PHILIPPE LÉGER
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2005. november 22.1(1)
C‑317/04. sz. ügy
Európai Parlament
kontra
az Európai Közösségek Tanácsa
„Az egyének védelme a személyes adatok feldolgozása vonatkozásában – Megsemmisítés iránti kereset – 2004/496/EK tanácsi határozat – Az Európai Közösségek és az Amerikai Egyesült Államok közötti, a PNR (Passenger Name Records) adatok feldolgozásáról és továbbításáról szóló megállapodás”
C‑318/04. sz. ügy
Európai Parlament
kontra
az Európai Közösségek Bizottsága
„Megsemmisítés iránti kereset – Az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló 2004/535/EK bizottsági határozat – 95/46/EK irányelv”
Tartalomjegyzék
I – A jogvita előzményei
II – A két ügy jogi háttere
A – Az EU‑Szerződés
B – Az Európai Közösséget létrehozó szerződés
C – A személyes adatok védelmére vonatkozó európai jog
III – A megtámadott határozatok
A – A megfelelőségi határozat
B – A tanácsi határozat
IV – A Parlament által a két ügyben előadott jogalapok
V – A megfelelőségi határozat megsemmisítése iránti keresetről (C‑318/04. sz. ügy)
A – A Bizottság által a megfelelőségi határozat elfogadása során elkövetett hatáskör túllépésére vonatkozó jogalapról
1. A felek érvei
2. Értékelés
B – Az alapvető jogok megsértésére és az arányosság elvének megsértésére alapított jogalapok
VI – A tanácsi határozat megsemmisítése iránti keresetről (C‑317/04. sz. ügy)
A – Az EK 95. cikknek a tanácsi határozat jogi alapjául való hibás választására alapított első jogalapról
1. A felek érvei
2. Értékelés
B – Az EK 300. cikk (3) bekezdése második albekezdésének a 95/46 irányelv módosítása miatti megsértésére alapított jogalapról
1. A felek érvei
2. Értékelés
C – A személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapokról
1. A felek érvei
2. Értékelés
a) A magánéletbe való beavatkozás fennállásáról
b) A magánéletbe való beavatkozás indokoltsága
i) A beavatkozás törvényben meghatározott?
ii) A beavatkozás törvényes célt követ?
iii) Szükséges‑e demokratikus társadalomban a beavatkozás e cél eléréséhez?
D – A tanácsi határozat nem megfelelő indokolására alapított jogalapról
E – Az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértésére alapított jogalapról
VII – A költségekről
VIII – Végkövetkeztetések
1. Az Európai Parlament két megsemmisítés iránti keresettel fordult a Bírósághoz az EK 230. cikk alapján. A C‑317/04. sz., Parlament kontra Tanács ügyben a kereset az Európai Unió és az Egyesült Államok közötti, a PNR-adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i tanácsi határozat(2) megsemmisítésére irányul. A 318/04. sz., Parlament kontra Bizottság ügyben a Parlament az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i bizottsági határozat(3) megsemmisítését kéri.
2. E két ügyben a Bíróságnak a légi utasok személyes adatainak védelmére vonatkozó kérdésről kell határoznia, mivel harmadik országba, jelen esetben az Egyesült Államokba(4) történő továbbításuk és feldolgozásuk igazolása érdekében közbiztonsági és a büntetőjog területére tartozó követelményekre hivatkoznak, mint például a terrorizmus és egyéb súlyos bűncselekmények megelőzése és az ellenük való küzdelem.
3. E két ügy a következőkben bemutatandó események sorozatából ered. Ezt követően részletezni fogom a jogi hátterüket.
I – A jogvita előzményei
4. Az Egyesült Államok a 2001. szeptember 11‑i terrortámadások másnapján olyan jogszabályokat fogadott el, amelyek az Egyesült Államok területére, területéről vagy területén keresztül járatot indító légiutas-szállítókat arra kötelezik, hogy az Egyesült Államok vámhatóságainak elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a „Passanger Name Records”‑nak nevezett adatokhoz (a továbbiakban: PNR)(5). Az Európai Közösségek Bizottsága, elismerve ugyan a szóban forgó biztonsági érdekek legitimitását, már 2002 júniusában tájékoztatta az Egyesült Államok hatóságait, hogy e rendelkezések ellentétesek lehetnek a közösségi és tagállami személyes adatok védelmére vonatkozó jogszabályokkal, valamint a számítógépes helyfoglalási rendszerekről szóló rendelet(6) bizonyos rendelkezéseivel. Az Egyesült Államok hatóságai elhalasztották az új rendelkezések hatálybalépését, de elutasították, hogy letegyenek a PNR-adatokhoz való elektronikus hozzáférésről szóló jogszabályoknak 2003. március 5. után meg nem felelő légitársaságokkal szembeni szankciók alkalmazásáról. Ezen időponttól kezdve számos, a tagállamokban letelepedett nagy légitársaság hozzáférést engedett e hatóságoknak a PNR-adataihoz.
5. A Bizottság tárgyalásokat kezdett az amerikai hatóságokkal, amely alkalmat adott a CBP részéről vállalt kötelezettségeket tartalmazó dokumentum kidolgozására, egy olyan bizottsági határozat elfogadása érdekében, amelynek tárgya az Egyesült Államok által nyújtott személyes adatok védelmi szintje megfelelőségének megállapítása a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46 európai parlamenti és tanácsi irányelv(7) 25. cikkének (6) bekezdése alapján.
6. 2003. június 13‑án a „29. cikk” adatvédelmi munkacsoport(8) véleményt adott ki, amelyben kétségeit fejezte ki a tervezett adatfeldolgozás vonatkozásában e kötelezettségvállalásokkal biztosított adatvédelmi szintet illetően.(9) E kétségeit a 2004. január 29‑i véleményében megismételte(10).
7. A Bizottság 2004. március 1‑jén a Parlament elé terjesztette a megfelelőségi határozat tervezetét, mellékelve hozzá a CBP kötelezettségvállalásainak tervezetét.
8. A Bizottság 2004. március 17‑én az EK 300. cikk (3) bekezdésének első albekezdése szerinti konzultáció végett megküldte a Parlamentnek a Közösség és az Egyesült Államok között kötendő megállapodásról szóló tanácsi határozat iránti javaslatot. A Tanács 2004. március 25‑i levelében a Parlament eljárási szabályzatának 112. cikke alapján (jelenleg 134. cikk) sürgősségi eljárásra utalva azt kérte, hogy a Parlament legkésőbb 2004. április 22‑ig adjon véleményt e javaslatról. E levélben a Tanács hangsúlyozza, hogy „a javasolt intézkedések indoka a terrorizmus elleni küzdelem, amely az Európai Unió alapvető prioritása. Jelenleg a légi fuvarozók és az utasok bizonytalanságban vannak, amit sürgősen fel kell oldani. Továbbá lényeges az érintettek pénzügyi érdekeinek védelme is”.
9. A Parlament 2004. március 31‑én a Bizottságra ruházott végrehajtási hatáskörök gyakorlására vonatkozó eljárások megállapításáról szóló, 1999. június 28‑i tanácsi határozat(11) 8. cikke alapján állásfoglalást fogadott el, amelyben e megközelítéssel szembeni jogi fenntartásait összegezte. E határozatban a Parlament közelebbről akként vélekedett, hogy a megfelelőségi határozat tervezete meghaladja a 95/46 irányelv 25. cikkében a Bizottságra ruházott hatáskört. Az alapvető jogok tiszteletben tartására alkalmas nemzetközi szerződés megkötését javasolta, és új határozattervezet előterjesztését kérte a Bizottságtól. Emellett fenntartotta a Bírósághoz fordulás jogát a tervezett nemzetközi megállapodás jogszerűségének és különösen a magánélethez való joggal való összeegyeztethetőségének ellenőrzése érdekében.
10. A Parlament 2004. április 21‑én elnöke kérelmére elfogadta a jogi és belső piaci bizottság ajánlását arra vonatkozóan, hogy az EK 300. cikk (6) bekezdése alapján kérjék ki a Bíróság véleményét a tervezett megállapodásnak a Szerződés rendelkezéseivel való összeegyeztethetőségéről; ezen eljárást aznap meg is indították. A Parlament ugyanaznap akként is határozott, hogy bizottsági tárgyalásra tűzi ki a tanácsi határozat javaslatáról szóló jelentést, egyben hallgatólagosan elutasítva ezzel a Tanács e javaslat sürgős tárgyalása iránti 2004. március 25‑i kérelmét.
11. A Tanács április 28‑án az EK 300. cikk (3) bekezdésének első albekezdése alapján levelet intézett a Parlamenthez, amelyben azt kérte, hogy a Parlament 2004. május 5‑ig adjon véleményt a megállapodás megkötéséről. A kérelem sürgősségét a 2004. március 25‑i levelében előadottakkal indokolta.(12)
12. A Bíróság hivatalvezetője 2004. április 30‑án tájékoztatta a Parlamentet, hogy a Bíróság 2004. június 4‑ig adott határidőt a tagállamok, a Tanács és a Bizottság számára észrevételeik benyújtására a vélemény iránti kérelemmel kapcsolatos 1/04. sz. eljárásban.
13. A Parlament 2004. május 4‑én elutasította a Tanács április 28‑án előterjesztett sürgős tárgyalás iránti kérelmét.(13) Harmadnap a Parlament elnöke azt kérte a Tanácstól és a Bizottságtól, hogy ne folytassák az eljárást, amíg a Bíróság meg nem hozza a 2004. április 21‑én kért véleményt.
14. A Bizottság a 95/46 irányelv 25. cikke (6) bekezdésének megfelelően 2004. május 14‑én elfogadta az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló határozatot.
15. A Tanács 2004. május 17‑én elfogadta az Európai Unió és az Egyesült Államok közötti, a PNR-adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló határozatot.
16. A Parlament 2004. július 9‑i levelében tájékoztatta a Bíróságot, hogy az 1/04. számon nyilvántartásba vett vélemény iránti kérelmét visszavonja.(14) Ezt követően úgy döntött, hogy jogi útra tereli a közötte és a Tanács és a Bizottság közötti vitát.
II – A két ügy jogi háttere
A – Az EU‑Szerződés
17. Az EU 6. cikk értelmében:
„(1) Az Unió a szabadság, a demokrácia, az emberi jogok és az alapvető szabadságok tiszteletben tartása és a jogállamiság elvein alapul, amely alapelvek közösek a tagállamokban.
(2) Az Unió a közösségi jog általános elveiként tartja tiszteletben az alapvető jogokat, ahogyan azokat az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény biztosítja, továbbá ahogyan azok a tagállamok közös alkotmányos hagyományaiból erednek.
[…]”
B – Az Európai Közösséget létrehozó szerződés
18. Az EK 95. cikk (1) bekezdése a következőképp rendelkezik:
„Ha e szerződés másként nem rendelkezik, a 14. cikkben meghatározott célkitűzések megvalósítására – a 94. cikktől eltérve – a következő rendelkezéseket kell alkalmazni. A Tanács a 251. cikkben megállapított eljárásnak megfelelően és a Gazdasági és Szociális Bizottsággal folytatott konzultációt követően elfogadja azokat a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseinek közelítésére vonatkozó intézkedéseket, amelyek tárgya a belső piac megteremtése és működése.”
19. A nemzetközi megállapodások Közösség általi megkötésére irányuló eljárásáról szólva az EK 300. cikk (2) bekezdésének első albekezdése az első mondatban előírja, hogy „az e téren a Bizottságra ruházott hatáskörre is figyelemmel a megállapodások aláírásáról [...] és megkötéséről a Bizottság javaslata alapján minősített többséggel a Tanács határoz.”
20. Az EK 300. cikk (3) bekezdése így szól:
„A 133. cikk (3) bekezdésében említett megállapodások kivételével a megállapodásokat a Tanács az Európai Parlamenttel folytatott konzultációt követően köti meg, beleértve azokat az eseteket is, amikor a megállapodás olyan területre vonatkozik, ahol a belső szabályok elfogadásához a 251. cikkben vagy a 252. cikkben említett eljárásra van szükség. Az Európai Parlament véleményét a Tanács által az ügy sürgősségétől függően megállapított határidőn belül közli. Ha ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat.
Az előző albekezdéstől eltérve, a 310. cikkben említett megállapodásokat, az együttműködési eljárások bevezetése útján külön intézményi keretet létrehozó egyéb megállapodásokat, a Közösségre nézve jelentős költségvetési kihatással járó megállapodásokat, valamint a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igénylő megállapodásokat az Európai Parlament hozzájárulásának elnyerését követően lehet megkötni.
A Tanács és az Európai Parlament sürgős esetben megállapodhat a hozzájárulás megadásának határidejében.”
C – A személyes adatok védelmére vonatkozó európai jog
21. Az emberi jogok és az alapvető szabadságok védelméről szóló egyezmény (a továbbiakban: EEJE) 8. cikke kimondja:
„1. Mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák.
2. E jog gyakorlásába hatóság csak a törvényben meghatározott, olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.”
22. Az európai adatvédelmi jog először az Európa Tanács keretében rajzolódott ki. Az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezmény az Európa Tanács tagállamai számára Strasbourgban, 1981. január 28‑án nyílt meg aláírásra.(15) Az egyezmény célja, hogy minden egyes Fél területén minden egyén számára, tekintet nélkül nemzetiségére vagy lakóhelyére, biztosítva legyen, hogy jogait és alapvető szabadságjogait, különösen a magánélethez való jogát tiszteletben tartsák a személyes adatainak gépi feldolgozása során.
23. Ami az Európai Uniót illeti, az Európai Unió Alapjogi Chartájának(16) a magán- és családi életet védő 7. cikkén kívül a 8. cikk kifejezetten a személyes adatok védelmére vonatkozik. A következőket mondja ki:
„(1) Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
(2) Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.
(3) E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie.”
24. Az elsődleges közösségi jogról szólva az EK 286. cikk az (1) bekezdésében előírja, hogy „1999. január 1‑jétől a személyes adatok kezelése tekintetében a természetes személyek védelmére és az ilyen adatok szabad áramlására vonatkozó közösségi jogi aktusokat alkalmazni kell az e szerződés által vagy az e szerződés alapján felállított intézményekre és szervekre”.(17)
25. A másodlagos közösségi jogban a terület alapvető normája a 95/46 irányelv.(18) Az Európa Tanács szövegeivel való kapcsolata az említett irányelvnek kifejezetten a tizedik és tizenegyedik preambulumbekezdéséből ered. A tizedik preambulumbekezdés ugyanis kimondja, hogy „a személyes adatok feldolgozására vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; [...] ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül”. Továbbá a 95/46 irányelv tizenegyedik preambulumbekezdése utal arra, hogy „az egyének jogai és szabadságai védelmének elvei, különösen a magánélet tiszteletben tartásához való jog védelmének elve, amelyeket ez az irányelv tartalmaz, tartalmat adnak és kiegészítik azokat, amelyeket az Európa Tanácsnak [...] az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezménye tartalmaz”.
26. Az EK‑Szerződés 100a. cikke (jelenleg EK 95. cikk) alapján elfogadott 95/46 irányelv eredete a harmadik preambulumbekezdésben kifejezett gondolatból ered, amely szerint „[a] belső piac kialakítása és működése [...] nem csak azt kívánja meg, hogy a személyes adatok szabadon áramolhassanak egyik tagállamból a másikba, hanem azt is, hogy az egyének alapvető jogai biztosítva legyenek”. Pontosabban a közösségi jogalkotó abból a megállapításból indult ki, amely szerint „az egyes tagállamokban végzett személyesadat-feldolgozás terén az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmének szintjei közötti eltérések akadályozhatják az ilyen adatok egyik tagállamból a másikba történő továbbítását”(19), ebből eredően ezek az eltérések akadályt jelentenek számos közösségi szintű gazdasági tevékenység elvégzésében, és torzítják a versenyt. A közösségi jogalkotó úgy vélte, hogy „a személyes adatok áramlása előtti akadályok elhárítása érdekében az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása terén azonos kell legyen minden tagállamban”(20). E megközelítésnek azzal az eredménnyel kell járnia, hogy „a nemzeti jogszabályok közelítéséből következő azonos szintű védelemre tekintettel a tagállamok már nem akadályozhatják meg a személyes adatok szabad áramlását egymás között az egyének jogai és szabadságai, különösen a magánélet tiszteletben tartásához való jog védelmére hivatkozva”(21).
27. A 95/46 irányelvnek „Az irányelv célja” című 1. cikke e megközelítést az alábbiak szerint valósítja meg:
„(1) A tagállamok ezen irányelvnek megfelelően védik a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében.
(2) A tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.”
28. Ezen irányelv 2. cikke meghatározza a „személyes adat”, a „személyes adatok feldolgozása” és az „adatkezelő” fogalmát.
29. Így a 95/46 irányelv 2. cikkének a) pontja szerint személyes adat: az azonosított vagy azonosítható természetes személyre (érintettre) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén.
30. Ezen irányelv 2. cikkének b) pontja szerint személyes adatok feldolgozása (feldolgozás): a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés.
31. A 96/45 irányelv 2. cikkének d) pontja szerint adatkezelő: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki.
32. A 96/45 irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
33. Ezen irányelv 3. cikkének (2) bekezdése lehetővé teszi az irányelv tárgyi hatályának korlátozását, mivel ekként rendelkezik:
„Az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címében megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,
[…]”
34. A 95/46 irányelv II. fejezete a „[s]zemélyes adatok feldolgozásának jogszerűségére vonatkozó általános szabályok”‑at tartalmazza. E fejezeten belül az I. szakasz az „[a]datok minőségére vonatkozó elvek”-ről szól. A 6. cikk felsorolja a tisztességesség, a törvényesség, a célhoz kötöttség, az arányosság és a pontosság elveit. A következőképpen rendelkezik:
„(1) A tagállamok rendelkeznek arról, hogy a személyes adatok:
a) feldolgozását tisztességesen és törvényesen kell végezni;
b) gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása történelmi, statisztikai vagy tudományos célokra nem tekintendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat;
c) gyűjtésük és/vagy további feldolgozásuk célja szempontjából megfelelőek, relevánsak és nem túlzott mértékűek;
d) pontosak, és ha szükséges, időszerűek kell legyenek […];
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A tagállamok állapítják meg a személyes adatok történelmi, statisztikai vagy tudományos célból, hosszabb ideig történő tárolásának megfelelő garanciáit […].
(2) Az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek.”
35. Az irányelv II. fejezetének II. szakasza „[a]z adatfeldolgozás jogszerűvé tételére vonatkozó kritériumok”‑at tartalmazza. Az e szakaszt alkotó 7. cikk a következőket mondja ki:
„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy
b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy
c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges
[…]”
36. A rendszerint különleges adatoknak is minősülő személyes adatokról szólva a 8. cikk (1) bekezdése kimondja ezek feldolgozásának tilalmát. Előírja ugyanis, hogy „[a] tagállamok megtilthatják [helyesen: megtiltják] az olyan személyes adatok feldolgozását, amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak”. E tilalom alól azonban több kivétel van, amelyeknek tartalmát és rendszerét ugyanezen cikk következő bekezdései fejtik ki.
37. A 95/46 irányelv „Mentességek és korlátozások” címet viselő 13. cikkének (1) bekezdése értelmében:
„A tagállamok jogszabályokat fogadhatnak el a 6. cikk (1) bekezdésében, a 10. cikkben, a 11. cikk (1) bekezdésében, valamint a 12. és a 21. cikkben foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
e) valamely tagállam vagy az Európai Unió fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket;
f) a c), d) és e) pontban említett esetekben esetlegesen a hatósági feladatok gyakorlásához kapcsolódó ellenőrzési, felügyeleti és szabályozási tevékenység;
g) az érintett, vagy mások jogainak és szabadságainak védelme.”
38. A közösségi jogalkotónak célja volt az is, hogy az így létrehozott rendszer ne gyengüljön, amikor a személyes adat elhagyja a Közösség területét. Nyilvánvalóvá vált, hogy a nemzetközi méretű információáramlás(22) elégtelenné, sőt feleslegessé tenné az olyan szabályozást, amely csupán a Közösség területén hatályos. A közösségi jogalkotó ezért – a harmadik országok felé irányuló adattovábbítás lehetővé tétele érdekében – olyan rendszer mellett döntött, amely megköveteli, hogy e harmadik ország „megfelelő védelmi szintet” biztosítson ezen adatoknak.
39. A közösségi jogalkotó ezért azt a szabályt állítja fel, amely szerint „a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani”(23).
40. Ennek megfelelően a 95/46 irányelv 25. cikke megállapítja a harmadik országokba irányuló adatátvitel elveit:
„(1) A tagállamoknak rendelkezniük kell arról, hogy a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt személyes adatok csak akkor továbbíthatók harmadik országba, ha – az ezen irányelv egyéb rendelkezései értelmében elfogadott nemzeti rendelkezéseknek való megfelelés sérelme nélkül – az adott harmadik ország megfelelő védelmi szintet tud biztosítani.
(2) A harmadik ország által nyújtott védelem szintjének megfelelő mivoltát az adattovábbítási művelet vagy adattovábbítási műveletsorozat feltételeinek figyelembevételével kell értékelni; különös figyelmet kell fordítani az adatok jellegére, a tervezett adatfeldolgozási művelet vagy műveletek céljára és időtartamára, a kiindulási és a célországra, az adott harmadik országban hatályos, általános és ágazati jogrendre, valamint az adott országban érvényesülő szakmai szabályokra és biztonsági intézkedésekre.
(3) A tagállamok és a Bizottság értesítik egymást azokról az esetekről, amelyekben úgy vélik, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet a (2) bekezdés értelmében.
(4) Amennyiben a Bizottság megállapítja a 31. cikk (2) bekezdésében foglalt eljárás során, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet ennek a cikknek a (2) bekezdése értelmében, a tagállamok megteszik a megfelelő intézkedéseket az azonos típusú adatoknak a szóban forgó harmadik országba irányuló továbbításának megakadályozására.
(5) A Bizottság megfelelő időben tárgyalásokat kezdeményez a (4) bekezdés szerinti megállapításból eredő helyzet megoldására.
(6) A Bizottság a 31. cikk (2) bekezdésében említett eljárásnak megfelelően megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít e cikk (2) bekezdése értelmében az egyének magánéletének, jogainak és szabadságainak védelmére vonatkozó belföldi jog, vagy a vállalt nemzetközi kötelezettségek, különösen az (5) bekezdésben említett tárgyalások végeredménye alapján.
A tagállamok megtesznek minden szükséges intézkedést a Bizottság határozatának teljesítésére.”
41. Végül utalni kell arra, hogy az EU‑Szerződésnek a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködésre vonatkozó VI. címe keretében a személyes adatok védelmét különböző konkrét eszközök szabályozzák. Nevezetesen az európai szintű közös információs rendszereket létrehozó eszközökről van szó, mint például a Schengeni Megállapodás végrehajtásáról szóló Egyezmény(24), amely különös rendelkezéseket tartalmaz a Schengeni Információs Rendszer (SIS) keretén belüli adatvédelemre(25); az Európai Unióról szóló szerződés K.3. cikke alapján az Európai Rendőrségi Hivatal létrehozásáról szóló egyezmény(26); az Eurojust létrehozásáról szóló tanácsi határozat(27), az Eurojust személyes adatok feldolgozására és védelmére vonatkozó eljárási szabályzatával kapcsolatos rendelkezések(28), az Európai Unióról szóló szerződés K.3. cikke alapján az informatika vámügyi alkalmazásáról szóló egyezmény(29), amely a vámügyi információs rendszerben alkalmazandó, a személyes adatok védelmére vonatkozó rendelkezéseket tartalmaz, és az Európai Unió tagállamai közötti kölcsönös bűnügyi jogsegélyegyezmény(30).
42. A Bizottság 2005. október 4‑én terjesztette elő a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló kerethatározat javaslatát(31).
III – A megtámadott határozatok
43. A két határozatot elfogadásuk időrendi sorrendjében vizsgálom.
A – A megfelelőségi határozat
44. A megfelelőségi határozatot a 95/46 irányelv 25. cikkének (6) bekezdése alapján fogadta el a Bizottság, amely – emlékeztetek rá – feljogosítja annak megállapítására, hogy harmadik ország megfelelő védelmi szintet biztosít a személyes adatoknak.(32) Amint e határozat második preambulumbekezdése kimondja, „[e]bben az esetben a személyes adatokat a tagállamoktól továbbítani lehet anélkül, hogy további garanciákra lenne szükség”.
45. E határozat tizenegyedik preambulumbekezdésében a Bizottság utal arra, hogy „[a] CBP, a részére továbbított, a légi utasok PNR-adatállományában szereplő személyes adatok feldolgozását a Department of Homeland Security, Bureau of Customs and Border Protection (CBP) 2004. május 11‑i Kötelezettségvállalásaiban és az Egyesült Államok nemzeti jogszabályaiban megállapított feltételek mellett végzi a Kötelezettségvállalásokban meghatározottaknak megfelelően”. A Bizottság ugyanezen határozat tizennegyedik preambulumbekezdésében megállapítja, hogy „[a]z Egyesült Államok jogszabályain és a Kötelezettségvállalásokon alapuló követelményrendszer, amely alapján a CBP az utasok PNR-adatait kezeli, magában foglalja a természetes személyek adatainak megfelelő szintű védelméhez szükséges alapelveket”.
46. Következésképpen a megfelelőségi határozat 1. cikke kimondja:
„A 95/46 irányelv 25. cikkének (2) bekezdésére tekintettel, [a CBP] a mellékletben megállapított Kötelezettségvállalásokkal összhangban úgy tekintendő, mint amely a Közösség részéről történő, az Egyesült Államokból érkező, illetve az oda tartó légi járatokra vonatkozó PNR-adatok továbbításához szükséges megfelelő védelmi szintet biztosítja.”
47. Továbbá a megfelelőségi határozat 3. cikke előírja, hogy a CBP felé történő adatáramlás a tagállamok hatáskörrel rendelkező hatóságainak kezdeményezésére felfüggeszthető a következő feltételek mellett:
„(1) Azon hatáskörök sérelme nélkül, amelyek alapján a tagállamok illetékes hatóságai felléphetnek a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések szerint elfogadott nemzeti rendelkezéseknek betartása érdekében, a tagállamok illetékes hatóságai gyakorolhatják a CBP felé történő adatáramlás felfüggesztésre vonatkozó már fennálló hatáskörüket abból a célból, hogy megvédjék a magánszemélyeket személyes adataik feldolgozására való tekintettel a következő esetekben:
a) amennyiben az Egyesült Államok egy illetékes hatósága megállapítja, hogy a CBP megsérti az alkalmazandó adatvédelmi követelményrendszert; vagy
b) amennyiben alaposan valószínűsíthető, hogy a mellékletben megállapított védelmi követelményrendszert megsértették, elfogadható alapja van azon feltételezésnek, hogy a CBP nem teszi meg vagy nem fogja megtenni a szükséges és időszerű lépéseket annak érdekében, hogy elintézze a szóban forgó ügyet, az adattovábbítás folytatása az érintett személy számára súlyos károk közvetlen kockázatával jár és az illetékes tagállami szervek megtették az ésszerű erőfeszítéseket az adott viszonyok között annak érdekében, hogy értesítsék a CBP‑t, és hogy lehetőséget nyújtsanak neki a válaszadásra.
(2) A felfüggesztésnek véget kell vetni, amint a biztonsági követelmények biztosítva vannak, és az érintett tagállamok illetékes hivatalát erről értesítették.”
48. A tagállamok kötelesek értesíteni a Bizottságot a megfelelőségi határozat 3. cikkének megfelelően hozott intézkedésekről. A tagállamok és a Bizottság e határozat 4. cikkének (2) bekezdése alapján egyébiránt kölcsönösen értesítik egymást minden, az adatvédelmi követelményrendszerben beálló változásról és azon esetekről, amelyekben e követelményeket nem tartják be. E kölcsönös tájékoztatást követően a megfelelőségi határozat 4. cikkének (3) bekezdése előírja, hogy „[a]mennyiben a 3. cikk, illetve ugyanezen cikk (1) és (2) bekezdése értelmében begyűjtött információ bizonyítékul szolgál arra, hogy a természetes személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, vagy hogy a mellékletben megállapított, a CBP által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek nem végzik eredményesen feladatukat, a CBP‑t értesíteni kell, és amennyiben szükséges, a 95/46 irányelv 31. cikke (2) bekezdésében említett eljárást kell alkalmazni e határozat hatályon kívül helyezésére vagy felfüggesztésére”.
49. A megfelelőségi határozat 5. cikke kimondja, hogy ez utóbbi alkalmazását felügyelni kell, és előírja, hogy „a 95/46 irányelv 31. cikke értelmében felállított bizottságnak jelenteni kell bármely vonatkozó ténymegállapítást”.
50. Továbbá a megfelelőségi határozat 7. cikke kimondja, hogy „e határozat a kihirdetését követő három év és hat hónap leteltével jár le, amennyiben a 95/46 irányelv 31. cikke (2) bekezdésében megállapított eljárással összhangban nem hosszabbítják meg azt”.
51. A fenti határozat melléklete tartalmazza a CBP kötelezettségvállalási nyilatkozatát, amely a bevezetőjében kimondja, hogy annak célja a CBP részére továbbított személyes adatok megfelelő védelmének biztosítására irányuló bizottsági „terv támogatása”. Megfogalmazása szerint a 48 bekezdésből álló kötelezettségvállalások „nem hoznak létre, vagy ruháznak át semmilyen jogot, vagy kedvezményt semmilyen személyre vagy szerződő félre függetlenül attól, hogy az magánjogi vagy közjogi jellegű”(33).
52. A jogvita megoldása szempontjából lényeges kötelezettségvállalások tartalmára az érvelésem során utalok.
53. Végül a megfelelőségi határozat „A” melléklete tartalmazza a CBP által a légi fuvarozóktól bekért 34 „PNR-adatelemet”(34).
54. A Bizottságnak e határozatát a Tanácsnak az Európai Közösség és az Egyesült Államok közötti nemzetközi megállapodás megkötésére irányuló határozata egészíti ki.
B – A tanácsi határozat
55. A tanácsi határozatot az EK 95. cikk alapján, az EK 300. cikk (2) bekezdése első albekezdésének első mondatával összefüggésben fogadták el.
56. Az első preambulumbekezdés kimondja, hogy „[a] Tanács 2004. február 23‑án felhatalmazta a Bizottságot arra, hogy a Közösség nevében tárgyalásokat folytasson az Amerikai Egyesült Államokkal a PNR-adatoknak a légi szállítók általi feldolgozásáról és a CBP részére történő továbbításáról szóló megállapodásról”(35). E határozat második preambulumbekezdése kimondja, hogy „[a] Szerződés 300. cikke (3) bekezdésének első albekezdése szerint a Tanács által meghatározott határidőn belül az Európai Parlament nem terjesztett elő véleményt, szem előtt tartva azon bizonytalan helyzet sürgős orvoslásának szükségességét, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintett pénzügyi érdekei védelmének szükségességét”.
57. A tanácsi határozat 1. cikke alapján a megállapodást a Közösség nevében hagyják jóvá. A határozat 2. cikke szerint a Tanács elnöke felhatalmazást kap, hogy kijelölje az(oka)t a személy(eke)t, aki(k) jogosult(ak) a Közösség nevében a megállapodás aláírására.
58. A megállapodás szövegét csatolták a tanácsi határozathoz. A 7. cikk kimondja, hogy a megállapodás az aláírásakor lép hatályba. E cikknek megfelelően a Washingtonban, 2004. május 28‑án aláírt megállapodás e napon lépett hatályba.(36)
59. A megállapodás preambulumában a Közösség és az Egyesült Államok elismeri „az alapvető jogok és szabadságok, nevezetesen a magánélethez fűződő jog tiszteletben tartásának fontosságát, valamint ezen értékek tiszteletben tartásának fontosságát a terrorizmus és az ehhez kapcsolódó bűncselekmények, valamint a nemzeteken átnyúló, súlyos bűncselekmények – ideértve a szervezett bűnözést is – megelőzése és az azok ellen folytatott küzdelem során”.
60. A következő szövegeket említi a megállapodás preambuluma: a 95/46 irányelv, különösen 7. cikkének c) pontja, a CBP kötelezettségvállalásai, valamint a megfelelőségi határozat.(37)
61. A felek tudomásul veszik, hogy „az Európai Közösség tagállamai területén működő, helyfoglalás-/indulás-ellenőrzési rendszerrel rendelkező légi szállítóknak – amint az technikailag kivitelezhető – meg kell szervezniük a PNR-adatok továbbítását a CBP‑nek, és hogy mindaddig – e megállapodás rendelkezéseinek megfelelően – az adatokhoz az Egyesült Államok hatóságai számára közvetlen hozzáférést kell biztosítani”(38).
62. Így a megállapodás 1. bekezdése előírja, hogy „[a] CBP – szigorúan a határozatnak(39) megfelelően, és mindaddig, amíg az alkalmazandó, illetve kizárólag addig, amíg kielégítő rendszer nem kerül felállításra az ilyen adatok légi szállítók általi továbbítására – elektronikus úton hozzáférhet a légi szállítóknak az Európai Közösség tagállamai területén elhelyezkedő helyfoglalás-/indulás-ellenőrzési rendszereiben [...] tárolt PNR-adatokhoz”.
63. A megállapodás 2. bekezdése – a CBP számára a PNR-adatokhoz való közvetlen hozzáférést biztosító jogkörön kívül – előírja, hogy az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítók kötelesek az automatikus helyfoglalási rendszerükben szereplő PNR-adatokat „az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint, és szigorúan a határozatnak(40) megfelelően feldolgozni mindaddig, amíg az alkalmazandó”.
64. A megállapodás 3. bekezdése kimondja, hogy a CBP „tudomásul veszi” a határozatot, és „kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”. Továbbá a megállapodás 4. bekezdése előírja, hogy „[a] CBP a továbbított PNR-adatokat feldogozza, és az ilyen adatfeldolgozással érintett személyeket az Egyesült Államok vonatkozó jogszabályainak és alkotmányos előírásainak megfelelően, jogellenes – különösen állampolgárságon vagy lakóhely szerinti országon alapuló – megkülönböztetés nélkül kezeli”.
65. A CBP és a Bizottság együttesen és rendszeresen felülvizsgálja e megállapodás végrehajtását.(41) Ez utóbbi azt is előírja, hogy „[a]bban az esetben, ha az Európai Unióban olyan légiutas-azonosító rendszer felállítására kerül sor, amely alapján a légi szállítók kötelesek a hatóságok számára olyan személyek PNR-adataihoz hozzáférést biztosítani, akik folyamatban lévő utazási útvonalukhoz igénybe vesznek az Európai Unióba érkező vagy onnan induló járatot, a DHS (Department of Homeland Security) – a kivitelezhetőség határain belül és szigorúan kölcsönösségi alapon – aktívan elősegíti a joghatóságán belül működő légitársaságok közötti együttműködést”(42).
66. Annak előírásán kívül, hogy a megállapodás az aláírásakor lép hatályba, a megállapodás 7. bekezdése kimondja, hogy a megállapodást a felek bármikor felmondhatják. Ebben az esetben a felmondás a felmondásról szóló értesítés másik féllel való közlésétől számított 90. napon lép hatályba. Egyébiránt ugyanezen bekezdés előírja, hogy a megállapodás a felek kölcsönös írásbeli megállapodásával bármikor módosítható.
67. Végül a megállapodás 8. bekezdése úgy rendelkezik, hogy e megállapodásnak nem célja a felek jogszabályaitól való eltérés vagy azok módosítása; hasonlóképpen, e megállapodás nem hoz létre vagy keletkeztet semmilyen jogot vagy előnyt a magánszemélyek vagy más, magánjogi vagy közjogi jogalanyok részére.
IV – A Parlament által a két ügyben előadott jogalapok
68. A 317/04. sz. ügyben a Parlament hat jogalapot ad elő a tanácsi határozattal szemben:
– az EK 95. cikknek a 2004/496 határozat jogi alapjául való hibás választása;
– az EK 300. cikk (3) bekezdése második albekezdésének megsértése, mivel a 95/46 irányelvet módosították;
– a személyes adatok védelméhez való jog megsértése;
– az arányosság elvének megsértése;
– a vitatott határozat elégtelen indokolása;
– az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértése.
69. Nagy Britannia és Észak-Írország Egyesült Királysága, valamint a Bizottság számára engedélyezték a Tanács kérelmeit támogató beavatkozást.(43) Továbbá az Európai Adatvédelmi Biztos (a továbbiakban: EAB) számára engedélyezték a Parlament kérelmeit támogató beavatkozást.(44)
70. A 318/04. sz. ügyben a Parlament négy jogalapot ad elő a megfelelőségi határozattal szemben:
– hatáskörtúllépés;
– a 95/46 irányelv alapelveinek megsértése;
– az alapvető jogok megsértése;
– az arányosság elvének megsértése.
71. Az Egyesült Királyság számára engedélyezték a Bizottság kérelmeit támogató beavatkozást.(45) Az EAB számára engedélyezték a Parlament kérelmeit támogató beavatkozást.(46)
72. A két keresetet a megtámadott határozatok elfogadásának sorrendjében elemzem. Ezt követően elsőként a megfelelőségi határozat megsemmisítése iránti keresetet (C‑318/04. sz. ügy), majd a tanácsi határozat megsemmisítése iránti keresetet (C‑317/04. sz. ügy) fogom vizsgálni.
V – A megfelelőségi határozat megsemmisítése iránti keresetről (C‑318/04. sz. ügy)
A – A Bizottság által a megfelelőségi határozat elfogadása során elkövetett hatáskör túllépésére vonatkozó jogalapról
1. A felek érvei
73. A Parlament e jogalap alátámasztására elsőként előadja, hogy a megfelelőségi határozat – mivel a közbiztonság és a büntetőjog területére tartozó cél megvalósítására irányul – megsérti a 95/46 irányelvet, ugyanis a fenti irányelv tárgyi hatálya alól kizárt területre vonatkozik. E kizárást a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése kifejezetten előírja, és nem lehet úgy értelmezni, amely ezt a hatályt szűkíti. Az a tény, hogy a személyes adatokat gazdasági tevékenység – nevezetesen szolgáltatás igénybevételére jogosító repülőjegy eladása – során gyűjtötték, nem igazolhatja a fenti irányelv és különösen annak 25. cikke alkalmazását a hatálya alól kizárt területen.
74. Másodsorban a Parlament azzal érvel, hogy a CBP nem a 95/46 irányelv 25. cikke értelmében vett harmadik ország. Márpedig e cikk (6) bekezdése előírja, hogy a személyes adatok megfelelő védelmi szintjét megállapító bizottsági határozat „harmadik országra” vonatkozzon, tehát államra vagy annak megfelelő jogalanyra, és nem valamely állam végrehajtó hatalmának részét képező közigazgatási egységre vagy összetevőre.
75. Harmadsorban a Parlament úgy véli, hogy a megfelelőségi határozatnak a Bizottság általi elfogadása hatáskörtúllépésnek minősül, mivel a határozathoz csatolt kötelezettségvállalás kifejezetten lehetővé teszi a PNR-adatoknak a CBP által más amerikai vagy külföldi kormányzati szerv számára történő továbbítását.
76. Negyedikként a Parlament úgy ítéli meg, hogy a megfelelőségi határozat bizonyos korlátozásokat és kivételeket tartalmaz a 95/46 irányelvben foglalt elvek vonatkozásában, annak ellenére, hogy a fenti irányelv 13. cikke e jogkört kizárólag a tagállamok számára tartja fenn. Így a Bizottság a megfelelőségi határozat elfogadásával a tagállamok szerepét vette át, és ebből következően megsértette az irányelv 13. cikkét. A 95/46 irányelvet végrehajtó aktussal a Bizottság kisajátította a szigorúan a tagállamoknak fenntartott hatásköröket.
77. Ötödikként a Parlament azzal érvel, hogy az adatoknak a „pull” (kivonás) rendszerben történő rendelkezésre bocsátása a 95/46 irányelv 25. cikke alapján nem minősül „továbbítás”‑nak, ezért nem lehet megengedni.
78. Végül figyelemmel a megfelelőségi határozat és a megállapodás egymással való összefüggésére, a határozat a Parlament szerint nem tekinthető megfelelő eszköznek a PNR-adatok továbbításának kikényszerítésére.
79. Az EAB a Parlamenttől eltérően úgy véli, hogy az adatokhoz való hozzáférésnek harmadik országbeli személy vagy intézmény számára történő megadása minősülhet továbbításnak, és ennélfogva a 95/46 irányelv 25. cikke alkalmazandó. Úgy véli ugyanis, hogy a fogalomnak az adatküldő által megvalósított továbbításra történő korlátozása lehetővé tenné az e cikkben előírt feltételek megkerülését, és gyengítené az e cikkben előírt adatvédelmet.
80. Az Egyesült Királyság által támogatott Bizottság úgy véli, hogy a légi fuvarozók tevékenysége a közösségi jog hatálya alá tartozik, és következésképpen a 95/46 irányelv egészében alkalmazandó marad. A PNR-adatok továbbítása keretében létrehozott rendszer nem érinti egy tagállamnak vagy hatóságnak a közösségi jog hatályán kívül eső tevékenységét.
81. A Bizottság továbbá előadja, hogy a megállapodást az Egyesült Államok, és nem egy kormányszerv nevében írták alá. Ami a CBP általi későbbi adatátvitelt illeti, a Bizottság úgy véli, hogy a személyes adatok védelmével nem összeegyeztethetetlen az ilyen továbbítások engedélyezése, feltéve hogy ezeket megfelelő és szükséges korlátozásoknak vetik alá.
82. Végül a Bizottság megjegyzi, hogy a 95/46 irányelv 13. cikke nem releváns a jelen ügyben, és a „továbbítás” ezen irányelv 25. cikke értelmében a légi fuvarozók számára abban áll, hogy a PNR-adatokat ténylegesen a CBP rendelkezésére bocsátják. A vizsgált rendszer tehát tartalmaz a 95/46 irányelv értelmében vett adattovábbítást.
2. Értékelés
83. Az első jogalappal a Parlament fenntartja, hogy a megfelelőségi határozat sérti a 95/46 irányelvet és különösen annak 3. cikke (2) bekezdését, 13. és 25. cikkét. Azzal érvel többek között, hogy e határozat nem alapulhat érvényesen a fenti irányelven mint elsődleges aktuson.
84. Amint azt már kifejtettem, a 95/46 irányelv célja a belső piac kialakítása és működése érdekében a személyes adatok áramlása előtti akadályok elhárítása azáltal, hogy az egyének jogai és szabadságai védelmének szintje az ilyen adatok feldolgozása terén azonos minden tagállamban.
85. A közösségi jogalkotónak célja volt az is, hogy az így létrehozott védelmi rendszer ne kerüljön veszélybe, amint a személyes adatok elhagyják a Közösség területét. Ezért olyan rendszer mellett döntött, amely harmadik országba történő adattovábbítás megvalósíthatósága érdekében előírja, hogy az adott ország ezen adatoknak megfelelő védelmi szintet biztosítson. Így a 95/46 irányelv tartalmazza azon elvet, amely szerint a személyes adatoknak a megfelelő védelmi szintet biztosítani nem tudó harmadik országokba irányuló továbbítását meg kell tiltani.
86. Az említett irányelv 25. cikke számos kötelezettséget ró a tagállamokra és a Bizottságra, amelyek célja, hogy ellenőrizze a személyes adatok harmadik országba történő továbbítását, figyelembe véve ezen adatoknak minden egyes országban biztosított védelmi szintet. Előírja azon módszereket és szempontokat is, amelyek lehetővé teszik annak megállapítását, hogy egy harmadik ország a számára továbbított személyes adatoknak megfelelő védelmi szintet biztosít.
87. A Bíróság a személyes adatoknak harmadik országba történő továbbítására vonatkozó rendszert olyan „különleges rendszernek” minősítette, „amelynek célja, hogy a harmadik országokba irányuló személyes adatok továbbítását a tagállamok ellenőrizhessék”. Azt is kimondta, hogy „az irányelv II. fejezetével létrehozott, a személyes adatok feldolgozásának jogszerűségére vonatkozó általános rendszert kiegészítő rendszerről van szó”(47).
88. A harmadik országokba irányuló adattovábbítás szabályainak különlegessége nagyrészt a megfelelő védelem fogalmának kulcsszerepével magyarázható. E fogalom hatályának meghatározása érdekében világosan meg kell különböztetni az azonos szintű védelem fogalmától, amely azt követelné meg, hogy a harmadik ország elismerje, és ténylegesen alkalmazza a 95/46 irányelvben foglalt elvek összességét.
89. A megfelelő védelem fogalma azt jelenti, hogy a harmadik országnak képesnek kell lennie alkalmas védelem biztosítására egy olyan modell szerint, amelyet a személyes adatok védelmi foka alapján elfogadhatónak ítélnek. A harmadik ország által biztosított védelem megfelelő jellegén alapuló rendszer jelentős mérlegelési teret hagy a tagállamok és a Bizottság számára a célországban bevezetendő garanciák értékelésében. Ezen értékelést a 95/46 irányelv 25. cikkének (2) bekezdése vezérli, amely az értékelésnél figyelembe vehető számos tényezőt felsorol.(48) E szempontból a közösségi jogalkotó által felállított szabály az, hogy „[a] harmadik ország által nyújtott védelem szintjének megfelelő mivoltát a továbbítási művelet vagy műveletsorozattal kapcsolatos körülmények figyelembevételével kell értékelni”.
90. Amint azt a Bíróság már megállapította, a 95/46 irányelv nem definiálja a „harmadik országba történő adattovábbítás” fogalmát.(49) Nem határozza meg nevezetesen, hogy a fogalom csak azon tevékenységet fedi‑e, amely során az adatkezelő harmadik országnak tevőlegesen rendelkezésre bocsátja a személyes adatokat, vagy az kiterjed olyan esetre is, amelyben egy harmadik ország jogalanya számára engedélyezték a hozzáférést egy tagállamban elhelyezkedő személyes adatokhoz. Ezen irányelv tehát hallgat arról, hogy mely módszerrel lehet harmadik országba történő adattovábbítást végrehajtani.
91. A Parlamenttel ellentétben úgy vélem, hogy jelen ügyben a CBP‑nek a PNR-adatokhoz való hozzáférése a „harmadik országba történő adattovábbítás” fogalmába tartozik. Ugyanis véleményem szerint az ilyen továbbítás jellemzésében az adatoknak a tagállamtól egy harmadik országba, jelen esetben az Egyesült Államokba való áramlása a meghatározó.(50) E tekintetben nincs jelentősége annak, hogy a továbbítást a küldő vagy a fogadó végzi. Ugyanis – amint azt az EAB kimondja – ha a 95/46 irányelv hatálya a küldő általi továbbításokra korlátozódna, az e cikk által előírt feltételeket könnyen meg lehetne kerülni.
92. Ennek kimondása mellett is mindenesetre fel kell hívni a figyelmet arra, hogy az említett irányelvnek a 25. cikket tartalmazó IV. fejezete nem kíván minden, bármilyen jellegű, harmadik országba történő személyesadat-továbbítást szabályozni. Az irányelv 25. cikkének (1) bekezdése alapján e fejezet csak „a feldolgozásra kerülő vagy továbbítás után feldolgozásra szánt” személyes adatok továbbítására vonatkozik.
93. E tekintetben emlékeztetek arra, hogy a 95/46 irányelv 2. cikkének b) pontja szerint személyes adatok feldolgozása „a személyes adatokon [...] végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, [...] betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén [...]”.(51)
94. A személyes adatok harmadik országba történő továbbítására vonatkozó rendszernek – bármilyen különleges jellegű is, amely mint láttuk nagy mértékben a megfelelőség fogalmán nyugszik –, be kell tartania a 95/46 irányelv hatályára vonatkozó szabályokat, amelynek része.(52)
95. A harmadik országba történő adattovábbításnak – a 95/46 irányelv 25. cikkének rendelkezései alá tartozása érdekében – személyes adatokra kell vonatkoznia, amelyeknek a feldolgozása – függetlenül attól, hogy a Közösségen belül valósul meg, vagy csupán a harmadik országban tervezik – a fenti irányelv hatálya alá tartozik. Csak e feltétellel minősülhet érvényesen egy megfelelőségi határozat a 95/46 irányelvet végrehajtó aktusnak.
96. E tekintetben emlékeztetek arra, hogy a fenti irányelv ratione materiae nem alkalmazandó minden személyesadat-feldolgozásra, amely a 2. cikk b) pontjában említett műveletcsoportok egyikébe tartozhat. Ugyanis a 95/46 irányelv 3. cikkének (2) bekezdése úgy rendelkezik, hogy az irányelv nem alkalmazandó az alábbi személyesadat-feldolgozásokra: a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címében megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek.(53)
97. Márpedig úgy vélem, hogy a CBP általi betekintés, felhasználás és ez utóbbi számára a légi utasoknak a tagállami légi szállítók helyfoglalási rendszereiben tárolt adataihoz való hozzáférhetővé tétel személyesadat-feldolgozásnak minősül, amelynek célja a közbiztonság, és amely a büntetőjog területén az állami tevékenységekre vonatkozik. E feldolgozások azonban nem tartoznak a 95/46 irányelv tárgyi hatálya alá.
98. A megfelelőségi határozatban használt kifejezések nyilvánvalóvá teszik az adatfeldolgozás célját, amely a légi utasok személyes adataira vonatkozik. A Bizottság – miután utalt arra, hogy a CBP részére továbbítandó, a légi utasok, a PNR‑ben szereplő személyes adataival kapcsolatos kötelezően megadandó információk az Egyesült Államok által 2001 novemberében elfogadott törvényben, illetve a CBP által az alapján elfogadott végrehajtási rendelkezéseken alapulnak(54) – kimondja, hogy az amerikai jogszabály egyik célja a „biztonság megerősítése”(55). Kimondják azt is, hogy „a Közösség teljes mértékben támogatja az Egyesült Államok terrorizmus elleni küzdelmét a közösségi jog által megadott határokon belül”(56).
99. A megfelelőségi határozat tizenötödik preambulumbekezdése továbbá előírja, hogy „a PNR-adatokat szigorúan olyan célokra használják fel, amelyek a terrorizmus és a kapcsolódó bűncselekmények, a transznacionális jelleget öltő szervezett bűnözést magában foglaló egyéb súlyos bűncselekmények, illetve a fenti bűncselekményekért járó letartóztatás, illetve elfogatóparancs előli menekülés megelőzését és az elleni küzdelmet szolgálják”.
100. A 95/46 irányelv és különösen a 25. cikkének (6) bekezdése véleményem szerint nem lehet megfelelő alap a Bizottság számára egy olyan végrehajtási aktus elfogadására, mint a hatálya alól kifejezetten kizárt feldolgozás tárgyát képező személyes adat megfelelő védelmi szintjére vonatkozó határozat. Ezen adatok továbbításának a 95/46 irányelv alapján történő engedélyezése ugyanis közvetetten kiterjesztené az irányelv hatályát.
101. Márpedig emlékezni kell arra, hogy az EK‑Szerződés 100a. cikke alapján elfogadott 95/46 irányelv meghatározza a személyesadat-feldolgozás során alkalmazandó védelem elveit, ha az adatkezelő tevékenysége a közösségi jog hatálya alá tartozik, azonban pontosan a választott jogi alap miatt, az irányelv nem alkalmas az olyan állami tevékenységek szabályozására, mint például a közbiztonságot vagy a bűnüldözési célokat érintő tevékenységek, amelyek nem tartoznak a közösségi jog hatálya alá.(57)
102. Az igaz, hogy a légi utasok adatainak a légitársaságok általi feldolgozásnak minősülő gyűjtése és rögzítése általában kereskedelmi céllal bír, amennyiben közvetlenül kapcsolódik a légi szállító által biztosított járat működtetéséhez. Igaz ugyan, hogy a PNR-adatokat a légitársaságok gyűjtik a közösségi jog hatálya alá tartozó tevékenységük végzése – azaz szolgáltatás igénybevételére jogosító repülőjegy eladása – során, ám a megfelelőségi határozatban szereplő adatfeldolgozás egészen más jellegű, mivel a kezdeti adatgyűjtést követő szakaszt érinti. Amint azt láttuk, a megfelelőségi határozat a CBP általi betekintésre, felhasználásra és ez utóbbi számára a légi utasoknak a tagállami légi szállítók helyfoglalási rendszereiben tárolt adataihoz való hozzáférhetővé tételre vonatkozik.
103. A valóságban a megfelelőségi határozat nem a szolgáltatás nyújtásához és igénybevételéhez szükséges adatfeldolgozást, hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges adatfeldolgozást szabályozza. Ez a PNR-adatok továbbításának és feldolgozásának célja. Következésképpen az a tény, hogy a személyes adatokat gazdasági tevékenység gyakorlása során gyűjtötték, véleményem szerint nem igazolja a 95/46 irányelv és különösen annak 25. cikke alkalmazását a hatálya alól kizárt területen.
104. Ezen elemek álláspontom szerint elegendőek annak kimondásához – a Parlament vélekedésével egyezően –, hogy a Bizottság a 95/46 irányelv 25. cikke alapján nem rendelkezett hatáskörrel az ezen irányelv hatálya alól kifejezetten kizárt feldolgozás keretében és érdekében továbbított személyes adatok megfelelő védelmi szintjére vonatkozó határozat elfogadásához.(58)
105. E megfelelőségi határozat ezért megsérti az alapaktust jelentő 95/46 irányelvet és különösen annak 25. cikkét, amely a határozatnak nem a megfelelő alapja. Úgy vélem, hogy ebből az okból meg kell azt semmisíteni.
106. Továbbá, mivel úgy vélem, hogy a megfelelőségi határozat nem esik a 95/46 irányelv hatálya alá, a Parlament által a második jogalapban indítványozottakkal ellentétben nem szükséges e határozatot az irányelv alapelvei fényében vizsgálni.(59) Úgy vélem ezért, hogy e második jogalapot nem kell vizsgálni.
107. Ami a jelen keresetnek az általam csak másodlagosan figyelembe vett harmadik és negyedik jogalapját illeti, ezeket véleményem szerint nem lehet külön elemezni, mivel az alapvető jogoknak a megfelelőségi határozat általi esetleges megsértésének a vizsgálata szükségszerűen magában foglalja az arányosság elvének e határozat általi betartásának értékelését, figyelemmel a határozattal követett célra. Azt javaslom ezért a Bíróságnak, hogy a harmadik és negyedik jogalapot együtt vizsgálja.
B – Az alapvető jogok megsértésére és az arányosság elvének megsértésére alapított jogalapok
108. A Parlament fenntartja, hogy a megfelelőségi határozat nem tartja be a személyes adatok védelméhez való jogot úgy, ahogy azt az EEJE 8. cikke biztosítja. Pontosabban az e cikk által előírt feltételekre tekintettel úgy véli, hogy a határozat a magánéletbe való beavatkozásnak minősül, amelyet nem lehet törvény által előírtnak tekinteni, mivel egy nem elérhető és előre nem látható intézkedésről van szó. Továbbá a Parlament úgy véli, hogy ezen intézkedés nem arányos a követett céllal, figyelemmel különösen a kért PNR-adatok túlzott számára és azok túlságosan hosszú ideig való megőrzésére.
109. A Parlament e két jogalapot a tanácsi határozat megsemmisítése iránti C‑317/04. sz. ügyben is előadja, és alátámasztásukra nagyrészt egymást átfedő érveket ad elő. Úgy vélem, hogy a Bírósághoz benyújtott két ügyben előadott ezen jogalapokat egyben kell vizsgálni, ez számomra a 317/04. sz. ügy kifejtése során tűnik helyénvalónak.
110. Nyilvánvaló a felek által a beadványaikban előadott érvelésből, hogy azt nem lehet elkülönítetten megérteni a magánélet tiszteletben tartásához való jog, a PNR-adatok CBP általi feldolgozására vonatkozó rendszer összetevői – a tanácsi határozattal jóváhagyott megállapodás, a megfelelőségi határozat és e bizottsági határozathoz csatolt CBP kötelezettségvállalások – szempontjából.(60) A felek egyébiránt több ízben hivatkoznak egy vagy több ezen aktusra előadásuk alátámasztására.
111. A PNR-rendszer e három összetevőjének egymástól függése a megállapodás fogalmaiból kifejezetten következik. Ugyanis mind a CBP kötelezettségvállalásait, mind a megfelelőségi határozatot megemlíti a megállapodás preambuluma. Ezt követően e megállapodás 1. bekezdése kimondja, hogy „a CBP – szigorúan a [megfelelőségi] határozatnak megfelelően, és mindaddig, amíg az alkalmazandó [...], hozzáférhet a PNR-adatokhoz”. Ugyanígy, még ha a fenti megállapodás 2. bekezdése szerint az erre kijelölt légiutas-szállítók kötelesek is a „PNR-adatokat az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint feldolgozni”, erre még mindig vonatkozik, hogy „szigorúan a [megfelelőségi] határozatnak megfelelően, mindaddig, amíg az alkalmazandó”. Végül a megállapodás 3. bekezdése úgy rendelkezik, hogy „[a] CBP tudomásul veszi a [megfelelőségi] határozatot, és kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat.
112. Ezen elemekből következik, hogy a megállapodással a CBP részére biztosított, PNR-adatokhoz való hozzáférési jog, valamint e megállapodásban kijelölt légiutas-szállítók PNR-adat feldolgozási kötelezettsége szigorúan és ténylegesen a megfelelőségi határozatnak van alávetve.
113. A PNR-rendszer három összetevőjének egymástól való függéséből, valamint abból a tényből következően, hogy az alapvető jogok és az arányosság elvének megsértésére alapított jogalapokat a Bírósághoz benyújtott két ügyben a Parlament előadja, e jogalapokat úgy kell érteni, mint amelyek annak a Bíróság ítéletével történő megállapítására irányulnak, hogy a PNR-rendszer a három összetevőjében összeegyeztethetetlen az EEJE 8. cikkében biztosított magánélet tiszteletben tartásához való joggal. Véleményem szerint mesterséges volna a megfelelőségi határozatot a megállapodás figyelembevétele nélkül vizsgálni, amely bizonyos kötelezettségeket ró a légitársaságokra, és fordítva, e megállapodást a többi alkalmazandó szöveg tekintetbevétele nélkül vizsgálni, amelyekre az kifejezetten hivatkozik.
114. Figyelemmel arra a tényre, hogy a rendszer több egymástól elválaszthatatlan elemből áll, az elemzést nem lehet mesterségesen szétszakítani.
115. Ebből a szemszögből a magánéletbe való beavatkozást a tanácsi határozatból, a megfelelőségi határozatból és a CBP kötelezettségvállalásaiból alkotott együttes valósítja meg. Annak vizsgálata érdekében, hogy e beavatkozást törvény írja‑e elő, törvényes célt követ‑e, és szükséges‑e egy demokratikus társadalomban, figyelembe kell venni az így létrehozott „háromsebességű” mechanizmus együttesét, amint azt a Parlament is teszi a két keresetében. A PNR-rendszerről való átfogó kép kialakítása érdekében e vizsgálatot a tanácsi határozat megsemmisítésére irányuló kereset keretében végzem el.
VI – A tanácsi határozat megsemmisítése iránti keresetről (C‑317/04. sz. ügy)
A – Az EK 95. cikknek a tanácsi határozat jogi alapjául való hibás választására alapított első jogalapról
1. A felek érvei
116. Az Európai Parlament előadja, hogy az EK 95. cikk nem minősül a tanácsi határozat megfelelő jogi alapjának. E határozatnak nem a belső piac létrehozása és működése képezi a célját és a tartalmát. A tanácsi határozat célja ugyanis a Közösség területén letelepedett légitársaságok számára az amerikai jogszabályokban előírt személyesadat-feldolgozás legalizálása. E határozat nem mondja ki, hogy az adatok harmadik országba történő továbbításának e legalizálása mennyiben járul hozzá a belső piac létrehozásához és működéséhez.
117. A Parlament szerint a tanácsi határozat tartalma sem igazolja az EK 95. cikkre jogi alapként történő hivatkozást. E határozat a CBP részére hozzáférést biztosít a légitársaságok foglalási rendszereihez a Közösség területén az Egyesült Államok és a tagállamok közötti járatok működtetése érdekében, az amerikai jogszabályoknak megfelelően, a terrorizmus megelőzése és leküzdése céljából. Márpedig e célok megvalósítása nem esik az EK 95. cikk hatálya alá.
118. Végül a Parlament hozzáteszi, hogy az EK 95. cikkre azért nem alapozható a Közösség hatásköre a megállapodás megkötésére, mert a megállapodás a Szerződésnek a fenti cikkén alapuló 95/46 irányelv tárgyi hatályán kívül eső közbiztonsági célokból történő adatfeldolgozásra vonatkozik.
119. Ellenben a Tanács úgy ítéli meg, hogy a határozata helyesen alapul az EK 95. cikken. Véleménye szerint e cikk megalapozhat olyan intézkedéseket, amelyek célja annak biztosítása, hogy a versenyfeltételek ne torzuljanak a belső piacon. E tekintetben fenntartja, hogy a megállapodás célja a tagállambeli légitársaságok közötti, illetve az ezek és a harmadik országbeli légitársaságok közötti verseny amerikai követelményekből esetlegesen adódó, a személyek jogainak és szabadságának védelme miatti torzulásának elkerülése. Az Egyesült Államokba tartó vagy onnan induló utasokat szállító tagállami légitársaságok közötti verseny feltételei torzulnának, ha közülük csak egyesek biztosítanának hozzáférést adatbázisaikhoz az amerikai hatóságoknak.
120. Ugyanezen gondolatmenetben a Tanács kiemeli egyrészt, hogy az amerikai előírásoknak meg nem felelő légitársaságokra az amerikai hatóságok bírságot szabhatnak ki, járataik késhetnek, és utasokat veszthetnek az Egyesült Államokkal megegyező más légitársaságok javára. Másrészt míg egyes tagállamok szankcionálhatták volna a kérdéses személyes adatokat továbbító légitársaságokat, úgy más tagállamok nem feltétlenül jártak volna el ugyanígy.
121. E körülmények között és az amerikai hatóságok által a PNR-adatokhoz való hozzáférésre vonatkozó közös szabályozás hiányában a Tanács úgy véli, hogy fennállt a versenyfeltételek torzulásának veszélye, és a belső piac egysége súlyosan sérült volna. Ezért véleménye szerint harmonizált feltételeket kellett kialakítani az amerikai hatóságok által az adatokhoz való hozzáférésre, megőrizve mindazonáltal az alapvető jogok tiszteletben tartásának közösségi követelményeit. Az összes érintett légitársaságra vonatkozó kötelezettség előírásáról és a belső piac létrehozásának és működésének külső szempontjáról van szó.
122. Végül a Tanács megjegyzi, hogy a megállapodást a 95/46 irányelv 25. cikkének (6) bekezdése alapján elfogadott megfelelőségi határozatot követően kötötték. Álláspontja szerint megfelelő és helyes volt a megállapodás megkötéséről szóló határozatot az irányelvvel megegyező jogi alapra alapozni, nevezetesen az EK 95. cikkre.
123. A Bizottság a beavatkozási beadványában kiemeli, hogy a megállapodás preambulumának rendelkezései világossá teszik, hogy az Egyesült Államok számára az elsődleges cél a terrorizmus elleni küzdelem, míg a Közösség számára a fő cél a személyes adatok védelmére vonatkozó közösségi jogszabály alapelemeinek fenntartása.
124. Megjegyzi, hogy a Parlament amellett, hogy kifogásolja a tanácsi határozat jogi alapjául az EK 95. cikk választását, nem javasol hiteles alternatívát. A Bizottság szerint e cikk a tanácsi határozat „természetes jogalapja”, mivel a személyes adatok védelme külső dimenziójának a Szerződésnek a 95/46 irányelv mint belső intézkedés alapjául szolgáló cikkén kell alapulnia, annál is inkább, mivel e külső szempontot az irányelv 25. és 26. cikke kifejezetten előírja. Továbbá figyelemmel a megállapodás, a megfelelőségi határozat és a CBP kötelezettségvállalásai közötti szoros kapcsolatra és egymástól való függésükre, az EK 95. cikk bizonyulna megfelelő jogi alapnak. Mindenesetre a Bizottság fenntartja, hogy a Tanácsnak az EK 95. cikk alapján volt hatásköre a megállapodás megkötésére, mivel a 95/46 irányelvet az AETR ítélkezési gyakorlat(61) értelmében érintette volna, ha a tagállamok külön vagy közösen kötöttek volna ilyen megállapodást a közösségi kereten kívül.
125. Végül a Bizottság előadja, hogy ezen adatok elsődleges feldolgozását a légitársaságok kereskedelmi céllal végzik. Ezen adatoknak az amerikai hatóságok általi felhasználása okán azok még nem kerülnek ki a 95/46 irányelv hatálya alól.
2. Értékelés
126. A Parlament az első jogalappal annak megítélését kéri, hogy az EK 95. cikk a megfelelő jogi alap‑e a Közösség által olyan nemzetközi megállapodás megkötésére vonatkozó tanácsi határozatot illetően, amely a jelen ügyben szerepel. E kérdésre adott válasz érdekében alkalmazni kell a Bíróság állandó ítélkezési gyakorlatát, amely alapján egy közösségi aktus jogi alapja megválasztásának bírósági felülvizsgálatra alkalmas, objektív elemeken kell alapulnia, amelyek között megjelenik különösen az aktus célja és tartalma.(62) Ugyanis „a Közösség hatásköri rendszerében valamely jogi aktus jogalapjának megválasztása nem függhet kizárólag egy intézmény meggyőződésétől az elérendő célt illetően”[…](63).
127. Emlékeztetek arra, hogy a Bíróság úgy ítélte meg, hogy „a megfelelő jogalap kiválasztása alkotmányos jelentőséggel bír. Mivel a Közösség csak átruházott hatáskörökkel rendelkezik, [az érintett nemzetközi megállapodást] a Szerződés olyan rendelkezéséhez kell kapcsolnia, amely feljogosítja ilyen aktus jóváhagyására”. A Bíróság szerint „[h]ibás jogalap igénybevétele tehát érvénytelenítheti magát a megkötésről szóló aktust, és ebből következően lerontja a Közösség beleegyezését arra vonatkozóan, hogy kötelezze őt az általa vállalt megállapodás”(64).
128. A Bíróság által alkalmazott elemzési módszernek megfelelően megvizsgálom, hogy a megállapodás célja és tartalma felhatalmazta‑e a Tanácsot az EK 95. cikk alapján olyan határozat elfogadására, amelynek célja az 1. cikke szerint a megállapodásnak a Közösség nevében történő jóváhagyása.
129. A megállapodás céljáról lévén szó, a preambulum első bekezdéséből kifejezetten következik, hogy két célt követ, nevezetesen a terrorizmus és az ehhez kapcsolódó bűncselekmények elleni, valamint a nemzeteken átnyúló, súlyos bűncselekmények – ideértve a szervezett bűnözést is – megelőzését és az azok ellen folytatott küzdelmet,(65) és másrészt az alapvető jogok és szabadságok, nevezetesen a magánélethez fűződő jog tiszteletben tartását.
130. A terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem céljának követését tanúsítja a megállapodás 2. bekezdésének a 2001. szeptember 11‑i terrortámadást követően elfogadott amerikai törvényekre és rendeletekre való utalása, amelyek megkövetelik minden, az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítóktól, hogy a CBP számára biztosítsanak elektronikus hozzáférést a számítógépes helyfoglalás-/indulás-ellenőrzési rendszereiben gyűjtött és tárolt PNR-adatokhoz.
131. Ami az alapvető jogok tiszteletben tartásának célját és különösen a magánélet tiszteletben tartásához való jogot illeti, az megjelenik a 95/46 irányelvre történő hivatkozáson keresztül. Így arról van szó, hogy a szállított természetes személyek számára biztosítják a személyes adataik védelmét.
132. Ezt a garanciát keresik mind a CBP 2004. május 11‑i kötelezettségvállalásaiban, amely megállapodás preambulumának 4. bekezdése utal arra, hogy a Federal Registerben teszik közzé azokat, mind a megfelelőségi határozatban, amelyet ugyanezen preambulum 5. bekezdése említ.
133. E két célt a megállapodás preambulumának 1. bekezdése szerint egyidejűleg kell követni. A Közösség és az Egyesült Államok között kötött megállapodás tehát e két cél összeegyeztetésére törekszik, vagyis abból a gondolatból ered, hogy a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelmet az alapvető jogok, különösen a magánélet tiszteletben tartásához való jog, pontosabban a személyes adatok védelméhez való jog tiszteletben tartásával kell vívni.
134. A megállapodás tartalma megerősíti ezt az elemzést. Az 1. bekezdése ugyanis kimondja, hogy a CBP – „szigorúan a határozatnak megfelelően”, és „mindaddig, amíg az alkalmazandó”, az ilyen adatok légi szállítók általi továbbítására – elektronikus úton hozzáférhet a légi szállítóknak az Európai Közösség tagállamai területén elhelyezkedő helyfoglalás-ellenőrzési rendszereiben tárolt PNR-adatokhoz. Ebből arra következtetek, hogy a PNR-adatokhoz való hozzáférés mint a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem eszközére a megállapodás csak akkor jogosít fel, ha ezen adatok az Egyesült Államokban megfelelő szintű védelemben részesülnek. A megállapodás e rendelkezésének tartalma tükrözi a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a személyes adatok védelme céljának egyidejű követését.
135. Ugyanezt kell megállapítani a megállapodás 2. bekezdésének vizsgálatánál, amely arra kötelezi az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítókat, hogy az automatikus helyfoglalási rendszerükben szereplő PNR-datokat „az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint, és szigorúan a [megfelelőségi] határozatnak megfelelően dolgozzák fel, mindaddig, amíg az alkalmazandó”. A légi szállítókat a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célja érdekében terhelő kötelezettség itt is szorosan kötődik a légi utasok személyes adatainak megfelelő védelméhez.
136. A megállapodás egyéb rendelkezéseinek célja a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a légi utasok személyes adatainak védelme céljainak kifejezése.
137. Ezen utasok személyes adatainak konkrét célját illetően a megállapodás 3. bekezdése kimondja, hogy „a CBP tudomásul veszi a [megfelelőségi] határozatot, és kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”.
138. Továbbá a megállapodás 6. bekezdése fontolóra veszi azt a lehetőséget, hogy az Európai Unióban olyan légiutas-azonosító rendszer felállítására kerül sor, amely alapján légi szállítók kötelesek a hatóságok számára olyan személyek PNR-adataihoz hozzáférést biztosítani, akik folyamatban lévő utazási útvonalukhoz igénybe vesznek az Európai Unióba érkező vagy onnan induló járatot. Abban az esetben, ha ezt az intézkedést az Unió végrehajtaná, a megállapodás előírja, hogy a DHS – a kivitelezhetőség határain belül és szigorúan kölcsönösségi alapon – aktívan elősegíti a joghatóságán belül működő légitársaságok közötti együttműködést”. Ismét a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célját kifejező rendelkezésről van szó.
139. A Bizottság által előadott néhány érvre válaszul e tekintetben kiemelem, hogy számomra nehéz alátámasztani, hogy terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem célját egyoldalúan és kizárólag az Egyesült Államok követné, a Közösségnek egyedül a légi utasok személyes adatainak védelme volna a célja.(66) Igazság szerint az a véleményem, hogy az egyes szerződő felek szempontjából a megállapodás célja és tartalma a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem és a légi utasok személyes adatainak védelme céljának összeegyeztetése. Ennek eleget téve a megállapodás pontosan e kettős cél egyidejű elérése érdekében együttműködést létesít a szerződő felek között.
140. A megállapodás céljának és tartalmának fenti leírására figyelemmel úgy vélem, hogy az EK 95. cikk nem megfelelő jogalap a tanácsi határozat számára.
141. E tekintetben emlékeztetni kell arra, hogy az EK 95. cikk értelmében a Tanács elfogadja azokat a tagállamok törvényi, rendeleti és közigazgatási rendelkezéseinek közelítésére vonatkozó intézkedéseket, amelyek tárgya a belső piac megteremtése és működése.
142. A Szerződés e cikkével a Közösségre ruházott hatáskör horizontális jellegű, vagyis nem korlátozódik egy meghatározott területre. A közösségi hatáskör kiterjedése tehát „funkcionális szemponton alapul, horizontálisan kiterjedve a belső piac megteremtésére irányuló intézkedések összességére”(67).
143. Továbbá a Bíróság ítélkezési gyakorlatából következik, hogy az EK 95. cikk (1) bekezdésében említett intézkedések célja a belső piac megteremtése és működése feltételeinek javítása, és ténylegesen e céllal kell rendelkezniük, hozzájárulva az áruk szabad mozgását és a szolgáltatásnyújtás szabadságát akadályozó, valamint a versenyt torzító tényezők felszámolásához.(68) Szintén ezen ítélkezési gyakorlatból következik, hogy ha az EK 95. cikkre mint jogalapra való hivatkozás lehetséges a kereskedelmi forgalom azon jövőbeli akadályainak megelőzésére, amelyek a nemzeti törvényhozások heterogén fejlődésének következményei, ezeknek az akadályoknak valószínűeknek kell lenniük, és a szóban forgó intézkedés tárgyának ezek megelőzésének kell lennie.(69)
144. Így amint ezt már bemutattam, a Tanács fenntartja, hogy a határozatát érvényesen fogadta el az EK 95. cikk alapján, mivel az Egyesült Államokkal kötött megállapodás hozzájárult a belső piac egységét súlyosan károsító veszély elkerüléséhez azáltal, hogy a tagállambeli légitársaságok közötti, illetve az ezek és a harmadik országbeli légitársaságok közötti versenytorzulást megszüntette.
145. Valóban, meg kell jegyezni, hogy a tanácsi határozat második preambulumbekezdése hivatkozik „a bizonytalan helyzet sürgős orvoslásának szükségességére, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintettek pénzügyi érdekei védelmének szükségességére”. Ezt a mondatot úgy is lehetne érteni, mint amely a hatáskörrel rendelkező amerikai hatóságok által azon légitársaságokra kiszabható szankciókra céloz, amelyek megtagadják utasaik PNR-adataihoz való hozzáférés biztosítását, olyan szankciókra, amelyeknek pénzügyi következményei lehetnek az említett társaságokra nézve. Elképzelhető volna ilyen helyzetben, hogy bizonyos légitársaságokat hátrányosan érintő pénzügyi következményekkel járó szankciókból eredhet a tagállamok területén letelepedett légitársaságok összessége közötti versenytorzulás.
146. Egyébiránt azt is elképzelhetőnek tartom, hogy a tagállamok részéről az eltérő hozzáállás – egyesek szankció terhe mellett megtiltják a területükön letelepedett légitársaságok számára utasaik PNR-adataik továbbításának engedélyezését, míg mások nem így járnának el – járhatna a belső piac működésére nézve akár közvetett hatással, a légitársaságok között kialakuló esetleges versenytorzulásból következően.
147. Mindazonáltal meg kell állapítani, hogy a verseny torzulásának elkerülésére irányuló cél, amennyire azt a Tanács ténylegesen követi, járulékos jellegű a két elsődleges célhoz, a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelméhez és a légi utasok személyes adatainak védelméhez képest, amelyeket – mint láttuk – a megállapodás rendelkezései kifejezetten említenek és végrehajtanak.
148. A tagállambeli légitársaságok közötti, vagy az ezek és a harmadik országbeli légitársaságok közötti verseny torzulásának elkerülésére irányuló cél, amint azt a Tanács állítja, nem jelenik meg sehol a megállapodás rendelkezéseiben. Hallgatólagosan van jelen, ezért a két másik célhoz képest szükségszerűen járulékos jellegű.
149. Márpedig emlékeztetek arra, amint azt a Bíróság már kimondta, hogy „pusztán az a tény, hogy egy jogi aktus hatást gyakorolhat a belső piac megteremtésére és működésére, nem elegendő az erre a rendelkezésre, mint az adott aktus jogi alapjára való hivatkozásnak az indokolására”(70).
150. Továbbá legfőképp a Bíróság állandó ítélkezési gyakorlatából következik, hogy ha egy közösségi aktus vizsgálata azt mutatja, hogy több célt követ, vagy több összetevője van, és ha ezek egyike elsődlegesként vagy döntőként határozható meg, míg a másik csak járulékos, a szóban forgó aktusnak az elsődleges vagy döntő célkitűzés által követelt egyetlen jogalapon kell alapulnia.(71) Csak kivételesen lehet a jogi aktust a megfelelő különböző jogalapokra alapozni, amennyiben megállapítható, hogy az aktus egyidejűleg több célkitűzést követ, amelyek elválaszthatatlanul összekapcsolódnak, anélkül hogy az egyik másodlagos és közvetett lenne a másikhoz képest.(72) Véleményem szerint jelen esetben nem ez a helyzet.
151. Megjegyzem továbbá, hogy még ha a megállapodást három célt szétválaszthatatlanul követőnek is kell tekinteni, a Tanács azon választását, hogy határozatát egyedül az EK 95. cikkre alapozza, ezen ítélkezési gyakorlat alapján nem lehet megfelelőnek tekinteni.
152. A tanácsi határozat második bekezdése egészének olvasatából következik, hogy a „sürgős szükségességre” utalás elsődleges célja megmagyarázni, hogy a Parlamentnek határidőt határoztak meg véleménye előterjesztésére az EK 300. cikk (3) bekezdése első albekezdésének megfelelően, amely előírja, hogy „[a]z Európai Parlament véleményét a Tanács által az ügy sürgősségétől függően megállapított határidőn belül közli”. E cikk azt is kimondja, hogy „[hga ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat”. Ez volt a helyzet a tanácsi határozat elfogadása érdekében követett eljárásban.
153. Más szóval, még ha „a bizonytalan helyzet sürgős orvoslásának szükségességét, amelybe a légitársaságok és az utasok kerültek, továbbá mindezen érintettek pénzügyi érdekei védelmének szükségességét” figyelembe is lehetett volna venni a PNR-adatrendszer létrehozása során, úgy tűnik számomra, hogy e figyelembevétel az ezt követő eljárásban nagyobb szerepet játszott, mint a megállapodás céljának és tartalmának meghatározásában.
154. Ami a Tanács és a Bizottság azon érvét illeti, amely szerint a személyes adatok védelmének külső dimenziójára vonatkozó aktusnak a belső intézkedésnek minősülő 95/46 irányelvével azonos jogi alapon kell alapulnia, meg kell jegyezni, hogy a Bíróság már kimondta, miszerint az a tény, hogy a Szerződésnek egy különös rendelkezését választották belső aktusok elfogadásához, nem elég annak igazolásához, hogy ugyanezen jogi alapot kell alkalmazni egy hasonló tárgyú nemzetközi egyezmény jóváhagyásához.(73) Sőt mi több, rámutattam, hogy a megállapodásnak sem elsődleges célja, sem tartalma a belső piac működésének javítása, ugyanakkor az EK 95. cikk alapján elfogadott 95/46 irányelv „célja a személyes adatok szabad áramlásának tagállamok közötti biztosítása az ilyen adatok feldolgozásával kapcsolatban a természetes személyeket védő nemzeti szabályok harmonizációja révén”(74).
155. A fentiekre figyelemmel véleményem szerint a megállapodás céljának és tartalmának vizsgálata azt mutatja, hogy az EK 95. cikk nem minősül a tanácsi határozat megfelelő jogi alapjának.
156. Ebből következően azt javaslom a Bíróságnak, hogy a Parlament által előadott első jogalapot ítélje megalapozottnak. Következésképpen a tanácsi határozatot meg kell semmisíteni a hibás jogi alap választása miatt.
157. E szakaszban bizonyára érdekes lenne feltenni a kérdést, hogy mi lenne egy ilyen határozat megfelelő jogi alapja. Azonban meg kell jegyezni, hogy a jelen ügyben nem kérték a Bíróságtól e kényes kérdés megválaszolását. Így csupán néhány megjegyzésre szorítkozom e kérdéskörrel, és általánosabb jelleggel az Egyesült Államokkal tárgyalt PNR-rendszer jellegével kapcsolatban.
158. Először is a Tanács által támogatott gondolattal ellentétben az a körülmény, hogy a PNR-rendszert nem az EU‑Szerződés rendelkezéseinek keretében hozták létre, véleményem szerint nem alkalmas a Tanács és a Bizottság által elfogadott megközelítés jogi érvényességének igazolására.
159. Ezt követően általánosabb jelleggel úgy vélem, hogy a személyes adatokba olyan jogalany általi betekintést és azok olyan jogalany általi felhasználását előíró aktus, amelynek feladata az államon belül a belső biztonság biztosítása, valamint ezen adatoknak e jogalany részére történő rendelkezésre bocsátása, hatóságok közötti együttműködési aktushoz hasonlítható.(75)
160. Továbbá az a tény, hogy jogi személy számára adatfeldolgozást írnak elő és ezen adatok továbbítására kötelezik, nem tűnik számomra úgy, hogy alapvetően eltávolodna a hatóságok közötti közvetlen adatcserétől.(76) A biztonsági és bűnüldözési célú adatközlés a lényeges, és nem annak az adott helyzetben megvalósuló konkrét módja. A jelen ügy a kereskedelmi adatok bűnüldözési célú felhasználásával kapcsolatos új problémára vonatkozik.(77)
161. Végül meg kell jegyezni, hogy az Elsőfokú Bíróság kimondta, miszerint „a nemzetközi terrorizmus elleni küzdelem […] nem kapcsolható a Közösségnek az EK 2. és az EK 3. cikkben kifejezetten meghatározott céljaihoz”(78).
162. Figyelemmel arra a tényre, hogy az első jogalap elemzése következtében a tanácsi határozat megsemmisítését javaslom a Bíróságnak, a jogi alapjának hibás választása miatt, a Parlament által a jelen kereset alátámasztására előadott többi jogalapot csak másodlagosan fogom vizsgálni.
B – Az EK 300. cikk (3) bekezdése második albekezdésének a 95/46 irányelv módosítása miatti megsértésére alapított jogalapról
1. A felek érvei
163. E második jogalappal a Parlament fenntartja, hogy a Közösség és az Egyesült Államok közötti megállapodást csak az EK 300. cikk (3) bekezdésének második albekezdésében foglalt eljárás betartásával lehetett volna az előbbi nevében jóváhagyni. E cikk ugyanis előírja, hogy „[…] a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igénylő megállapodásokat az Európai Parlament hozzájárulásának elnyerését követően lehet megkötni”. Márpedig ezen intézmény szerint a szóban forgó megállapodás az EK 251. cikkben megállapított eljárás szerint elfogadott 95/46 irányelv módosítását igényelné.
164. A Parlament álláspontja szerint az amerikai hatóságok által végrehajtani vállalt kötelezettségek nem érik el a 95/46 irányelv által előírt feltételeket. Ebből következően a megállapodás az irányelv egyes lényeges elveinek lerontásával járna, és lehetővé tenné az irányelv által meg nem engedett adatkezeléseket. A Parlament különösen a következő módosításokat azonosítja.
165. Elsőként a megállapodás célja a terrorizmus és egyéb súlyos bűncselekmények megelőzése és azok elleni küzdelem, ugyanakkor a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése kizárja az irányelv hatálya alól a harmadik állam közbiztonságához kapcsolódó, ezen állam hatóságai számára történő adattovábbítást. A Parlament megjegyzi, hogy a tagállamok e célból konkrét rendelkezéseket írtak elő az Europol-egyezményben, és ennélfogva úgy lehet tekinteni, hogy e területen kiegészítés van a két jogi aktus között, amelyek különböző jogi alapon nyugszanak.
166. Másodsorban az amerikai hatóságok számára a személyes adatokhoz való közvetlen hozzáférés lehetőségének biztosítása a Közösség területén („pull” rendszer) a 95/46 irányelv módosítását is jelenti. Annak 25. és 26. cikke ugyanis egyetlen olyan rendelkezést sem tartalmaz, amely harmadik országot felhatalmazna ezen adatokhoz való közvetlen hozzáférésre.
167. Harmadsorban a megállapodás a kötelezettségvállalásokra hivatkozva felhatalmazza a CBP‑t, hogy szabad mérlegelése szerint és egyedi elbírálási alapon továbbítsa a PNR-adatokat a terrorizmusellenes vagy bűnüldözési tevékenységet folytató külföldi kormányoknak. Ez az amerikai hatóságoknak biztosított szabad mérlegelés megsérti a 95/46 irányelvet és különösen a 25. cikkének (1) bekezdését, amely szerint „[…] a személyes adatok csak akkor továbbíthatók harmadik országba, ha […] az adott harmadik ország megfelelő védelmi szintet tud biztosítani”. A Parlament úgy véli, hogy az irányelvvel létrehozott védelmi rendszer megsemmisülne, ha a pozitív megfelelőségi határozatban szereplő harmadik ország ezt követően szabadon továbbíthatná a személyes adatokat olyan további országokba, amelyeket a Bizottság egyáltalán nem vizsgált.
168. Negyedikként a megállapodás a 95/46 irányelv módosítását tartalmazza, mivel a CBP, még ha úgy is határozna, hogy nem használja a „különleges” személyes adatokat, jogilag felhatalmazással bírna a gyűjtésükre, amely az irányelv 2. cikkének b) pontja alapján már feldolgozásnak minősülne.
169. Ötödikként a Parlament úgy véli, hogy a megállapodás módosítja az irányelvet, mivel a szóban forgó adatfeldolgozásra alkalmazandó nemzeti rendelkezések által mindenki számára biztosított jogok megsértése esetén a jogorvoslat nem kellően biztosított. Nevezetesen a PNR-adatai továbbításával érintett személy számára nem áll rendelkezésre semmilyen jogorvoslat például a rá vonatkozó helytelen adatok vagy különleges adatok felhasználása vagy az adatoknak egy más hatóság részére történő továbbítása esetén.
170. Végül hatodikként a Parlament kiemeli a CBP részére továbbított PNR-adatok túlságosan hosszú megőrzési idejét, amely a 95/46 irányelv és különösen annak 6. cikke (1) bekezdése e) pontjának módosítását jelenti, amely az adatmegőrzés időtartamára vonatkozóan előírja, hogy az „érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé”.
171. Az EAB támogatja a Parlament végkövetkeztetéseit abban az értelemben, hogy szerinte a megállapodás hatással van a 95/46 irányelvre. Álláspontja szerint a megállapodást csak a Parlament demokratikus ellenőrzése mellett lehetett volna megkötni, mert a megállapodás érinti a nemzeti jogszabályok irányelv által előírt harmonizációs szintjét és még az alapvető jogokat is. Véleménye szerint a személyes adatok irányelvben előírt védelmi szintjének gyengülése abból ered, hogy mind a „pull” rendszerben, mind a „push” rendszerben a légi szállítók kötelesek megsérteni az irányelvet, különösen annak 6. cikke (1) bekezdésének b) és c) pontját. Mivel az adatok védelmi szintjének sérülése a 95/46 irányelv módosításával jár, az EAB úgy véli, hogy az EK 300. cikk (3) bekezdésének második albekezdésében előírt eljárási garanciákat nem tartották be. Továbbá úgy ítéli meg, hogy a „lényeges garanciákat” sem tartották be, mert a CBP kötelezettségvállalásai nem kötelező erejűek.
172. Ellenben a Bizottság által támogatott Tanács úgy véli, hogy a megállapodás nem jár a 95/46 irányelv módosításával. E vélemény alátámasztására a megállapodás 8. bekezdését idézi, amelynek értelmében annak „nem célja a felek jogszabályaitól való eltérés vagy azok módosítása”. Azt is fenntartja, hogy az irányelv széles mérlegelési jogkört ad a Bizottságnak egy harmadik ország által biztosított védelem megfelelő jellegének értékelésére. E tekintetben a Tanács szerint az a kérdés, hogy a Bizottság túllépte‑e a mérlegelési jogkörének határait, inkább a megfelelőségi határozat megsemmisítése iránti kereset tárgya a 318/04. sz. ügyben.
173. A Tanács emlékeztet arra, hogy szerinte a CBP‑t a PNR-adatok továbbításának igénylésére indító indokok (biztonság, a terrorizmus elleni küzdelem vagy más indok) a Közösség szempontjából nem minősülnek sem a megállapodás céljának, sem tartalmának. Továbbá a 95/46 irányelv a belső piac alkalmazási körén belül lehetővé teszi a személyes adatoknak törvényes célok, mint például az állam biztonságának védelme céljából történő felhasználását.
174. A Tanács szerint mindazonáltal még ha feltételezzük is, hogy a Közösségnek nem volt hatásköre a megállapodás megkötésére, ebből nem következik az, hogy a Parlamentnek hozzájárulását kellett volna adnia azon állítólagos indokkal, hogy a megállapodás módosítja a 95/46 irányelvet. A Tanács ugyanis kifejti, hogy a Parlament hozzájárulása semmilyen körülmények között nem bővítheti a Közösség hatásköreit.
175. Ami a CBP‑nek a PNR-adatokhoz való közvetlen hozzáférési lehetőségét illeti (a jelenleg alkalmazandó „pull” rendszer, a „push” rendszer létrehozásáig), a Tanács elismeri, hogy a 95/46 irányelv nem említ kifejezetten ilyen lehetőséget, ugyanakkor nem is tiltja. A Közösség szempontjából az adatokhoz való hozzáférés feltételei a lényegesek.
176. A Bizottság hozzáteszi ezen érveléshez, hogy függetlenül a személyes adatok CBP általi felhasználásának céljától, azok a Közösségben a légi szállítók számára a 95/46 irányelv hatálya alá eső kereskedelmi adatok, és azok is maradnak, amelyeket következésképpen annak megfelelően kell védeni és feldolgozni.
2. Értékelés
177. A Közösség által kötött nemzetközi megállapodások tárgyában úgy tűnik, hogy a Parlamenttel folytatott konzultáció rendes eljárás, a közös kereskedelempolitika területén kívül. A Parlamenttel folytatott konzultációra az EK 300. cikk (3) bekezdésének első albekezdése alapján kerül sor, beleértve azokat az eseteket is, amikor a megállapodás olyan területre vonatkozik, ahol a belső szabályok elfogadásához a 251. cikkben említett együttdöntési eljárásra van szükség.
178. Az EK 300. cikk (3) bekezdésének második albekezdése e rendes eljárástól eltérve a Parlament hozzájárulását írja elő négy esetben, amelyből a jelen ügyben bennünket az érdekel, amelyben a 251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítását igényli a megállapodás. A társjogalkotó Parlamentnek biztosított ellenőrzésről van szó egy általa elfogadott aktust esetlegesen módosító nemzetközi megállapodás fölött.
179. A 95/46 irányelvet együttdöntési eljárással fogadták el. A Parlament tehát fenntartja, hogy az annak módosítását igénylő megállapodás, a megállapodást a Közösség nevében jóváhagyó tanácsi határozat – a Szerződés szabályainak betartásával történő elfogadás érdekében – a jóváhagyását igényelte.
180. E jogalap megalapozottságának értékelése érdekében mindenekelőtt jelzem, hogy kevéssé számít, hogy a megállapodás a 8. bekezdésében kimondja, hogy annak „nem célja a felek jogszabályaitól való eltérés vagy azok módosítása”. Az EK 300. cikk (3) bekezdése második albekezdésének érvényre juttatása szempontjából annak ellenőrzése lényeges, hogy a nemzetközi megállapodás a belső jogi aktus módosítását igényli‑e, vagyis van‑e ezen aktust módosító hatása, függetlenül attól a ténytől, hogy nem ez a célja.
181. Úgy tűnik, hogy a Bíróság még nem határozott a „251. cikkben megállapított eljárásnak megfelelően elfogadott jogi aktus módosítása”(79) viszonylag tág kifejezésnek adandó értelméről. Egyes szerzők e tekintetben felvetették azt a kérdést, hogy a „módosítás” a belső aktus „szövegével ellentétes módosítást” jelent‑e, vagy „bármely módosítást, még a szöveggel megegyező módosítás is” elegendő a hozzájárulási eljárás betartásának igényléséhez.(80)
182. Az EK 300. cikk (3) bekezdésének második albekezdése azt a kérdést is felveti, hogy a hozzájárulás megköveteléséhez a tervezett megállapodás hatályának legalább részben fednie kell‑e az elfogadott belső aktus hatályát, vagy elegendő az a tény, hogy a megállapodás megkötéséhez alkalmazott jogi alap alapján fogadták el a belső aktust.(81)
183. Általánosságban az a véleményem, hogy ahhoz, hogy egy nemzetközi megállapodás „módosítson” egy együttdöntési eljárás alapján elfogadott belső aktust, az egyik feltétel az, hogy a megállapodás hatálya fedje a belső aktusét. Ebben az esetben előfordulhat, hogy a nemzetközi megállapodás módosítja a belső aktust, vagy azért, mert a megállapodás a belső aktusnak ellentmondó rendelkezést tartalmaz, vagy azért, mert a megállapodás hozzátesz a belső aktus tartalmához, még ha nincs is közvetlen ellentmondás.
184. Jelen ügyben úgy vélem, hogy a megállapodás nem tudta módosítani a 95/46 irányelv tartalmát.
185. A véleményem elsőként azon alapul, hogy – amint az az első jogalap elemzéséből következik –, a megállapodás célja a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem, védelmet biztosítva ugyanakkor a légi utasok személyes adatainak. Ellenben a 95/46 irányelv célja a személyes adatok tagállamok közötti szabad áramlásának biztosítása a természetes személyeket ezen adatok feldolgozása tekintetében védő nemzeti rendelkezések harmonizációja révén. A két aktusnak tehát két jól elkülöníthető célja van, még akkor is, ha mindkettő a személyes adatok védelmének területére vonatkozik.(82)
186. Másodsorban és összefüggésben azon megállapítással, hogy céljuk eltérő, nyilvánvaló, hogy a megállapodás és a 95/46 irányelv hatálya különböző. Ugyanis míg a megállapodás az Egyesült Államok belbiztonságára vonatkozó tevékenységek gyakorlása érdekében végrehajtott, illetve ugyanakkor és pontosabban a terrorizmus és egyéb súlyos bűncselekmények elleni tevékenységre vonatkozó személyesadat-feldolgozásra alkalmazandó, emlékeztetek arra, hogy az irányelv 3. cikke (2) bekezdésének első francia bekezdése kifejezetten kizárja a hatálya alól a „közösségi jog hatályán kívül eső tevékenységek[et], mint például az EU‑Szerződés V. és VI. címében megállapítottak[at], valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek[et]”(83).
187. Figyelemmel arra, hogy jelen esetben a két aktus célja és hatálya eltérő, nem látom, hogy az egyik tartalma hogyan tudná a másikat módosítani. Igazság szerint a megállapodás azon személyesadat-feldolgozásokra vonatkozik, amelyekre nézve a közösségi jogalkotó világosan kizárta a 95/46 irányelvvel létrehozott védelmi rendszer rájuk történő alkalmazhatóságát. A közösségi jogalkotó által elfogadott megközelítés egyébiránt összefügg az irányelv jogi alapjának, nevezetesen az EK 95. cikk megválasztásával.
188. Ezen elemzésnek véleményem szerint a Bizottság érvelése sem tud ellentmondani, amelynek alapján – függetlenül a személyes adatok CBP általi felhasználásának céljától – ezen adatok a Közösségben a légi szállítók számára a 95/46 irányelv hatálya alá eső kereskedelmi adatok, és azok is maradnak, amelyeket következésképpen annak megfelelően kell védeni és feldolgozni.
189. E tekintetben emlékeztetek arra, miszerint bár igaz, hogy a légi utasok adatainak a légitársaságok általi feldolgozásnak minősülő gyűjtése és rögzítése általában kereskedelmi céllal bír, mivel közvetlenül kapcsolódik a légi szállító által biztosított járat működtetéséhez, az adatfeldolgozást szabályozó megállapodásnak mindazonáltal egész más a célja, mivel egyrészt az adatgyűjtést követő szakaszra vonatkozik, és másrészt biztonsággal kapcsolatos célt követ.
190. Minderre figyelemmel az első jogalapot alátámasztó első érv nem alapos, ezért azt el kell utasítani.
191. A C‑318/04. sz. ügy(84) vizsgálata során említett ugyanazon okokból, most a Parlament által előadott harmadik és negyedik jogalapot együtt fogom vizsgálni, vagyis a személyes adatok védelméhez való jog megsértését és az arányosság elvének megsértését.
192. Arra is emlékeztetek, hogy figyelemmel a tanácsi határozat által jóváhagyott megállapodásnak, a megfelelőségi határozatnak és a CBP‑nek a jelen bizottsági határozathoz csatolt kötelezettségvállalásainak egymástól való függésére, úgy vélem, hogy a PNR-rendszer együttesét kell e jogalapok fényében elemezni.(85)
C – A személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapokról
1. A felek érvei
193. A Parlament fenntartja, hogy a PNR-rendszer megsérti a személyes adatok védelmének az EEJE 8. cikkében elismert jogát.
194. Álláspontja szerint annak előírásával, hogy a CBP elektronikus úton hozzáférhet a légi szállítóknak a tagállamok területén elhelyezkedő helyfoglalási rendszereiben tárolt PNR-adatokhoz, és annak kimondásával, hogy az Egyesült Államokba érkező vagy onnan induló nemzetközi légiutas-szállító járatokat működtető légi szállítók kötelesek a szóban forgó PNR-adatokat az Egyesült Államok jogszabályaival összhangban álló CBP előírások szerint megfelelően feldolgozni, olyan személyesadat-feldolgozásra vonatkozna, amely a magánéletbe való beavatkozásnak minősülne az EEJE 8. cikke értelmében. Ugyanígy a megfelelőségi határozat sem tartja be ezen cikket.
195. A Parlament kifejti, hogy az EEJE 8. cikke megsértésének elkerülése érdekében e beavatkozást törvénynek kell előírnia, jogszerű célt kell követnie, és e cél elérése érdekében szükségesnek kell lennie egy demokratikus társadalomban. Úgy véli, hogy a megállapodás és a megfelelőségi határozat nem teljesíti e feltételeket.
196. Elsőként, arról a feltételről lévén szó, amely szerint a beavatkozásra törvényben meghatározott esetben kerülhet sor, a Parlament azt állítja, hogy sem a megállapodás, sem a megfelelőségi határozat nem elégíti ki az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata által előírt, a törvény hozzáférhetőségére és előre láthatóságára vonatkozó követelményeket. Egyrészt, ami a törvény hozzáférhetőségének követelményét illeti, a Parlament úgy véli, hogy az Egyesült Államok alkalmazandó jogszabályaira történő általános és pontatlan utalással a megállapodás és a megfelelőségi határozat maga nem tartalmazza az utasok és az európai légitársaságok jogait és kötelezettségeit. Márpedig a jogbiztonság azt követelné, hogy a jogi kötelezettségeket teremtő közösségi aktus lehetővé tegye az érdekeltek számára a rájuk vonatkozó kötelezettségek terjedelmének pontos megismerését.(86) Továbbá ellentétben azzal, amit a törvény hozzáférhetősége előír, az alkalmazandó amerikai törvények nem állnak rendelkezésre a Közösség minden hivatalos nyelvén. A Parlament azt is megállapítja, hogy a megállapodás preambulumában hibás a megfelelőségi határozatra hivatkozás és annak elfogadási időpontja. Másrészt a törvény előre láthatóságának követelménye nem teljesül, mivel a megállapodás és a megfelelőségi határozat nem tartalmazza kellő pontossággal a Közösségben letelepedett állampolgárok és légitársaságok jogait és kötelezettségeit. Az utasok egyébiránt csak általános tájékoztatást kapnak, amely ellentétes a 95/46 irányelv 10. és 11. cikkében és a 108. egyezmény 8. cikkének a) pontjában előírt tájékoztatási kötelezettséggel. Végül a megállapodás és a CBP kötelezettségvállalásai számos, az EEJE 8. cikkével összeegyeztethetetlen pontatlanságot tartalmaznak.
197. Másodsorban azon feltételt illetően, amely szerint az EEJE 8. cikkének (2) bekezdése alapján a magánélet tiszteletben tartásához való jogba történő beavatkozásnak törvényes célt kell követnie, a Parlament elismeri, hogy ez teljesül. E tekintetben emlékeztet a Tanács felé több ízben kifejezett, terrorizmus elleni támogatására.
198. Harmadsorban arról a feltételről lévén szó, amely szerint a beavatkozásnak olyan intézkedésnek kell minősülnie, amely egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges, a Parlament úgy véli, hogy e feltétel nem teljesül, az alábbi okokból:
– a CBP kötelezettségvállalásainak 3. bekezdéséből következik, hogy az adatfeldolgozásnak nem egyedül a terrorizmus elleni küzdelem a célja, hanem az egyéb súlyos bűncselekmények, beleértve a transznacionális jelleget öltő szervezett bűnözés, valamint a fenti bűncselekmények miatt elrendelt letartóztatás, illetve kiadott elfogatóparancs előli szökés megelőzése és leküzdése is. Amennyiben az adatfeldolgozás túllépi a terrorizmus elleni egyedüli küzdelmet, nem szükséges a törvényesen követett cél eléréséhez;
– a megállapodás túlzott számú (34) adat továbbítását írja elő, ezáltal nem tartja be az arányosság elvét. A személyes adatok megfelelő védelmi szintje betartásának szempontjából a 34-ből 19 elfogadhatónak tűnik. A Parlament úgy véli, hogy „jelentős eltérés” van az Európai Unió szintjén alkalmazandó összehasonlítható jogi eszközök által előírt, és a megállapodás által előírt adatok száma között.(87) Egyébiránt egyes PNR-adatelemek különleges adatokat tartalmazhatnak;
– az adatokat az amerikai hatóságok túl hosszú ideig őrzik a követett célhoz képest. A CBP kötelezettségvállalásaiból következik, hogy az adatokhoz a CBP feljogosított személyei számára hét napig tartó elektronikus hozzáférést követően minden adatot három és fél évig őriznek, majd azon adatokat, amelyekbe ezen időszak folyamán manuálisan betekintettek, a CBP archívumba helyez át nyers adatok formájában, ahol nyolc évig őrzik a megsemmisítésük előtt. A létrehozott információs rendszerekkel – például a Schengeni Megállapodás végrehajtásáról szóló Egyezmény, az Europol-egyezmény és az Eurojust-határozat keretében, amelyek egytől három évig terjedő megőrzést írnak elő –, történő összehasonlítás mutatja a kötelezettségvállalásokban említett időtartam túlzott jellegét;
– a megállapodás nem ír elő bírósági felülvizsgálatot az amerikai hatóságok általi adatfeldolgozásra vonatkozóan. Sőt mi több, mivel a megállapodás és a kötelezettségvállalások nem hoznak létre jogokat a személyes adataik feldolgozásával érintett személyek számára, a Parlament nem tudja, hogyan tudnának e személyek e jogokra hivatkozni az amerikai bíróságok előtt;
– a megállapodás lehetővé tenné az adatoknak más hatóságok részére történő továbbítását; így túlmegy azon, ami a terrorizmus elleni küzdelemhez szükséges.
199. Az EAB véleménye szerint hat adatkategória feldolgozása nyilvánvalóan a sérti magánélethez való jogot.(88) Ez a sérelem abból a lehetőségből is ered, hogy ezen adatokból személyes profilt lehet összeállítani. Az EAB támogatja a Parlament arra irányuló érvelését, hogy a beavatkozást nem igazolja az EEJE 8. cikkének (2) bekezdése. Úgy véli, hogy a CBP által biztosított védelmi szint a 95/46 irányelv 25. cikke értelmében nem megfelelő, különösen, mivel az EEJE 8. cikkét nem tartják be.
200. Ellenben a Tanács és a Bizottság úgy véli, hogy a PNR-rendszer megfelel az EEJE 8. cikkének (2) bekezdésében előírt, az Emberi Jogok Európai Bírósága által értelmezett feltételeknek.
201. Elsőként, arról a feltételről lévén szó, amely szerint a beavatkozásra törvényben meghatározott esetben kerülhet sor, a Tanács úgy véli, hogy a törvény hozzáférhetősége követelményének teljesítése érdekében nem szükséges, hogy magának a megállapodásnak a szövege tartalmazza az összes olyan rendelkezést, amely esetlegesen érintheti a szóban forgó személyeket. Nem ellentétes az előre láthatósághoz való joggal a megállapodásban a megfelelőségi határozatra és a CBP‑nek e határozat mellékletében szereplő kötelezettségvállalásaira történő utalás, amennyiben e szövegek mindegyikét közzétették az Európai Unió Hivatalos Lapjában. Egyébiránt ez utóbbinak nem feladata harmadik országok törvényeinek közzététele. A Tanács a megállapodás preambulumában megjelenő, a megfelelőségi határozatra történő hibás hivatkozással kapcsolatban utal arra, hogy megteszi a szükséges intézkedéseket a Hivatalos Lapban történő helyesbítés közzététele érdekében. Azonban úgy véli, hogy e technikai jellegű hibák nem érintik a szóban forgó aktusok hozzáférhetőségét az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata értelmében. Ami a törvény előre láthatóságának feltételét illeti, a Tanács úgy véli, hogy nem sérti e követelményt az a tény, hogy a CBP kötelezettségvállalásait, valamint az amerikai törvényeket és alkotmányos követelményeket maga a megállapodás nem veszi át teljes egészében. Továbbá a kellő pontossággal megfogalmazott CBP‑kötelezettségvállalások lehetővé teszik az érintett személyek számára magatartásuk szabályozását.
202. Másodsorban arról a feltételről lévén szó, amely szerint a beavatkozásnak törvényes célt kell követnie, a Tanács megjegyzi, hogy a terrorizmuson kívüli súlyos bűncselekmények elleni küzdelem az EEJE 8. cikkében említett törvényes érdekek több csoportjába beleillik (nevezetesen közbiztonság, zavargás vagy bűncselekmény megelőzése). Ennélfogva a megállapodás és a CBP kötelezettségvállalásai törvényes célt követnek akkor is, amikor e más súlyos bűncselekményekre vonatkoznak.
203. A Tanács harmadsorban úgy véli, hogy a beavatkozás arányos az elérendő céllal. Pontosabban azzal érvel, hogy a CBP által bekért PNR-adatcsoportok hasznosak a terrorista cselekmények vagy a szervezett bűnözés megelőzéséhez, valamint a merényleteket követő nyomozás megvilágításához, megkönnyítve a terrorista csoportokhoz vagy a szervezett bűnözéshez kapcsolódó személyek azonosítását. Ami a továbbítandó PNR-adatok számát illeti, az Európai Unión belül létrehozott információs rendszerekkel történő összehasonlítás nem releváns, mivel azon túl, hogy e rendszereknek a célja és tartalma eltér a PNR-rendszerétől, a lehetséges terroristák profiljának körvonalazásához sokkal több adathoz kellene hozzáférni. Arról a három PNR-adatelemről szólva, amely a Parlament szerint különleges adatokat tartalmazhat,(89) a Tanács megjegyzi, hogy a CBP‑nek e három elemhez történő hozzáférését szigorúan korlátozták a CBP kötelezettségvállalások 5. bekezdése(90) alapján. Továbbá a 9., 10. és 11. kötelezettségvállalás szerint kizárt, hogy a CBP felhasználhassa a különleges adatokat.(91) Ami a PNR-adatok megőrzésének időtartamát illeti, a Tanács úgy véli, miszerint figyelemmel arra a tényre, hogy a merényleteket követő nyomozások néha több évig tartanak, a három és fél évben rögzített megőrzési idő kiegyensúlyozott megoldásnak minősül, kivéve azokat a különleges eseteket, ahol ezen időtartam hosszabb lehet. Továbbá nincs ok azt gondolni, hogy hiányzik a független felülvizsgálati rendszer. Végül az adatoknak más hatósághoz történő továbbítását elegendő garancia övezi; nevezetesen a CBP csak eseti alapon és a terrorizmus vagy egyéb súlyos bűncselekmény elleni küzdelem céljából továbbíthat más hatósághoz adatokat.
204. A Bizottság szerint kétségtelen, hogy a megállapodás, a megfelelőségi határozat és a CBP kötelezettségvállalásainak együttese lehetővé tesz a magánéletbe történő bizonyos – a továbbított adatoktól függő szintű – beavatkozást. E beavatkozást a törvény meghatározza, vagyis a fenti együttes törvényes célt követ, tehát a biztonsági jellegű amerikai törvény és a személyes adatok védelmére vonatkozó közösségi normák közötti összeütközés feloldását, és szükséges egy demokratikus társadalomban e cél eléréséhez.
205. Az Egyesült Királyság úgy véli, hogy a személyes adatok védelméhez való jog esetleges sérelme elemzésének keretében a tanácsi határozatot, a megfelelőségi határozatot és a CBP kötelezettségvállalásait együtt kell vizsgálni, mivel ezek szorosan összefüggő jogi eszközök. Azt is megjegyzi, hogy a közösségi jog hozzáférhetőségét és előre láthatóságát kell vizsgálni, és nem az Egyesült Államok területén alkalmazandó törvényekét. Az Egyesült Királyság véleménye szerint, ha összekapcsoljuk a megállapodást, a megfelelőségi határozatot és a CBP kötelezettségvállalásait, a közösségi jog világosan és átfogóan bemutatja minden érintett fél jogi álláspontját. Továbbá nem osztja azon véleményt, amely szerint a CBP kötelezettségvállalásai jellegénél fogva egyoldalúak lennének, és az amerikai hatóságok büntetlenül módosíthatnák vagy visszavonhatnák azokat.
206. Az Egyesült Királyság a beavatkozás szükségességéről szólva kiemeli, hogy az egyéb súlyos bűncselekmények elleni küzdelem a megállapodás céljaként világosan megjelenik, és a közrendet szolgálja, amely ugyanolyan törvényes cél, mint a terrorizmus elleni küzdelem. Az Egyesült Királyság úgy véli, hogy a továbbítható adatok skálája, a megőrzési időtartam és a más hatósághoz való továbbítás lehetősége megfelel e céloknak és azokkal arányos, tekintettel különösen az utasok magánéletét érintő veszélyek csökkentése érdekében a kötelezettségvállalásokban és a megfelelőségi határozatban foglalt számos garanciára. Végül kifejti, hogy álláspontja szerint az arányosság kritériumát a szóban forgó célok jellegének és jelentőségének fényében egyszerre kell a Bíróság és az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata alapján alkalmazni.
2. Értékelés
207. E jogalapokkal a Parlament fenntartja, hogy a tanácsi határozat, valamint a megfelelőségi határozat megsérti az EEJE 8. cikkében biztosított, a személyes adatok védelméhez való jogot.
208. Az állandó ítélkezési gyakorlat szerint az alapvető jogok a közösségi jog általános elveinek részét képezik, amelyek tiszteletben tartását a Bíróság biztosítja.(92) Ennek érdekében a Bíróság a tagállamok közös alkotmányos hagyományaiból, valamint azon iránymutatásokból merít, amelyeket az emberi jogok védelmére vonatkozó azon nemzetközi szerződések nyújtanak, amelyek kidolgozásában a tagállamok együttműködtek, illetve amelyekhez csatlakoztak. Úgy ítéli meg, hogy az Emberi Jogok Európai Bírósága e tekintetben „különös jelentőséggel” bír.(93) A Közösségben nem lehet elfogadni olyan intézkedéseket, amelyek összeegyeztethetetlenek az így elismert és biztosított emberi jogok betartásával.(94) Ezen elveket az EU 6. cikkének (2) bekezdése megismétli.
209. Ezen ítélkezési gyakorlat nyomán a Bíróság úgy ítélte meg, hogy a magánélet tiszteletben tartásához való jogot beépítette a közösségi jogba.(95) A személyes adatok védelméhez való jog a magánélet tiszteletben tartásához való jog egyik vonatkozása, tehát az EEJE 8. cikke védi, beleértve a közösségi jogrendben az általános jogelvek általi védelmet is.
210. Megvizsgálom – követve az EEJE 8. cikkéből eredő elemzési mintát – hogy a PNR-rendszer megsérti‑e a magánélet tiszteletben tartásához való jogot. Így, miután megállapításra került, hogy a fenti rendszer beavatkozik a légi utasok magánéletébe, meghatározom, hogy e beavatkozás kellően indokolt‑e.
a) A magánéletbe való beavatkozás fennállásáról
211. Véleményem szerint a megállapodást jóváhagyó tanácsi határozat, a megfelelőségi határozat és a CBP kötelezettségvállalásainak együttese által megvalósított magánéletbe történő beavatkozás kétségtelenül megállapítható. Világos számomra, hogy a légi szállítóknak a tagállamok területén elhelyezkedő helyfoglalási rendszereiben tárolt, a légi utasok adataiba való CBP általi betekintés, felhasználás és ez utóbbinak ezen adatok rendelkezésre bocsátása ezen utasok magánéletébe való, hatóságok részéről történő beavatkozásnak minősül.
212. A légi utasok magánéletébe történő beavatkozás számomra még akkor is megállapítottnak tűnik, ha bizonyos, külün-külön vett PNR-adatelemeket úgy lehetne tekinteni, mint amelyek egyenként nem sértik az érintett utasok magánéletét. Véleményem szerint a CBP által bekért PNR-adatelemek listáját egészében kell tekinteni, mivel ezen adatok átfedése személyes profilok létrehozását teszi lehetővé.
213. A magánéletbe történő beavatkozás sérti a magánélet tiszteletben tartásához való jogot, kivéve ha kellően indokolt.
b) A magánéletbe való beavatkozás indokoltsága
214. Ahhoz, hogy a magánéletbe történő beavatkozás megengedhető legyen, három feltételnek kell teljesülnie: törvényben meghatározott esetben történhet, törvényes célt kell követnie, és egy demokratikus társadalomban szükségesnek kell lennie.
i) A beavatkozás törvényben meghatározott?
215. Az Emberi Jogok Európai Bíróságának (EJEB) állandó ítélkezési gyakorlata szerint e feltétel megkívánja, hogy a kifogásolt intézkedésnek legyen jogi alapja, és a szóban forgó törvény minőségére is vonatkozzon.(96) A törvény minőségének vizsgálata azt is jelenti, hogy a törvény az állampolgárok számára hozzáférhető, pontos, és következményei előre láthatók. Ez feltételezi, hogy kellő pontossággal meghatározza a biztosított jog korlátozásának módját és feltételeit, annak érdekében, hogy az állampolgár számára lehetővé váljon magatartásának irányítása és az önkényességgel szemben megfelelő védelemben való részesülése.(97)
216. A Parlament úgy véli, hogy a beavatkozást előíró intézkedés következményei nem hozzáférhetőek és nem előre láthatóak. Nem osztom ezt a véleményt.
217. Ellenkezőleg, úgy vélem, hogy a tanácsi határozat és a hozzá csatolt megállapodás, valamint a mellékletben a CBP kötelezettségvállalásait tartalmazó megfelelőségi határozat lehetővé teszi az érintett személyeknek, nevezetesen a légitársaságoknak és a légi utasoknak, hogy kellően pontosan tájékozottak legyenek magatartásuk irányítása érdekében.
218. E tekintetben megjegyzem, hogy a CBP kötelezettségvállalásainak 48 bekezdése viszonylag részletes és pontos tájékoztatást ad az alkalmazandó jogi keretről. Továbbá a megfelelőségi határozat a preambulumában utal a releváns amerikai törvényre és a CBP által az alapján elfogadott végrehajtási rendelkezésekre.(98) Ennélfogva számomra túlzottnak tűnik azt előírni, hogy az alkalmazandó amerikai törvényi és rendeleti rendelkezések egészét tegyék közzé az Európai Unió Hivatalos Lapjában. Azon kívül, hogy – amint arra a Tanács rámutat – a Hivatalos Lapnak nem feladata harmadik országok törvényeinek közzététele, úgy vélem, hogy az ott közzétett CBP kötelezettségvállalási nyilatkozata tartalmazza az adatoknak a CBP általi felhasználási eljárásáról és az eljárást övező garanciákról szóló lényeges információkat.
219. A jogbiztonság követelményének megfelelően a PNR-rendszerrel érintett légitársaságokat tájékoztatják a megállapodás alapján őket terhelő kötelezettségekről, és a légi utasokat tájékoztatják jogaikról, különösen az adataikhoz való hozzáférésről és azok helyesbítéséről.(99)
220. Figyelemmel a PNR-rendszer elemeinek egymással való összefüggésére, sajnálatos, hogy a megállapodás hibákat tartalmaz a megfelelőségi határozatra való utalással és annak dátumával kapcsolatban. E hibák összetettebbé teszik azon európai állampolgár eljárását, aki tájékozódni szeretne az Egyesült Államokkal tárgyalt rendszer tartalmáról. Mindazonáltal e hibák nem nehezítik meg túlzottan e keresést, ugyanis a megfelelőségi határozatot a Hivatalos Lapban közzétették, és az – informatikai – keresési eszközök megkönnyítik annak megtalálását. Továbbá a Tanács vállalta egy helyesbítésnek a Hivatalos Lapban történő közzétételét, amely meg is történt.(100)
221. E megfontolásokra tekintettel úgy vélem, hogy az érintett légi utasok magánéletébe való beavatkozást az EEJE 8. cikkének (2) bekezdése értelmében „törvényben meghatározottnak” kell tekinteni.
ii) A beavatkozás törvényes célt követ?
222. Az EEJE 8. cikkének (2) bekezdésében említett különböző célok fényében úgy vélem, hogy a jelen ügy tárgyául szolgáló magánéletbe való beavatkozás törvényes célt követ. Különösen ez a helyzet a terrorizmus elleni küzdelmet illetően.
223. A Tanácshoz hasonlóan úgy gondolom, hogy az egyéb súlyos bűncselekmények elleni küzdelem(101) is az EEJE 8. cikkének (2) bekezdésében említett több törvényes érdek kategóriájába tartozik, mint például a nemzetbiztonság, a közbiztonság, zavargás vagy bűncselekmény megelőzése. Ennélfogva úgy vélem, hogy a PNR-rendszer törvényes célt követ, amennyiben ezen egyéb súlyos bűncselekményekre vonatkozik.
224. Jelenleg a beavatkozás arányosságát kell vizsgálni azon kérdés feltevésével, hogy az szükséges‑e egy demokratikus társadalomban a terrorizmus és egyéb súlyos bűncselekmények megelőzése és az ellenük folytatott küzdelem érdekében.
iii) Szükséges‑e demokratikus társadalomban a beavatkozás e cél eléréséhez?
225. Az arányosság feltétele betartásának pontos vizsgálata előtt néhány előzetes megjegyzést teszek a Bíróság általi felülvizsgálat terjedelmével kapcsolatban.
226. Az Emberi Jogok Európai Bírósága szerint a „szükséges” melléknév az EEJE 8. cikke (2) bekezdésének értelmében „sürgető társadalmi igény” fennállását jelenti, és hogy az elfogadott intézkedés legyen „arányos a követett céllal”(102). Továbbá „a nemzeti hatóságok mérlegelési joggal bírnak, amelynek terjedelme nem csupán a beavatkozás céljától, hanem annak pontos jellegétől is függ”(103).
227. Az államok mérlegelési jogköre felülvizsgálatának keretében az Emberi Jogok Európai Bírósága hagyományosan meghatározza, hogy a beavatkozás alátámasztására szolgáló indokok helytállók és elegendők‑e, majd azt, hogy a beavatkozás arányos‑e a követett céllal, és megállapítja, hogy egyensúly jött létre az általános érdek és az egyéni érdek között.(104) Ezen ítélkezési gyakorlatból a következtetést levonva megállapíthatta, hogy „[a] valamely törvényes érdek és az annak elérésére szolgáló eszközök között megfelelőségi követelményt közvetítő arányosság elve tehát a nemzeti mérlegelési jogkör felülvizsgálatának középpontjában helyezkedik el”(105).
228. Az arányosságnak az Emberi Jogok Európai Bírósága általi felülvizsgálata változik az olyan körülmények szerint, mint a szóban forgó jogok és tevékenységek jellege, a beavatkozás célja és az államok jogrendszerében esetlegesen jelen lévő közös nevező.
229. A szóban forgó jogok és tevékenységek jellegéről lévén szó, ha az egyén magánszféráját szorosan érintő jogról van szó, mint például az egészségre vonatkozó személyes adatok bizalmas kezeléséhez való jogról,(106) az Emberi Jogok Európai Bírósága úgy ítéli meg, hogy az állam mérlegelési joga korlátozott, és saját bírói felülvizsgálatának szorosabbnak kell lennie.(107)
230. Mindazonáltal, amikor a beavatkozás célja a nemzetbiztonság megőrzése(108) vagy a terrorizmus elleni küzdelem(109), az Emberi Jogok Európai Bírósága hajlik arra, hogy az államoknak nagyobb mértékű mérlegelést engedjen.
231. Tekintettel a PNR-rendszer keretében látszólag döntőnek minősülő terrorizmus elleni küzdelem céljának természetére és jelentőségére, és figyelemmel arra a politikailag érzékeny környezetre, amelyben a Közösség és az Egyesült Államok közötti tárgyalások folytak, úgy vélem, a jelen ügyben a Bíróságnak úgy kell tekinteni, hogy a Tanács és a Bizottság jelentős mérlegelési jogkörrel rendelkezett a PNR-rendszer tartalmának az amerikai hatóságokkal történő megtárgyalásához. Ebből következik, hogy e nagy mérlegelési jogkör tiszteletben tartása érdekében a Bíróság által a beavatkozás szükségességét illetően gyakorolt felülvizsgálatának véleményem szerint arra kell korlátozódnia, hogy történt‑e e két intézmény részéről esetleges nyilvánvaló mérlegelési hiba.(110) A Bíróság e korlátozott felülvizsgálat gyakorlásával elkerülné azt a nehézséget, amely abban áll, hogy saját mérlegelésével helyettesíti a közösségi politikai intézmények mérlegelését a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem legmegfelelőbb és legalkalmasabb eszközei jellegét illetően.
232. A Bíróság az általa gyakorolni kívánt felülvizsgálat terjedelmének meghatározása érdekében az Emberi Jogok Európai Bíróságának fent hivatkozott ítélkezési gyakorlatán felül saját ítélkezési gyakorlatára támaszkodhat, amelyben úgy véli, hogy amikor valamely közösségi intézmény széles mérlegelési joggal rendelkezik egy meghatározott területen, „[…] az e területen kibocsátott valamely intézkedés jogellenessége csak akkor állapítható meg, ha az nyilvánvalóan nem alkalmas az illetékes intézmények által kitűzött cél elérésére”(111). A Bíróság arányosságot érintő felülvizsgálati jogkörének e „korlátozása különösen akkor áll fenn”, ha „a Tanácsnak szembenálló érdekeket kell összebékítenie, és ennek megfelelően a saját feladatkörébe tartozó politikai választási lehetőségekkel élve kell bizonyos lépéseket választania”(112). A felülvizsgálat korlátozását indokolhatja az a körülmény is, hogy egy cselekvési területen a közösségi intézménynek összetett mérlegelést kell végeznie.(113)
233. Úgy tűnik számomra, hogy ezen ítélkezési gyakorlatot és az ezt megalapozó okokat jelen esetben alkalmazni kell, mivel a PNR-rendszer kidolgozása keretében a Tanács és a Bizottság nehezen kibékíthető érdekek közötti politikai választási lehetőségekkel és összetett mérlegelésekkel szembesült.(114) Ez megfelel a hatalmi ágak szétválasztásának, amely a Bíróság számára azt írja elő, hogy tartsa tiszteletben a közösségi jogalkotó és közigazgatási szervek hatáskörébe tartozó politikai felelősséget, és ebből következően tartózkodjon az utóbbiakra háruló politikai választási lehetőségek közötti döntés átvételétől.
234. Jelenleg pontosan vizsgálni kell, hogy a PNR-rendszert alkotó különböző elemek elfogadása során a Tanács és a Bizottság nyilvánvalóan túllépte‑e mérlegelési jogkörének határait a magánélet tiszteletben tartását, és pontosabban a légi utasok személyes adatai védelmét illetően, figyelemmel a követett célra.
235. E vizsgálat keretében a CBP kötelezettségvállalási nyilatkozata különös jelentőséggel bír, mivel ez tartalmazza a PNR-rendszert övező garanciák részleteit. E tekintetben jelzem, hogy véleményem szerint hibás azt gondolni, hogy a nyilatkozat semmiféle kötelező erővel nem bír, és az amerikai hatóságok által szabadon módosítható vagy visszavonható kötelezettségvállalásokat tartalmaz.
236. A kötelezettségvállalási nyilatkozat ugyanis, amelyet – emlékeztetek rá – csatoltak a megfelelőségi határozathoz, a PNR-rendszer egyik összetevője, és így annak be nem tartása az egész rendszer megbénításához vezetne. E tekintetben kiemelem, hogy a megállapodás 1. és 2. bekezdése a PNR-adatok feldolgozásának a légi szállítókat terhelő kötelezettségét alárendeli a megfelelőségi határozat szigorú alkalmazásának, e kötelezettség csak addig alkalmazandó, „amíg ez utóbbi alkalmazandó”. Továbbá a megállapodás 3. bekezdése szerint a CBP „kijelenti, hogy végrehajtja az ahhoz csatolt kötelezettségvállalásokat”. Végül a megfelelőségi határozat 3., 4. és 5. cikke meghatározza a kötelezettségvállalási nyilatkozatban előírt védelmi normák megsértése esetén meghozandó intézkedéseket. Ezen intézkedések között előírják, hogy a tagállamok illetékes hatóságai felfüggeszthetik a CBP felé történő adatáramlást, és ha a személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, a megfelelőségi határozat hatályon kívül helyezhető vagy felfüggeszthető, amelynek következtében a megállapodás 1. és 2. bekezdése nem lenne alkalmazandó.
237. A Parlament – annak a Bíróság általi megállapítása érdekében, hogy ezen utasok magánéletébe történő beavatkozás nem tartja tiszteletben az arányosság elvét – elsőként a CBP által a légitársaságoktól bekért adatok túlzott számára utal. Egyébiránt úgy véli, hogy a bekért PNR-adatelemek közül egyesek különleges adatokat tartalmazhatnak.
238. Véleményem szerint a Bizottság a 34 személyes adatelemből álló lista létrehozásával, amint azt a megfelelési határozathoz csatolták, nem nyilvánvalóan alkalmatlan intézkedést fogadott el a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem céljának elérése érdekében. Egyrészt ugyanis ki kell emelni a hírszerző tevékenység jelentőségét az antiterrorista küzdelemben, mivel a megfelelő információk megszerzése lehetővé teszi az állam biztonsági szolgálatai számára egy esetleges terrorista merénylet megelőzését. E szempontból a lehetséges terroristák profilja kialakításának szükségessége az adatok nagyszámához való hozzáférést igényelheti. Másrészt az a körülmény, hogy az Európai Unió keretén belül az információcserére vonatkozó egyéb eszközök kevesebb adat közlését írják elő, nem elég annak bizonyításához, hogy az antiterrorista küzdelem speciális eszközének minősülő PNR-rendszer keretében túl sok adatot kérnek.(115)
239. Ezenkívül, még ha igaz is, amint azt a Parlament megjegyzi, hogy három bekért adatelem különleges adatot tartalmazhat(116), megjegyzem egyrészt, hogy a CBP‑nek e három adatelemhez történő hozzáférését szigorúan korlátozták a kötelezettségvállalási nyilatkozat 5. bekezdése alapján, másrészt e nyilatkozat 9–11. bekezdése szerint a CBP nem használja fel a különleges adatokat, és végül a CBP a kötelezettségvállalásának megfelelően ezen adatokat szűrő rendszert hozott létre.(117)
240. Másodsorban a Parlament úgy véli, hogy a légi utasok PNR-adatait az amerikai hatóságok túl hosszú ideig őrzik a követett célra tekintettel.
241. Ezen adatok megőrzésének idejét a kötelezettségvállalási nyilatkozat 15. bekezdése említi, amely lényegében az engedéllyel rendelkező CBP felhasználók számára előírja az online hozzáférést hétnapos időtartamra. Ezen időszak után a PNR-adatok megtekintése korlátozott számú feljogosított tisztviselő számára lehetséges három év és hathónapos időtartamra. Végül e második időszak után azok a PNR-adatok, amelyekbe ezen időszak alatt manuálisan nem tekintettek be, megsemmisítésre kerülnek, míg azokat a PNR-adatokat, amelyekbe a kezdeti 3,5 évben manuálisan betekintettek, a CBP archívumba helyezi, ahol további nyolc év tárolás után megsemmisítik azokat(118).
242. E rendelkezésből következik, hogy a PNR‑ből eredő adatok átlagos megőrzési ideje három év és hat hónap, kivéve az ezen időszak alatt manuális betekintésre felhasznált adatokat. Úgy vélem, hogy ezen időtartam nem nyilvánvalóan túlzott, figyelemmel különösen arra a tényre, amint a Tanács is rámutat, hogy a terrorista merényleteket vagy egyéb súlyos bűncselekményeket követő nyomozás néha több évig is eltarthat. Következésképpen, bár elvben kívánatos, hogy a személyes adatokat rövid ideig őrizzék, jelen ügyben a PNR‑ből származó adatok tárolási idejét a hasznosságuk fényében kell megítélni, nem csupán a terrorizmus megelőzése céljából, hanem szélesebb értelemben bűnüldözési célból is.
243. E megfontolásokra tekintettel az adatok tárolási rendszere, ahogyan azt a kötelezettségvállalási nyilatkozat 15. bekezdése előírja, úgy tűnik számomra, hogy nem sérti nyilvánvalóan a magánélet tiszteletben tartásához való jogot.
244. Harmadsorban a Parlament azt rója a PNR-rendszer terhére, hogy a személyes adatok amerikai hatóságok általi feldolgozásával szemben nem biztosít bírósági felülvizsgálatot.
245. Megjegyzem, hogy mind a 108. egyezmény, mind a 95/46 irányelv előírja a bírósági felülvizsgálatot az e két jogi aktus szabályait végrehajtó nemzeti jogi rendelkezések megsértése esetére.(119)
246. Az EEJE 8. cikkének (2) bekezdése szempontjából véleményem szerint a kötelezettségvállalási nyilatkozat 36. és azt követő bekezdéseiben meghatározott, információval, az adatokhoz való hozzáféréssel és az érintett légi utasok számára fennálló jogorvoslattal kapcsolatos számos garancia lehetővé teszi az esetleges visszaélések elkerülését. E garanciák együttesére tekintettel úgy vélem, hogy – figyelemmel a Tanácsnak és a Bizottságnak jelen esetben elismerendő széles mérlegelési jogkörére –, a légi utasok magánéletébe történő beavatkozás arányos a PNR-rendszer által követett céllal.
247. Pontosabban meg kell jegyezni, hogy azon általános tájékoztatáson kívül, amelynek a légi utasok számára történő megadását a CBP vállalta,(120) a kötelezettségvállalási nyilatkozat 37. bekezdése előírja, hogy az érintett az információs szabadságról szóló törvénynek megfelelően(121) másolatot kérhet a CBP-adatbázisban szereplő vele kapcsolatos PNR-adatokról.(122)
248. Igaz, hogy a kötelezettségvállalási nyilatkozat 38. bekezdése előírja, hogy „bizonyos kivételes körülmények között” a CBP‑nek jogában áll, hogy az érintettre vonatkozó PNR-adat vagy egy részének közzétételét megtagadja, illetve elhalassza, például, ha a FOIA értelmében végrehajtott közzététel várhatóan „ellentmond a végrehajtási eljárásoknak” vagy „bűnüldözési eljárásokat vagy módszereket hoz nyilvánosságra”. Azonban azon kívül, hogy a CBP számára fennálló e lehetőséget törvény szabályozza, meg kell jegyezni, hogy a kötelezettségvállalási nyilatkozat ugyanezen bekezdése alapján a FOIA „értelmében bárkinek, aki kérdést fogalmaz meg, jogában áll közigazgatási vagy bírósági útonkifogásolni, ha a CBP az információ visszatartásáról dönt.(123)
249. Továbbá, ami a CBP adatbázisában található PNR-adatok helyesbítésére vonatkozó kérelmeket, illetve ez utóbbi által magánszemélyek PNR-adatainak kezelésével kapcsolatos egyéni panaszokat illeti, a kötelezettségvállalási nyilatkozat 40. bekezdése kimondja, hogy ezeket a CBP „Assistant Comissioner” részére kell küldeni.(124)
250. Ennélfogva, ha a CBP nem tudja orvosolni a panaszt, akkor azt a Chief Privacy Officernek kell megküldeni.(125)
251. Egyébiránt a kötelezettségvállalási nyilatkozat 42. bekezdése szerint „a DHS Privacy Office által a tagállamok adatvédelmi hatóságai (DPA) által felé továbbított és az Európai Unió területén lakóhellyel rendelkező polgártól beérkező panaszokat gyorsított eljárásban kezeli, ha a kérdéses polgárok felhatalmazzák a DPA‑t arra, hogy az ő nevükben lépjen fel, illetve úgy vélik, hogy PNR‑rel kapcsolatos panaszukat a CBP vagy a DHS Privacy Office nem vizsgálta ki kielégítően e kötelezettségvállalások 37–41. bekezdésének megfelelően”.
252. Ugyanezen bekezdés azt is előírja, hogy egyrészt a Privacy Office „következtetéseit jelentésbe foglalja, és minden meghozott intézkedésről értesíti az érintett adatvédelmi hatóságokat”. másrészt a DHS Chief Privacy Officernek „a Kongresszushoz intézett jelentése tartalmazza a személyes adatok – mint a PNR – kezelésével kapcsolatos panaszokat és azok orvoslását”(126).
253. A Parlament helyesen jegyzi meg, hogy a Chief Privacy Officer nem bírósági szerv. Mindazonáltal megjegyzem, hogy a belbiztonsági minisztériumtól bizonyos fokban független közigazgatási szervről van szó, amelynek határozatai kötelező erejűek.(127)
254. Ennélfogva a légi utasoknak biztosított azon lehetőség, hogy a Chief Privacy Officernél panaszt tehetnek, és hogy a FOIA keretében bírósági felülvizsgálat illeti meg őket, jelentős garanciáknak minősülnek a magánélet tiszteletben tartásához való jog szempontjából. E garanciák miatt úgy vélem, hogy a Tanács és a Bizottság nem lépte túl a mérlegelési jogkörének határait a PNR-rendszer elfogadása során.
255. Végül a Parlament úgy véli, hogy a PNR-rendszer túlmegy azon, ami a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelemhez szükséges, mivel lehetővé teszi a légi utasok adatainak továbbítását más hatóságoknak. Szerinte a CBP szabadon mérlegeli a PNR-adatoknak más hatóságok részére történő továbbítását, beleértve külföldi kormányzati szerveket is, amely összeegyeztethetetlen az EEJE 8. cikkének (2) bekezdésével.
256. Nem osztom ezt a véleményt. Itt ugyanis a PNR-adatok más kormányzati szervekhez történő továbbítását övező garanciák véleményem szerint megint úgy tekinthetők, hogy a légi utasok magánéletébe történő beavatkozás arányos a PNR-rendszer által követett céllal.
257. Még ha a kötelezettségvállalási nyilatkozat jelentős mérlegelési jogkört is ismer el a CBP‑nek, megjegyzem, hogy e jogkörnek vannak keretei. Így a kötelezettségvállalási nyilatkozat 29. bekezdése alapján PNR-adat kormányzati szerveknek – beleértve a „terrorizmusellenes vagy bűnüldözési tevékenységet folytató külföldi kormányokat” – egyedi elbírálási alapon csak olyan célokból továbbítható, „amelyek a 3. bekezdésben felsorolt események megelőzését és leküzdését szolgálják”. A nyilatkozat 30. bekezdése alapján a CBP először megállapítja, hogy a PNR-adat egy másik kijelölt hatóság előtti felfedése összeegyeztethető‑e a megállapított célokkal.
258. Igaz, hogy a kötelezettségvállalási nyilatkozat 34. és 35. bekezdése szélesíti e célokat, mivel lehetővé teszi egyrészt a PNR-adatok felhasználását vagy közzétételét a megfelelő kormányzati szervek által vagy felé, „ha ez szükséges az érintett vagy más személyek létfontosságú érdekének védelméhez, különös tekintettel az egészséget jelentősen fenyegető kockázatokra”, másrészt PNR-adatok felhasználását vagy közzétételét „büntetőjogi bírósági eljárásban, vagy más, törvény által meghatározott esetben”.
259. Mindazonáltal azon kívül, hogy e célok nagyrészt kötődnek a PNR-rendszer által követett törvényes célhoz, megjegyzem, hogy a kötelezettségvállalási nyilatkozat tartalmaz bizonyos garanciákat. Így például annak 31. bekezdése előírja, hogy „a többi kijelölt hatósággal is megosztható PNR-adatok terjesztésének szabályozása tekintetében az adat »gazdája« a CBP, és a kijelölt hatóságokat a közzététel egyértelmű feltételei értelmében” több kötelezettség terheli. Az adatokat befogadó hatóságokat terhelő e kötelezettségek között megjelenik, hogy: „összhangban a kijelölt hatóságok adattárolási eljárásaival kötelesek biztosítani a beérkezett PNR-adatok rendszeres megsemmisítését” és „az adatok bármilyen továbbításához kötelesek elnyerni a CBP kifejezett felhatalmazását”.
260. Továbbá a kötelezettségvállalási nyilatkozat 32. pontja kimondja, hogy „[a] PNR-adatokat a CBP aszerint teszi közzé, hogy az adott adatot a befogadó ügynökség bizalmas kereskedelmi és a bűnüldözés szempontjából fontos információként, vagy az érintettről szóló bizalmas, személyes információként kezeli […], amely utóbbi a Freedom of Information Act […] értelmében nem hozható nyilvánosságra”. Ezenkívül ugyanezen bekezdés utal arra, hogy „[a] fogadó ügynökséget értesíteni kell arról, hogy az ilyen információ továbbadása tilos a CBP előzetes kifejezett felhatalmazása nélkül”, ez utóbbi nem engedélyezi „a PNR-adatok továbbítását a 29., 34. és 35. bekezdésben említett céloktól eltérő esetekben”. Végül a 33. bekezdés úgy rendelkezik, hogy „[a] kijelölt hatóságok alkalmazásában álló, és PNR-adatokat felhatalmazás nélkül közzétevő személyek büntetőjogi intézkedéssel is sújthatók”.
261. Véleményem szerint e garanciák összességére tekintettel nem lehet úgy tekinteni, hogy a Tanács és a Bizottság túllépte széles mérlegelési jogkörének határait, amelyet – úgy gondolom, hogy – számukra el kell ismerni a terrorizmus és egyéb súlyos bűncselekmények elleni küzdelem érdekében.
262. Ebből következik, hogy a személyes adatok védelméhez való jog megsértésére és az arányosság elvének megsértésére alapított jogalapok nem alaposak, következésképpen azokat el kell utasítani.
D – A tanácsi határozat nem megfelelő indokolására alapított jogalapról
263. A Parlament azzal érvel, hogy a tanácsi határozat nem felel meg az EK 253. cikkben előírt indokolás követelményének. Azt sérelmezi e határozattal szemben, hogy semmiféle magyarázatot nem tartalmaz arra nézve, hogy ezen aktusnak tárgya‑e – és mennyiben – a belső piac működése.
264. Ellenben az Egyesült Királyság és a Bizottság által támogatott Tanács úgy véli, hogy határozatának indokolása megfelel a Bíróság által támasztott követelményeknek.
265. Véleményem szerint a tanácsi határozat indokolása, még ha rövid is, megfelelő.
266. A Bíróság állandó ítélkezési gyakorlata szerint az EK 253. cikk által megkövetelt indokolásnak „a szóban forgó aktus jellegének kell megfelelnie, továbbá világosan és egyértelműen fel kell tüntetnie az aktust elfogadó intézmény indokolását oly módon, hogy az érintettek megismerhessék az elfogadott intézkedés indokait, és a Bíróság gyakorolhassa a felülvizsgálatot”. Ezen ítélkezési gyakorlatból következik, hogy „az indokolásnak nem kell az összes lényeges ténybeli és jogi elemet részleteznie, mivel azon kérdést, hogy az indokolás megfelel‑e az [EK 253. cikk] követelményeinek, nem csupán a szövegezése alapján, hanem a kontextus és az érintett tárgyat szabályozó jogszabályok összessége alapján kell megítélni”(128).
267. Az aktus jellegét illetően emlékeztetni kell arra, hogy a határozat elsődleges tárgya a Közösség és az Egyesült Államok közötti megállapodásnak az előbbi nevében történő jóváhagyása. A határozat e tekintetben tartalmazza a szükséges részleteket a követett eljárásra vonatkozóan, vagyis a Tanács által az EK 300. cikk (2) bekezdésének első albekezdésében meghatározott eljárásnak megfelelő elfogadást, valamint arra történő utalást, hogy a Szerződés 300. cikke (3) bekezdésének első albekezdése szerint a Tanács által meghatározott határidőn belül a Parlament nem terjesztett elő véleményt. Megjegyzem ezenkívül, hogy a tanácsi határozat bevezető hivatkozása megemlíti az EK 95. cikket.
268. Továbbá, figyelemmel a határozat különös jellegére, amelyet nem lehet teljesen elkülöníteni a tárgyát képező nemzetközi megállapodástól, az indokolás elegendő voltának ellenőrzése véleményem szerint a megállapodás preambulumát is magában kell, hogy foglalja. E tekintetben a tanácsi határozat és a megállapodás preambulumának együttes olvasata lehetővé teszi – amint azt a megelőző jogalapok vizsgálata mutatja – a Bíróság számára a felülvizsgálatot, különösen ami a választott jogi alap megfelelő jellegét illeti.
269. Következésképpen úgy vélem, hogy a tanácsi határozat nem megfelelő indokolására alapított jogalap nem megalapozott, ezért el kell utasítani.
E – Az EK 10. cikkben előírt jóhiszemű együttműködés elvének megsértésére alapított jogalapról
270. E jogalappal a Parlament fenntartja, hogy még ha az EK 300. cikk (3) bekezdésének első albekezdése lehetővé is teszi a Tanácsnak, hogy az ügy sürgősségétől függően határidőt állapítson meg a Parlament számára véleménye közlésére, és a Bíróság előzetes véleményének kikérésére vonatkozó, az EK 300. cikk (6) bekezdésében előírt eljárás nem felfüggesztő hatályú, a Tanács a megállapodás elfogadási eljárása során megsértette az EK 10. cikkben előírt, őt terhelő jóhiszemű együttműködés kötelezettségét.
271. A Bizottság és az Egyesült Királyság által támogatott Tanács úgy véli, hogy a megállapodás megkötésével nem sértette meg a jóhiszemű együttműködés kötelezettségét, a Parlament ennek ellenére az EK 300. cikk (6) bekezdése alapján a Bíróság véleményét kérte.
272. Az EK 10. cikk a tagállamok számára előírja a közösségi intézményekkel szembeni jóhiszemű együttműködés kötelezettségét, de nem mondja ki kifejezetten az intézmények közötti jóhiszemű együttműködés alapelvét. Mindazonáltal a Bíróság úgy ítélte meg, hogy az intézményközi párbeszéd során – amelyen a konzultációs eljárás is alapul – ugyanazok, a jóhiszemű együttműködésre vonatkozó kölcsönös kötelezettségek irányadók, mint amelyek a tagállamok és a közösségi intézmények közötti kapcsolatokat szabályozzák.(129)
273. A jelen ügy tényállásából kiderül, hogy 2004. március 17‑én a Bizottság megküldte a Parlamentnek a tanácsi határozat iránti javaslatot, és a Tanács 2004. március 25‑i levelében azt kérte, hogy a Parlament legkésőbb 2004. április 22‑ig adjon véleményt e javaslatról. E levélben a Tanács hangsúlyozta, hogy „[a] javasolt intézkedések indoka a terrorizmus elleni küzdelem, amely az Európai Unió alapvető prioritása. Jelenleg a légi fuvarozók és az utasok bizonytalanságban vannak, amit sürgősen fel kell oldani. Továbbá lényeges az érintettek pénzügyi érdekeinek védelme is.
274. A Parlament 2004. április 21‑én az EK 300. cikk (6) bekezdésének megfelelően úgy határozott, hogy a Bíróság véleményét kéri a tervezett megállapodásnak a Szerződés rendelkezéseivel való összeegyeztethetőségéről.
275. A Tanács április 28‑án az EK 300. cikk (3) bekezdésének első albekezdése alapján levelet intézett a Parlamenthez, amelyben azt kérte, hogy a Parlament 2004. május 5‑ig adjon véleményt a megállapodás megkötéséről szóló határozat tervezetéről. A kérelem sürgősségét a 2004. március 25‑i levelében előadottakkal indokolta.
276. E sürgősség iránti kérelmet a Parlament elutasította, amelynek elnöke felszólította a Tanácsot és a Bizottságot, hogy ne folytassák eljárásukat, amíg a Bíróság meg nem hozza a 2004. április 21‑én kért véleményét. A Tanács ennek ellenére 2004. május 17‑én elfogadta a megtámadott határozatot.
277. Nem gondolom, hogy a Tanács megsértette a jóhiszemű együttműködés kötelezettségét a Parlamenttel szemben, amikor elfogadta a megállapodást a Közösség nevében jóváhagyó határozatot, a Parlament által az EK 300. cikk (6) bekezdése alapján benyújtott, a Bíróság véleményét kérő eljárás befejeződése előtt.
278. Ugyanis, amint azt maga a Parlament is elismeri, a Bíróság véleményének kérése iránti eljárás nem felfüggesztő hatályú. Annak megindítása tehát nem akadályozza a Tanácsot a megállapodást jóváhagyó határozat meghozatalában míg az eljárás folyamatban van, még akkor sem, ha a Bíróság véleménye iránti kérelem benyújtása és a megállapodást jóváhagyó határozat közötti időtartam – mint jelen esetben – viszonylag rövid.
279. E tekintetben utalni kell arra, hogy az EK 300. cikk (6) bekezdése alapján benyújtott, a Bíróság véleménye iránti kérelem felfüggesztő hatályának hiánya levezethető mind e cikk megfogalmazásából, amely nem írja elő kifejezetten a felfüggesztő hatályt, mind a Bíróság ítélkezési gyakorlatából. Ugyanis a 3/94. sz. véleményében(130) úgy ítélte meg, hogy az ilyen vélemény iránti kérelem tárgytalanná válik, és nem szükséges arra választ adni, ha a megállapodást, amelyre a kérelem vonatkozik, és amely a Bíróság megkeresésekor tervezett megállapodás volt, időközben megkötötték. A Bíróság azt is kifejtette, egyrészt, hogy az EK 300. cikk (6) bekezdése szerinti eljárás „célja elsőként az, hogy megelőzze a Közösséget kötelező nemzetközi megállapodásoknak a Szerződéssel való összeegyeztethetetlenségéből eredő nehézségeket és nem a véleményt kérő tagállam vagy a közösségi intézmény érdekeinek és jogainak védelme”(131), másrészt „[a] vélemény iránti kérelmet benyújtó állam, illetve közösségi intézmény a Tanácsnak a megállapodás megkötéséről szóló határozatával szemben mindenképpen indíthat megsemmisítés iránti keresetet […]”(132).
280. Egyébiránt mind az iratokból, mind a tanácsi határozat második preambulumbekezdéséből az következik, hogy a Tanács kellően megindokolta a sürgősséget, amelyre a Parlament véleményének rövid határidőn belül történő kérését alapozta az EK 300. cikk (3) bekezdése első albekezdésének megfelelően. Megjegyzem végül, hogy ez utóbbi kimondja, hogy „[h]a ezen a határidőn belül nem nyilvánít véleményt, a Tanács határozhat”.
281. Figyelemmel ezen elemek összességére, úgy vélem, hogy a Tanácsot terhelő, jóhiszemű együttműködés kötelezettségének megszegésén alapuló jogalap nem megalapozott, ezért el kell utasítani.
VII – A költségekről
282. A C‑318/04. sz. ügyben a Parlament által benyújtott kereset megalapozott, ez azt jelenti, hogy a Bíróság eljárási szabályzata 69. cikke 2. §‑ának megfelelően a Bizottság viseli a költségeket. Ugyanezen szabályzat 69. cikkének 4. §‑a alapján az eljárásba beavatkozó felek, nevezetesen az Egyesült Királyság és az EAB maguk viselik saját költségeiket.
283. A C‑317/04. sz. ügyben a Parlament által benyújtott kereset megalapozott, ez azt jelenti, hogy a Bíróság eljárási szabályzata 69. cikke 2. §‑ának megfelelően a Bizottság viseli a költségeket. Ugyanezen szabályzat 69. cikkének 4. §‑a alapján az eljárásba beavatkozó felek, nevezetesen az Egyesült Királyság, a Bizottság és az EAB maguk viselik saját költségeiket.
VIII – Végkövetkeztetések
284. Az előző megfontolások összessége alapján azt javaslom, hogy a Bíróság:
„– a C‑318/04. sz. ügyben semmisítse meg az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légi utasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i 2004/535/EK bizottsági határozatot;
– a C‑317/04. sz. ügyben semmisítse meg az Európai Unió és az Egyesült Államok közötti, a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i 2004/496/EK tanácsi határozatot.”