A bíróság kedden kihirdetett ítéletében úgy találta, hogy sem a szóban forgó adatok Egyesült Államok általi megfelelő védelmét megállapító bizottsági határozatnak, sem az adatok továbbításáról szóló megállapodást jóváhagyó tanácsi határozatnak nincs megfelelő jogi alapja. A döntésnek komoly következményei lesznek az euroatlanti kapcsolatokban - elsősorban a turizmus területén.

Az Egyesült Államok a 2001. szeptember 11-ei terrortámadásokat követően olyan jogszabályokat fogadott el, amelyek az USA területére, területéről vagy területén keresztül járatot indító légi utasszállítókat arra kötelezik, hogy az Egyesült Államok vámhatóságainak elektronikus hozzáférést biztosítsanak helyfoglalási és indulásellenőrzési rendszereikben a „Passanger Name Records”-nak (PNR) nevezett adatokhoz.

Az Európai Bizottság e rendelkezéseket a közösségi és tagállami adatvédelmi jogszabályokkal ellentétesnek vélve, tárgyalásba kezdett az Egyesült Államok hatóságaival. E tárgyalások eredményeként a Bizottság 2004. május 14-én határozatot fogadott el, megállapítva, hogy a United States Bureau of Customs and Border Protection (CBP) a PNR-adatok Közösség részéről történő továbbításához szükséges megfelelő védelmi szintet biztosítja. A Tanács 2004. május 17-én határozatban döntött arról, hogy az Európai Unió és az Egyesült Államok között létrejöhet a megállapodás a szóban forgó adatok kiadásáról. Ennek alapján Washingtonban, 2004. május 28-án aláírták a szerződést, amely ugyanazon a napon hatályba is lépett.

Jogalap nélkül?

Az Európai Parlament az Európai Közösségek Bíróságától a tanácsi határozat és az úgynevezett megfelelőségi határozat megsemmisítését kérte, többek között arra hivatkozva, hogy a döntésnek nem volt megfelelő jogalapja, sőt, az intézkedés sérti az alapvető jogokat. Az Európai Adatvédelmi Biztos, e funkció létesítése óta először, a Parlament kérelmeit támogatva beavatkozóként vett részt mindkét ügyben. Az Európai Bíróság keddi ítéletében mindkét határozatot megsemmisítette.

A megfelelőségi határozat kapcsán megállapította, hogy az adattovábbítás követelményei az Egyesült Államok jogszabályain alapulnak, azon, hogy a Közösség teljes mértékben támogatja az Egyesült Államok terrorizmus elleni küzdelmét, és hogy a PNR-adatokat kizárólag olyan célokra lehet felhasználni, amelyek a terrorizmus és a kapcsolódó bűncselekmények megelőzését és ezek leküzdését szolgálják. Ebből az következik, hogy a PNR-adatok CBP részére történő továbbítása a közbiztonsággal és a büntetőjog területén végzett állami tevékenységekkel kapcsolatos adatfeldolgozásnak minősül - tudatja a bíróság közleménye.

Igaz ugyan, hogy a PNR-adatokat a légitársaságok gyűjtik a közösségi jog hatálya alá tartozó tevékenységük végzése - azaz szolgáltatás igénybevételére jogosító repülőjegy eladása - során, ám a megfelelőségi határozatban szereplő adatfeldolgozás egészen más jellegű. E határozat ugyanis nem a szolgáltatás nyújtásához és igénybevételéhez szükséges adatfeldolgozást, hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges adatfeldolgozást szabályozza.

Noha a PNR-adatokat gazdasági szereplők kereskedelmi célból gyűjtik, és harmadik államba történő továbbításukat is ők szervezik meg, a kérdéses adattovábbítás nem tartozik a hivatkozott irányelv hatálya alá. Ezen adattovábbítás háttere ugyanis közhatalmi jellegű és közbiztonsági célú. E megfontolásokból a Bíróság azt a következtetést vonja le, hogy a megfelelőségi határozat nem tartozik az irányelv tárgyi hatálya alá, mivel személyes adatoknak az irányelv hatálya alól kizárt feldolgozásáról szól. Következésképpen a Bíróság a megfelelőségi határozatot megsemmisíti. A Parlament által előadott egyéb jogalapok vizsgálata szükségtelen.

Ami a tanácsi határozatot illeti, a Bíróság megállapította, hogy a Közösségnek nincs hatásköre a kérdéses megállapodásnak az Egyesült Államokkal való megkötésére. Mivel a megállapodás a felmondásától számított 90 napig hatályban marad, az Európai Bíróság a jogbiztonság és az érintettek védelme érdekében a megfelelőségi határozatot 2006. szeptember 30-ig hatályban tartja.