Az EKB május 30-án, kedden adja ki sajtóközleményét Európai Parlament kontra Tanács (C-317/04) és az Európai Parlament kontra Bizottság (C-318/04) ügyekben hozott ítéletéről. Az ügyben hozott ítélet szerint sem az ügyben érintett adatok Egyesült Államok általi megfelelő védelmét megállapító bizottsági határozat, sem az ezek Egyesült Államokba való továbbításáról szóló megállapodást jóváhagyó tanácsi határozat nem alapul megfelelő jogi alapon.
Az Egyesült Államok a 2001. szeptember 11-i terrortámadásokat követően olyan jogszabályokat fogadott el, amelyek az Egyesült Államok területére, területéről vagy területén keresztül járatot indító légi utasszállítókat arra kötelezik, hogy elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a Passanger Name Recordsnak (PNR) nevezett adatokhoz. Mivel a Bizottság úgy vélte, hogy e rendelkezések ellentétesek lehetnek a személyes adatok védelméről szóló közösségi és tagállami jogszabályokkal, tárgyalásba kezdett az amerikai hatóságokkal. E tárgyalások eredményeként a Bizottság megállapította, hogy az Egyesült Államok Vámügyi és Határvédelmi Irodája (CBP) megfelelő védelmi szintet biztosít a Közösségből továbbított személyes adatoknak.
A Tanács 2004. május 17-én határozatot fogadott el az Európai Unió és az Egyesült Államok közötti, a PNR adatoknak a Közösség tagállamai területén működő légi szállítók általi feldolgozásáról és a CBP-nek történő továbbításáról szóló megállapodás megkötéséről. A megállapodást az érintett felek 2004. május 28-án, Washingtonban kötötték meg, amely napon a megállapodás rögtön hatályba is lépett. Az Európai Parlament a Bíróságtól a tanácsi határozat (C-317/04. sz. ügy) és a megfelelőségi határozat (C-318/04. sz. ügy) megsemmisítését kéri.
Az Európai Adatvédelmi Biztos, e funkció létesítése óta először, a Parlament kérelmeit támogatva beavatkozóként vett részt mindkét ügyben.
A megfelelőségi határozat
A megfelelőségi határozat tekintetében a Bíróság először is azt vizsgálta, elfogadhatta-e érvényesen a Bizottság a megfelelőségi határozatot a 95/46/EK irányelv alapján. E tekintetben emlékeztet arra, hogy az irányelv 3. cikkének (2) bekezdése kizárja az irányelv hatálya alól a közösségi jog hatályán kívül eső tevékenységekkel, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal, továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveleteket.
A megfelelőségi határozatból kitűnik, hogy az adattovábbítás követelményei az Egyesült Államok jogszabályain, többek között a közbiztonság megerősítését célzó jogszabályain alapulnak, hogy a Közösség teljes mértékben támogatja az Egyesült Államok terrorizmus elleni küzdelmét, és hogy a PNR-adatokat kizárólag olyan célokra lehet felhasználni, amelyek a terrorizmus és a kapcsolódó bűncselekmények, a transznacionális jelleget öltő egyéb súlyos bűncselekmények – beleértve a szervezett bűnözést is – megelőzését és ezek leküzdését szolgálják. Ebből az következően a PNR-adatok továbbítása a közbiztonsággal és a büntetőjog területén végzett állami tevékenységekkel kapcsolatos adatfeldolgozásnak minősül.
Igaz ugyan, hogy a PNR-adatokat a légitársaságok gyűjtik a közösségi jog hatálya alá tartozó tevékenységük végzése – azaz szolgáltatás igénybevételére jogosító repülőjegy eladása – során, ám a megfelelőségi határozatban szereplő adatfeldolgozás egészen más jellegű. E határozat ugyanis nem a szolgáltatás nyújtásához és igénybevételéhez szükséges adatfeldolgozást, hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges adatfeldolgozást szabályozza.
Mivel adattovábbítás háttere ugyanis közhatalmi jellegű és közbiztonsági célú, ezért a PNR-adatokat gazdasági szereplők kereskedelmi célból gyűjtik, és harmadik államba történő továbbításukat is ők szervezik meg, a kérdéses adattovábbítás nem tartozik az irányelv hatálya alá, ezért a Bíróság a megfelelőségi határozatot megsemmisítette.
A tanácsi határozat
A Bíróság megállapítőtta, hogy az EK 95. cikk az irányelv 25. cikkével összefüggésben nem alapozhatja meg a Közösség hatáskörét a kérdéses megállapodásnak az Egyesült Államokkal való megkötésére. A megállapodás ugyanis ugyanazon adattovábbításról, és így ugyanazon – az irányelv hatálya alól kizárt – adatfeldolgozásról szól, amiről a megfelelőségi határozat. Következésképpen a Bíróság a megállapodás megkötéséről szóló tanácsi határozatot – a Parlament által előadott egyéb jogalapok vizsgálata nélkül is – megsemmisíti.
Mivel a megállapodás a felmondásától számított 90 napig hatályban marad, a Bíróság a jogbiztonság és az érintettek védelme érdekében a megfelelőségi határozatot 2006. szeptember 30-ig hatályban tartotta.
