás megkötésére.

68      A megállapodás ugyanis ugyanazon adattovábbításról, és így ugyanazon – az irányelv hatálya alól kizárt – adatfeldolgozásról szól, amiről a megfelelőségi határozat.

69      Következésképpen a 2004/496 határozatot érvényesen nem lehetett az EK 95. cikk alapján elfogadni.

70      Így tehát e határozatot – a Parlament által előadott egyéb jogalapok vizsgálata nélkül is – meg kell semmisíteni.

 Az ítélet hatályának korlátozásáról

71      A megállapodás 7. pontjából kitűnik, hogy azt bármelyik fél bármikor felmondhatja, és hogy a megállapodás a felmondásról szóló értesítés másik féllel való közlésétől számított kilencvenedik nap elteltével veszti hatályát.

72      Azonban a megállapodás 1. és 2. pontja szerint a CBP hozzáférési joga a PNR-adatokhoz, illetve a légifuvarozók kötelezettsége ezen adatok CBP által megköveteltek szerinti feldolgozására csupán addig áll fenn, amíg a megfelelőségi határozat hatályban van. E megállapodás 3. pontjában a CBP akként nyilatkozott, hogy az e határozat mellékletét képező kötelezettségvállalásokat végrehajtja.

73      Figyelemmel egyrészt arra, hogy a Közösség nem hivatkozhat saját jogára a felmondástól számított 90 napig még hatályban maradó megállapodás végre nem hajtásának igazolására, másrészt pedig a megállapodás és a megfelelőségi határozat szoros kapcsolatára, a jogbiztonság és az érintettek védelme érdekében indokoltnak tűnik a megfelelőségi határozat ugyanennyi ideig történő hatályban tartása. Ezen kívül tekintettel kell lenni a jelen ítélet végrehajtásához szükséges intézkedések elfogadásának időigényére is.

74      Ezért a megfelelőségi határozatot 2006. szeptember 30‑ig – azonban ezen belül is legfeljebb a megállapodás megszűnéséig – hatályban kell tartani.

 A költségekről

75      Az eljárási szabályzat 69. cikkének 2. §‑a alapján a Bíróság a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte. Mivel a Parlament a Tanács és a Bizottság költségek viselésére való kötelezését kérte, és ez utóbbiak pervesztesek lettek, kötelezni kell őket a költségek viselésére. Ugyanezen cikk 4. §‑a alapján a beavatkozók maguk viselik saját költségeiket.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

1)      A Bíróság a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i 2004/496/EK tanácsi határozatot és az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i 2004/535/EK bizottsági határozatot megsemmisíti.

2)      A Bíróság a 2004/535 határozatot 2006. szeptember 30‑ig – azonban ezen belül is legfeljebb a megállapodás megszűnéséig – hatályban tartja.

3)      A Bíróság a C‑317/04. sz. ügyben az Európai Unió Tanácsát kötelezi a költségek viselésére.

4)      A Bíróság a C‑318/04. sz. ügyben az Európai Közösségek Bizottságát kötelezi a költségek viselésére.

5)      A C‑317/04. sz. ügyben az Európai Közösségek Bizottsága maga viseli saját költségeit.

6)      Nagy-Britannia és Észak-Írország Egyesült Királysága, valamint az Európai Adatvédelmi Biztos maguk viselik saját költségeiket.

Aláírások

* Az eljárás nyelve: francia.