20.4.2010   

HU

Az Európai Unió Hivatalos Lapja

C 101/1

1.

2009. február 2-án a Bizottság az adózás területén történő közigazgatási együttműködésről szóló tanácsi irányelvre irányuló javaslatot fogadott el. (3) A tanácsi irányelvre irányuló javaslat célja, hogy a tagállamok illetékes hatóságainak a közvetlen és közvetett adóztatás területén történő kölcsönös segítségnyújtásáról szóló 77/799/EGK tanácsi irányelv helyébe lépjen. (4)

2.

A Lisszaboni Szerződés 2009. december 1-jei hatálybalépése után a javaslat jogalapját az EUMSz. 113. és 115. cikke képezi. (5) A jogalapokról szóló határozatokat különleges jogalkotási eljárás során fogadták el. Ez azt jelenti, hogy a Tanács – az Európai Parlamenttel, valamint az Európai Gazdasági és Szociális Bizottsággal folytatott konzultációt követően – egyhangúlag dönt a Bizottság javaslatáról.

3.

Nem konzultáltak az európai adatvédelmi biztossal a 45/2001/EK rendelet 28. cikke (2) bekezdésében előírtak szerint. Ezért ez a vélemény e rendelet 41. cikkének (2) bekezdésén alapul. Az európai adatvédelmi biztos ajánlása szerint a javaslat preambulumát egészítsék ki az erre a véleményre történő hivatkozással.

4.

Az információcsere javítása a javaslat egyik fő célja; az információcsere tárgya a legtöbb esetben a természetes személyekre (is) vonatkozó adat. Az európai adatvédelmi biztos tisztában van az adózás területén a tagállamok közötti közigazgatási együttműködés hatékonysága növelésének fontosságával. Az európai adatvédelmi biztos látja továbbá az információmegosztás előnyeit és szükségességét, de hangsúlyozni kívánja, hogy az ilyen adatok feldolgozásának meg kell felelnie az uniós adatvédelmi előírásoknak.

5.

Különleges figyelmet érdemelnek azok a helyzetek, amikor személyes adatok határokon átnyúló cseréjéről van szó az Európai Unión belül, mivel ezekkel együtt jár a feldolgozott adatmennyiség növekedése, ami szükségképpen nagyobb kockázatot jelent az érintett természetes személyek jogaira és érdekeire vonatkozóan, hiszen ugyanazokat a személyes adatokat egynél több joghatóságban is feldolgozzák. Ez azt jelenti, hogy az uniós adatvédelmi jogszabályokból fakadó követelmények betartásának biztosítása érdekében nagyobb erőfeszítésekre van szükség. Jogbizonytalanságot eredményez továbbá az adatalanyok számára: a többi tagállam szereplőit is bevonhatják, az említett más tagállamok nemzeti jogszabályait is alkalmazhatják, és előfordulhat, hogy azok valamennyire különböznek az adatalanyok által megszokott rendelkezésektől, illetve az adatalany számára nem ismert jogrendszerben alkalmazandók. Határokon átnyúló környezetben a különböző szereplők feladatait egyértelműen meg kell határozni, annak érdekében is, hogy különböző összefüggésekben megkönnyítsék az illetékes hatóságok által gyakorolt felügyeletet és a bírósági ellenőrzést.

6.

Az európai adatvédelmi biztos sajnos csak nemrégiben ismerte meg ezt a javaslatot. Ennek az az oka, hogy az adózási kérdésekkel kapcsolatos adatvédelmi követelmények tekintetében a tudatosság még mindig a kezdeti fázisnál tart. Az európai adatvédelmi biztos lát jeleket a tudatosság növekedése irányában, de hangsúlyozza, hogy sokkal többet lehet és kell elérni ebben a vonatkozásban.

7.

Ez a javaslat egyértelmű példa az adatvédelmi tudatosság hiányára, mivel az adatvédelem kérdését csaknem teljesen figyelmen kívül hagyták. A javaslat tehát számos olyan elemet tartalmaz, amelyek nem felelnek meg a vonatkozó adatvédelmi követelményeknek.

8.

Az európai adatvédelmi biztos tudja, hogy az Európai Parlamentben zajló eljárás bizottsági szinten csaknem végső szakaszába ért. Mivel azonban nem foglalkoztak megfelelően a tervezett együttműködés adatvédelmi hatásával, az európai adatvédelmi biztos szükségesnek ítéli, hogy ismertesse álláspontját a kérdésről. Az európai adatvédelmi biztos kívánságát fejezi ki, hogy vegyék figyelembe az e véleményben foglalt észrevételeit, és az európai polgárok adatvédelemhez való jogának tiszteletben tartásával mozdítsák elő a kialakítandó közigazgatási együttműködés rendszerét. (6)

9.

Amint arról szó volt, a jelenlegi javaslat célja, hogy a 77/799/EGK irányelv helyébe lépjen. Az 1977. december 19-én elfogadott fenti irányelv a jövedelem- és tőkeadókkal kapcsolatos információcserével foglalkozik.

10.

Kezdetben a hozzáadottérték-adóval és a jövedéki adóval kapcsolatos közigazgatási együttműködés egyaránt a 77/799/EGK irányelv hatálya alá tartozott. 2003. október 7., illetve 2004. november 16. óta azonban külön jogi aktusok – nevezetesen az 1798/2003/EK rendelet, illetve a 2073/2004/EK rendelet – foglalkoznak ezzel a két témával. (7) A Bizottság 2009. augusztus 18-án javaslatot tett közzé az 1798/2003/EK rendelet átdolgozására. (8) Az európai adatvédelmi biztos 2009. október 30-án benyújtotta véleményét erről a javaslatról. (9)

11.

A Bizottság javasolja a jövedelem- és tőkeadókról szóló új irányelv hatályának kiterjesztését valamennyi közvetett adóra. A hozzáadottérték-adó és a jövedéki adók továbbra sem tartoznak az irányelv hatálya alá. A javaslat további célja, hogy az új irányelv alapján történő együttműködést összehangolja az említett két területen történő együttműködéssel. Az e vélemény III. részében tett észrevételek egy része ezért emlékeztet a 2009. október 30-i véleményben megfogalmazottakra.

12.

A számos általános rendelkezést tartalmazó első fejezetet követően a javaslat II. fejezete tárgyalja a tagállamok közötti információcserét. Az információcsere az illetékes hatóságok összekötő hivatalain keresztül történik, amelyeket az egyes tagállamok jelölnek ki az irányelv alkalmazására. Az információcsere történhet megkeresésre, automatikusan vagy spontán módon.

13.

A javaslat III. fejezete rendelkezéseket tartalmaz a közigazgatási együttműködésnek az információcserén kívüli más formáiról, például az egyidejű ellenőrzésekről, a közigazgatási értesítésről, valamint a bevált gyakorlatok és a tapasztalat megosztásáról. A IV. fejezet rögzíti a közigazgatási együttműködésre vonatkozó feltételeket. Rendelkezéseket tartalmaz az információk és dokumentumok más hatóságokkal történő közlésére, a jó együttműködés követelményeire, a formanyomtatványokra és a számítógépes formátumokra, valamint a közös kommunikációs hálózat/közös rendszerinterfész (CCN-hálózat) használatára vonatkozóan.

14.

Az V. fejezet rendelkezést tartalmaz a közigazgatási együttműködés értékelésére vonatkozóan, a VI. fejezet pedig a harmadik országokkal történő információcserével foglalkozik. A VII., utolsó fejezet komitológiai eljárást vezet be a részletesebb szabályok elfogadására.

15.

Az adatvédelmi jogszabályokban a „személyes adat” fogalmát széles értelemben definiálják, azaz a személyes adat „egy azonosított vagy azonosítható természetes személyre vonatkozó bármely információ”. (10) Egyértelmű, hogy az irányelvtervezet alapján a különböző tagállamok illetékes hatóságai személyes adatokat fognak feldolgozni és kicserélni egymás között. Ilyen helyzetben a 95/46/EK irányelvet végrehajtó nemzeti szabályok irányadók, és azokat be kell tartani. Bár magától értetődő, az egyértelműség kedvéért az európai adatvédelmi biztos leszögezi: szorgalmazza, hogy a jogalkotó legalább a jelenlegi javaslat preambulumában, de lehetőség szerint az érdemi rendelkezések között is említse meg a 95/46/EK irányelvet azzal, hogy az irányelv rendelkezései nem sértik a 95/46/EK irányelv végrehajtására hozott nemzeti szabályokat.

16.

Bár a Bizottság közvetlenül nem vesz részt az illetékes hatóságok közötti adatcserében, az irányelvtervezet rámutat, hogy a Bizottság az irányelv alapján bizonyos körülmények között fel fog dolgozni személyes adatokat. A javaslat 20. cikkének (2) bekezdése szerint a Bizottság felelős „a CCN-hálózat bármilyen fejlesztéséért, amely a tagállamok közötti információcseréhez szükséges”. Ahogyan az a 20. cikk (3) bekezdéséből egyértelműen kiderül, ez a felelősség bizonyos körülmények között együtt jár olyan információkhoz való hozzáféréssel, amelyeket a rendszeren keresztül cseréltek.

17.

Nem kizárt, hogy más rendelkezések is utalnak arra, hogy a Bizottság személyes adatokat dolgoz fel. A 22. cikk például kimondja, hogy a Bizottság „minden releváns információt” megkap, amely az irányelvvel összhangban folytatott közigazgatási együttműködés hatékonyságának értékeléséhez szükséges. A Bizottság kap továbbá „statisztikai adatokat”, amelyek listáját a javaslat 24. cikkében rögzített komitológiai eljárást követően fogadják el.

18.

Amennyiben a Bizottság személyes adatokat dolgoz fel, az uniós intézményekre és szervekre alkalmazandó, a 45/2001/EK rendeletben rögzített és az európai adatvédelmi biztos által ellenőrzött adatvédelmi szabályok kötelezőek rá. (11) Az egyértelműség kedvéért és a 45/2001/EK rendelet alkalmazhatóságával kapcsolatos kétségek eloszlatása érdekében az európai adatvédelmi biztos szorgalmazza, hogy a jogalkotó legalább az irányelvtervezet preambulumában, de lehetőség szerint valamelyik érdemi rendelkezésben is említse meg a rendeletet azzal, hogy amikor a Bizottság személyes adatokat dolgoz fel az irányelv alapján, a 45/2001/EK rendelet rendelkezései rá nézve is kötelezőek.

19.

Személyes adatok feldolgozása esetén a 95/46/EK irányelv 16. és 17. cikke, valamint a 45/2001/EK rendelet 21. és 22. cikke előírja, hogy biztosítani kell az adatfeldolgozás titkosságát és biztonságát. Az idézett 20. cikk nem fejti ki hosszabban, hogy a Bizottság felelős-e a CCN-hálózat fenntartásáért és biztonságáért. (12) Az említett titkosság és biztonság biztosításáért fennálló felelősséggel kapcsolatos kétségek elkerülése végett az európai adatvédelmi biztos szorgalmazza, hogy a jogalkotó pontosabban határozza meg a Bizottság felelősségét ebben a tekintetben, hangsúlyozza ki a tagállamok kötelezettségeit, és mindezek mellé írja elő a 95/46/EK irányelvből és a 45/2001/EK rendeletből fakadó követelményeket.

20.

Az adatvédelmi jog egyik alapkövetelménye, hogy az információt meghatározott, pontosan megfogalmazott és jogszerű célra kell feldolgozni, és az információ további feldolgozása sem lehet összeegyeztethetetlen az említett célokkal. (13) A célok elérésére használt adatoknak továbbá a célhoz szükségesnek, helyesnek és lényegesnek kell lenniük, és nem haladhatják meg a feldolgozás célját. (14) Az irányelvtervezet elemzését követően az európai adatvédelmi biztos arra a következtetésre jutott, hogy az irányelvben rögzített információcsere-rendszer egészében véve nem felel meg ezeknek a követelményeknek.

21.

A célkorlátozás tekintetében a javaslat 5. cikkének (1) bekezdése, amely a megkeresésre történő információcserével foglalkozik, az olyan információk cseréjét említi, amelyek szükségesek lehetnek az adók 2. cikkben említett „helyes megállapításához”. A 2. cikk annak megjelölésével, hogy az irányelv mely adókra alkalmazandó, meghatározza az irányelv alkalmazási körét. Az európai adatvédelmi biztos álláspontja szerint az adók említett helyes megállapítása nem eléggé pontos. Ezenfelül a cikk nem tesz említést arról, hogy fel kell mérni az információcsere szükségességét.

22.

Az 5. cikk (1) bekezdése továbbá nem határozza meg vagy korlátozza azon adatok körét, amelyek az információcsere tárgyai lehetnek. A bekezdés csupán az említett adók helyes megállapításához „adott esetben szükséges információt” említi. Az 5. cikk (1) bekezdése szerint ezen információk körébe az „egy egyedi esetre vagy esetekre vonatkozó információ” is beleértendő. A javaslat 17. cikkének (1) bekezdése hangsúlyozza, hogy ezen információk körébe azok az információk is beletartoznak, amelyekre a másik tagállamnak saját adózási célokból nincs szüksége. Az 5. cikk (2) bekezdése kötelezi továbbá a megkeresett hatóságot, hogy közöljön a megkereső hatósággal minden vonatkozó információt, amely a birtokában van, vagy amelyet közigazgatási vizsgálatok eredményeként megszerez. A javaslat 9. cikke, amely a spontán információcserével foglalkozik, szintén „bármely információ” cseréjéről beszél, amelyhez hozzáteszi: „az 1. cikkben említett”. Az 1. cikk azonban nem adja meg a vonatkozó pontosítást. Úgy tűnik, a szélesen értelmezhető fogalmak használata az 5., 9. és 17. cikkben olyan adatcserét ösztönöz, amely a célok tekintetében túlzott, ezért ellentétes az adatminőség elvével.

23.

A javaslat 8. cikke lehetővé teszi a fenti 20. pontban meghatározott előírások teljesítését, de csak az előzetes megkeresés nélküli, kötelező automatikus információcsere esetében. A cikk kimondja, hogy a kicserélendő információ típusát komitológiai eljárásban kell meghatározni. Ez lehetővé teszi a Bizottság számára a kicserélendő adatok körének korlátozását és meghatározását, amit valóban el kell végezni az adatvédelmi követelményeknek megfelelően. A cikk említést tesz továbbá az információcsere szükségességéről a 2. cikkben említett adók helyes megállapításához, és számos egyedi szituációt sorol fel. A 8. cikk azonban, amint arról szó volt, csak a kötelező automatikus információcserére vonatkozik, és nem korlátozza a megkeresésre vagy spontán módon történő információcserét. A javaslat 5., 9. és 17. cikkére vonatkozó fenti kritika tehát ettől még érvényes.

24.

A fentiek alapján az európai adatvédelmi biztos szorgalmazza, hogy a jogalkotó határozza meg az illetékes hatóságok közötti, megkeresésre vagy spontán módon történő adatcsere vonatkozásában a kicserélhető személyes adatok fajtáját, definiálja pontosabban a célokat, amelyek érdekében személyes adatok kicserélhetők, és írja elő az átadás szükségességének követelményét, vagy legalább biztosítsa a szükségesség elvének tiszteletben tartását.

25.

A célkorlátozás elvét további sérelem fenyegeti a javaslat 15. cikkének (1) bekezdésében. E cikk szerint azok az információk és dokumentumok, amelyekhez a megkereső vagy a megkeresett hatóság az irányelvnek megfelelően jutott hozzá, közzétehetők a többi hatóság előtt ugyanazon tagállamon belül, amennyiben ezt az adott tagállam joga megengedi, „akkor is, ha az információ a 2. cikkben említett célokon kívül másra is felhasználható”. Az európai adatvédelmi biztos kiemeli, hogy a rendelkezés utolsó része teljesen ellentétes a célkorlátozás elvével. A személyes adatoknak az eredeti céltól eltérő célra történő feldolgozása kizárólag szigorú feltételek mellett engedélyezett. A célkorlátozás elvétől kizárólag akkor lehet eltekinteni, ha azt jogszabály előírja és fontos okból szükséges, amely fontos okokat a 95/46/EK irányelv 13. cikke taxatívan felsorolja. Az érintett tagállam jogszabályaira való utalás a 15. cikk (1) bekezdésében előírhatna ilyen követelményt, de ez a rendelkezés nem eléggé pontos. Az európai adatvédelmi biztos ezért szorgalmazza, hogy a jogalkotó egészítse ki a javaslat 15. cikkének (1) bekezdését azzal, hogy az információnak a 2. cikkben említett célokon kívül más célra történő feldolgozására „a 95/46/EK irányelv 13. cikkében meghatározott feltételek vonatkoznak”.

26.

A 95/46/EK irányelv 10. és 11. cikke tartalmazza az adatfeldolgozásért felelős jogi vagy természetes személy – adatvédelmi szóhasználattal élve: az „adatkezelő” (15) – azon kötelezettségét, hogy az adatoknak az adatalanytól (érintettől) történő beszerzése előtt, illetve – ha az adatokat nem az adatalanytól szerzik be – az adatok felvételének vállalásakor köteles tájékoztatni az adatalanyt. Az adatalanyt (érintettet) tájékoztatni kell az adatkezelő személyéről, az adatfeldolgozás céljáról és minden olyan további adatról, mint például az adatok címzettjei vagy a betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog megléte. A 95/46/EK irányelv 10. és 11. cikke az átláthatóság általános elve kifejtésének is tekinthető, ami az 95/46/EK irányelv 6. cikke (1) bekezdésének a) pontjában előírt adatfeldolgozás tisztességes elvégzésének részét képezi.

27.

Az európai adatvédelmi biztos megállapította, hogy a javaslat nem tartalmaz olyan rendelkezéseket, amelyek az átláthatóság elvével foglalkoznak, például azzal, hogy általában hogyan közlik az információcserét a nagyközönséggel, vagy hogyan tájékoztatják az adatalanyokat az adatfeldolgozásról. Az európai adatvédelmi biztos ezért szorgalmazza, hogy a jogalkotó hozzon rendelkezést az információcsere átláthatóságáról.

28.

A 23. cikk rendelkezik a harmadik országokkal történő információcsere lehetőségéről. Kimondja, hogy „az illetékes hatóságok a személyes adatok harmadik országok felé történő kiadására vonatkozó hazai rendelkezésekkel összhangban közölhetik az ezen irányelv szerint megszerzett információkat egy harmadik országgal”. Az európai adatvédelmi biztos örömmel látja, hogy a Bizottság tisztában volt azokkal az egyedi adatvédelmi szabályokkal, amelyek a személyes adatoknak az Európai Unión kívüli országokba irányuló cseréjére vonatkoznak. Az európai adatvédelmi biztos azonban hangsúlyozni kívánja, hogy az ilyen információt először a tagállamok között kell kicserélni az adatvédelmi szabályoknak megfelelően, mielőtt sor kerülhet az adatvédelmi elemzésre azzal kapcsolatban, hogy ezek az adatok kiadhatók-e harmadik országnak.

29.

Az egyértelműség kedvéért be lehetne illeszteni a szövegbe egy kifejezett hivatkozást a 95/46/EK irányelvre, miszerint az ilyen információátadásnak meg kell felelnie a 95/46/EK irányelv IV. fejezetében foglalt, a személyes adatok harmadik országokba irányuló továbbításával foglalkozó rendelkezéseket végrehajtó hazai szabályoknak.

30.

Az adatvédelemmel kapcsolatban számos olyan kérdés van még, amelyek részletes szabályozását a javaslat 24. cikkében rögzített komitológiai eljárást követően elfogadott szabályok tartalmazzák. Bár az európai adatvédelmi biztos megérti az említett eljárás alkalmazásának gyakorlati szükségességét, hangsúlyozni kívánja, hogy a főbb adatvédelmi szabályokat és garanciákat az alapjogszabályban kell rögzíteni.

31.

Az európai adatvédelmi biztos kiemeli, hogy amennyiben komitológiai eljárásban további szabályok megvitatására kerül sor, ezt a 95/46/EK irányelvből és a 45/2001/EK rendeletből fakadó adatvédelmi követelményekkel összhangban kell megtenni. Az európai adatvédelmi biztos szorgalmazza továbbá, hogy a Bizottság vonja be az európai adatvédelmi biztost, és kérje ki tanácsát, ha adatvédelmi vonatkozású további szabályok megvitatására kerül sor.

32.

További adatvédelmi vonatkozású szabályok komitológiai eljárás alapján történő elfogadása esetén az európai adatvédelmi biztos bevonásának biztosítása érdekében az európai adatvédelmi biztos javasolja a jogalkotónak, hogy egészítse ki a 24. cikket egy negyedik bekezdéssel, miszerint „a személyes adatok feldolgozására vonatkozó végrehajtási intézkedésekről konzultálni kell az európai adatvédelmi biztossal”.

33.

Ebben a véleményben az európai adatvédelmi biztos a következőket javasolja a jogalkotónak: