A 29. cikk szerinti adatvédelmi munkacsoport
02294/07/HU WP 143
A jog szerinti könyvvizsgálatról szóló 8. irányelv A 29. cikk szerinti munkacsoport 10/2007 számú véleménye
Elfogadva 2007. november 23-án
A munkacsoportot a 95/46/EK irányelv 29. cikke szerint hozták létre. A munkacsoport az adatvédelemmel és a magánélet védelmével foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke írja le. A titkársági feladatokat az Európai Bizottság Jogérvényesülés, Szabadság és Biztonság Főigazgatóságának C˙Igazgatósága látja el (Polgári igazságszolgáltatás, alapvető jogok és uniós polgárság), B-1049 Brussels (Brüsszel), Belgium, Iroda: LX-46 01/43. Internetcím: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
I. Bevezetés A 29. cikk szerinti munkacsoport 2007. február 15-én megvizsgálta a Belső Piaci Főigazgatóság által előterjesztett, a személyes adatokat tartalmazó könyvvizsgálati munkadokumentumok harmadik országok állami felügyeletei részére történő átadásáról szóló munkadokumentumot. A munkadokumentum magyarázatot tartalmaz az éves és összevont (konszolidált) éves beszámolók jog szerinti könyvvizsgálatáról szóló 2006/43/EK irányelv1 (nyolcadik irányelv) által létrehozott uniós jogi szabályozási kerethez. A nyolcadik irányelv meghatározza a jog által előírt könyvvizsgálati tevékenység feltételeit, valamint előírja a hiteles könyvvizsgálók tagállamok általi felügyeletét ellátó független állami szervek kijelölését. A nyolcadik irányelv továbbá speciális rendelkezéseket tartalmaz a tagállamok közfelügyeleti szervei, illetve a harmadik országok illetékes hatóságai közötti együttműködést illetően. Ez az együttműködés kiterjed a könyvvizsgálati munkadokumentumoknak, illetve az európai könyvvizsgáló cégek birtokában lévő egyéb dokumentumoknak harmadik országokkal történő kicserélésére. A munkacsoport az alábbiakban teszi közzé az ezen információcserékre alkalmazandó szabályozási kerettel kapcsolatosan a fent említett munkadokumentum és a tagállamoktól kapott visszajelzések alapján kialakított álláspontját. II. Az uniós közfelügyeleti szervek, illetve a harmadik országok illetékes hatóságai közötti információcserét szabályozó jogi keret A 8. irányelv 47. cikke két rendszert hoz létre a harmadik országok közfelügyeleti hatóságai részére történő adat- és információtovábbítás céljára: egy az illetékes hatóságok közötti nemzetközi forgalomra szolgáló „általános rendszert” (47. cikk (1)–(3) bekezdése) és egy „speciális rendszert” (47. cikk (4) és (5) bekezdése). A 47. cikk (4) bekezdése értelmében kivételes esetekben és az (1) bekezdéstől való eltéréssel a tagállamok megengedhetik, hogy az általuk jóváhagyott jog szerinti könyvvizsgálók vagy könyvvizsgáló cégek közvetlenül a harmadik ország illetékes hatóságainak adják át a könyvvizsgálói munkaanyagokat vagy egyéb dokumentumokat. A 47. cikk (1) bekezdése értelmében bizonyos feltételek teljesülése esetén a tagállamok megengedhetik, hogy a tagállami közfelügyeleti hatóságok átadják a harmadik ország illetékes hatóságainak a könyvvizsgáló cégek könyvvizsgálói munkaanyagait vagy egyéb dokumentumait. Az ilyen információcsere szükséges feltételeit a 47. cikk (1) bekezdésének b) pontja rögzíti. A legfontosabb feltételek a következők: • Az átadandó könyvvizsgálati munkaanyagok olyan cégek könyvvizsgálataihoz kapcsolódnak, amelyek e harmadik országban bocsátottak ki értékpapírokat, vagy amelyek olyan csoport részét képezik, amely jog szerinti összevont (konszolidált) éves beszámolókat bocsát ki e harmadik országban;
1
HL L 157., 2006.6.9., 57. o. 2
• Az átadás az EGT-tagállam illetékes hatóságain keresztül történik a harmadik ország illetékes hatóságai részére; • léteznek viszonosságon alapuló munkavégzési megállapodások az érintett illetékes hatóságok között; a munkavégzési megállapodásoknak biztosítaniuk kell, hogy az illetékes hatóságok indokolják a könyvvizsgálói munkaanyagokhoz vagy egyéb dokumentumokhoz való hozzáférésük célját; a munkavégzési megállapodás formája lehet például a nemzeti felügyeleti hatóságok és a harmadik tagállam illetés hatóságai között létrejött egyetértési nyilatkozat, amely rögzíti az együttműködés feltételeit és formáit; • a harmadik ország illetékes hatóságai által foglalkoztatott személyek, akik információkhoz férnek hozzá, szakmai titoktartási kötelezettség alá tartoznak; • a harmadik ország illetékes hatóságai a könyvvizsgálati munkaanyagokat és egyéb dokumentumokat csak közfelügyeleti, minőségbiztosítási és vizsgálati feladataik ellátására használhatják fel; • az információtovábbítás az adatvédelmi irányelv IV. fejezetével összhangban történik (személyes adatok nemzetközi átadása); valamint • az érintett harmadik ország illetékes hatóságai megfelelnek egy komitológiai eljárási határozaton alapuló megfelelőségi vizsgálat követelményeinek. Ez a megfelelőségi vizsgálat nem azonos azzal a megfelelőségi értékeléssel, amely az adott országban a személyes adatok védelmi színvonalának szokásos minőségét méri fel. A fenti feltételeknek együttesen kell teljesülniük. Amennyiben nem teljesülnek, különösen ha nem kerül sor munkavégzési megállapodás aláírására, a vizsgálatokhoz kapcsolódó rendszeres dokumentumcsere formájában megvalósuló együttműködés nem hozható létre. III. Adatvédelmi szempontú elemzés A harmadik országok felügyeleti hatóságaival folytatott információcserére vonatkozó forgatókönyvekkel kapcsolatos megfontolások A Belső Piaci Főigazgatóság dokumentuma két különböző forgatókönyvet tartalmaz az uniós közfelügyeleti hatóságok és a harmadik tagállam illetékes állami hatóságai közötti információcserére, eltekintve az irányelv 47. cikkének (4) bekezdésében említett „kivételes esetektől”: - a vállalati botrányok ügyében folytatott hivatalos vizsgálatokra korlátozódó rövid távú megoldást, - a középtávú megoldást, amely 2008-2009-re állna készen a harmadik országok és az uniós tagállamok közötti kétoldalú megállapodások keretében. A középtávú megoldással kapcsolatban a Belső Piaci Főigazgatóság által rendelkezésre bocsátott információk alapján a tervezett megközelítés azt jelentené, hogy biztosítani kell, hogy a harmadik országok, különösen az Egyesült Államok az EU felügyeleti rendszerével kapcsolatban az elismerés szabályát kövessék. A közfelügyeleti szervek ennek alapján a megfelelő illetékes hatóság érintett harmadik országban végzett felügyeleti tevékenységére támaszkodnának (származási ország szerinti felügyelet).
3
1. A vállalati botrányok ügyében folytatott hivatalos vizsgálatokra korlátozódó rövid távú megoldás A rövid távú megoldás a vállalati botrányok ügyében folytatott egyedi hivatalos vizsgálatokra korlátozódna, amennyiben a független uniós felügyeleti szerv és a harmadik ország illetékes hatósága között nincs érvényes kétoldalú megállapodás vagy egyetértési nyilatkozat. Ha az érintett harmadik ország nem tesz eleget a 95/46/EK irányelv feltételeinek, a tagállam az irányelv 26. cikke (1) bekezdésének d) pontjában szereplő rendelkezéseinek nemzeti jogi aktusban történő átültetésével rendelkezhet az információátadás megvalósításához szükséges jogalapról. A munkacsoport ugyanakkor emlékeztet arra, hogy a 26. cikk (1) bekezdésének d) pontjában szereplő rendelkezések a személyes adatok nemzetközi forgalmára az irányelv által létrehozott rendszertől való eltérés részét képezik; ennek megfelelően alkalmazását kivételes esetekre kell korlátozni mintegy szükségmegoldásként, és ekként is kell értelmezni2. Az irányelv 26. cikke (1) bekezdése d) pontjának és az ezt átültető nemzeti rendelkezések alkalmazásához az alábbi két feltételnek kell együttesen teljesülnie: i.
A munkaanyagok/dokumentumok által tartalmazott személyes adatok cseréjéhez „alapvető” közérdeknek kell fűződnie. A munkacsoport ezzel összefüggésben már hangsúlyozta, hogy az „alapvető” közérdeknek az érintett tagállam vagy az Európai Közösség vonatkozásában kell fennállnia. E tekintetben csak az EU-ban honos adatkezelőkre alkalmazandó nemzeti jogalkotásban fontos és lényeges közérdeknek minősített indokok érvényesek. Bármely más értelmezés lehetővé tenné az idegen ország számára, hogy megkerülje a 95/46 irányelvben3 megállapított, a fogadó országban biztosítandó megfelelő védelemre vonatkozó követelményt. A lényeges közérdek igazolásának felelőssége az információátadást végrehajtó (könyvvizsgálatban illetékes) nemzeti felügyeleti hatóságot terheli, amely eseti alapon, az alkalmazandó nemzeti jog és adott esetben a nemzeti adatvédelmi hatóság
2
Ezt az álláspontot a munkacsoport következetesen képviselte az irányelv 26. cikkének (1) bekezdésében említett valamennyi eset vonatkozásában. Ezzel kapcsolatban lásd a 29. cikk szerinti munkacsoport „Személyes adatok továbbítása harmadik országoknak: Az európai uniós adatvédelmi irányelv 25. és 26. cikkének alkalmazása” (WP 12, 1998. július 24., 24. o.) című dokumentumában: „A szigorúan megfogalmazott mentességek elsősorban olyan esetekre vonatkoznak, amelyekben az érintettet kevés kockázat éri, vagy amelyekben egyéb érdekek (közérdekek vagy az érintett érdekei) felülírják az érintett magánélethez való jogát. Mivel egy általános elv alól jelentenek mentességet, korlátozó értelmezéssel kell élni.” Az 1995. október 24-i 95/46/EK irányelv 26. cikke (1) bekezdésének közös értelmezéséről szóló munkadokumentum (WP 114) újfent megerősítette ezt a nézetet; az 1.2. pontban megismételték, hogy „a 26. cikk (1) bekezdését szükségszerűen szorosan kell értelmezni.”
3
Lásd az 1995. október 24-i 95/46/EK irányelv 26. cikke (1) bekezdésének közös értelmezéséről szóló munkadokumentum (WP 114) 2.4. pontját, mely szerint: „Ezzel kapcsolatban az irányelv kidolgozóit nyilvánvalóan az a cél vezérelte, hogy csak az EU-ban székhellyel rendelkező adatkezelőkre alkalmazandó nemzeti jogalkotásban fontos közérdeknek minősülő indokok legyenek érvényesek. Bármely más értelmezés lehetővé tenné az idegen ország számára, hogy megkerülje a 95/46 irányelvben megállapított, a fogadó országban biztosítandó megfelelő védelemre vonatkozó követelményt.” 6/2002 vélemény az utasokkal kapcsolatos információk és egyéb adatok továbbításáról a légitársaságoktól az Egyesült Államoknak, WP 66., 2.5. pont. Az irányelv 7. cikkének c) pontja szerinti „jogi kötelem” fennállására vonatkozó rendelkezés létrehozásáról lásd továbbá az uniós adatvédelmi szabályoknak a számvitel, belső számviteli ellenőrzés, könyvvizsgálati kérdések, korrupció, banki és pénzügyi bűnözés elleni küzdelem terén létrehozott belső visszaélés-jelentő rendszerekre történő alkalmazásáról szóló 1/2006 sz. vélemény (WP 117) IV. 1(i). pontját. 4
véleményének figyelembe vételével határoz e kérdésről. Közelebbről a lényeges közérdek követelménye a piaci viszonyokat figyelembe véve azáltal is teljesítettnek tekinthető, ha (az európai és a harmadik országbeli) könyvvizsgálati hatóságok között a nemzeti jogon alapuló megállapodások vannak hatályban. ii.
Emellett a személyes adatok csak olyan mértékben továbbíthatók, amely a fent meghatározott lényeges közérdekben megjelenő célkitűzés eléréséhez szükséges. Ennek meghatározása megint csak a továbbítandó munkaanyagokat/dokumentumokat megrendelő hatóságra van bízva, amely a harmadik országbeli hatóság kérését figyelembe véve határoz. Ez azt jelentené, hogy az átadandó személyes adatokat arra a körre kell korlátozni, amelyek az eseti vizsgálat szempontjából szorosan véve szükségesek és relevánsak. Ennek alapján például a személyzetre/alkalmazottakra vonatkozó személyes adatok teljes egészében nem adhatók át. Külön gondot kell fordítani a kényes adatokra, illetve az igazságszolgáltatási adatokra. Ennek megfelelően a harmadik ország fogadó hatósága az átadott személyes adatokat más célra nem használhatja fel, illetve ettől eltérő célra nem adhatja tovább.
Amennyiben a jog által előírt könyvvizsgálatokban illetékes hatóság nem osztja azt a nézetet, hogy az irányelv 26. cikke (1) bekezdésének d) pontjából következő lényeges közérdekkel kapcsolatos követelmény a nemzeti jog alapján teljesült, az adattovábbítást folytathatja a 26. cikk (2) bekezdésével összhangban is. A jog által előírt könyvvizsgálatokban illetékes hatóságok élhetnek az adott típusú adattovábbításra tekintettel alkalmazott, szokásos szerződési záradékok jelentette megfelelő biztosítékokkal, ami feleslegessé tenné a kérdéses adattovábbítások eseti elemzését. Bár a szokásos szerződési záradékokat jellemzően a magánszférában megszokott adattovábbítások esetében alkalmazzák, megfelelően rugalmasnak tűnnek ahhoz, hogy e területen is felhasználhatók legyenek. Kevéssé kétséges, hogy a szokásos szerződési záradékok alkalmazása nem teszi feleslegessé azt az igényt, hogy az illetékes nemzeti hatóság a nemzeti jogot szem előtt tartva ellenőrizze, hogy teljesültek-e a harmadik fél illetékes hatósága részére adott tájékoztatás előzetes feltételei. Amint arra a 29. cikk szerinti munkacsoport már többször rámutatott, a szokásos szerződési záradékok elfogadása semmi esetre sem jelenthet eszközt azon nemzeti rendelkezések kiváltására, amelyek az illetékes hatóság által feldolgozott adatok továbbítását szabályozzák4. 2. A rendszeres vizsgálatokat biztosító középtávú megállapodások A tagállam és a megfelelőséget nem teljesítő harmadik ország között aláírt kétoldalú megállapodások keretében létrehozott, a vizsgálati jelentések cseréjére szolgáló középtávú
4
A munkacsoport ezt világosan kifejtette a személyes adatok harmadik országokba történő (a 95/46 irányelv 26. cikke (4) bekezdése szerinti) továbbításához kapcsolódó szokásos szerződési záradékokról szóló bizottsági határozattervezetre adott, 2001. január 26-i 1/2001 sz. vélemény (WP 38.) 2. pontjában; a határokon átnyúló adatáramlásokkal kapcsolatban a munkacsoport a következő álláspontot rögzítette: „Az ilyen feldolgozási műveletek jogszerűségét továbbra is teljes mértékben azon nemzeti jogi aktusokban foglalt feltételek szabják meg, amelyek a 95/46/EK irányelv rendelkezéseit átültetik. Amennyiben e vonatkozásban a Bizottság által jóváhagyott, szokásos szerződési záradékok útján megvalósított továbbítás nem felel meg a nemzeti jog által rögzített követelményeknek, a harmadik országba irányuló tervezett átadásra nem kerülhet sor. Amennyiben az adatkezelő tagállamában honos adatátvevő harmadik fél részére nyújtott adattovábbítás nem volna jogszerű, az a puszta körülmény, hogy az adatátvevő harmadik országban lehet honos, nincs kihatással e jogi megítélésre.” 5
megállapodások biztosítanák a könyvvizsgálók személyes adatainak cseréjét (különösen a könyvvizsgálók neve, valamint a könyvvizsgáló cég vezetésében és minőségellenőrzésében fontos szerepet betöltő szakemberek neve esetében), azonban kizárólag az ország illetékes hatóságának közfelügyeleti, minőségbiztosítási és vizsgálati feladatainak ellátása vonatkozásában. Az irányelv 47. cikkének (1) bekezdése rögzíti az ezen munkavégzési megállapodás által teljesítendő feltételeket; konkrétan, a személyes adatok továbbításának összhangban kell lennie a 95/46/EK irányelv5 nemzetközi adattovábbításokra vonatkozó rendelkezéseivel. Amennyiben adott esetben az információtovábbítás szükségessé válik, a fenti feltételek mellett az irányelv 26. cikke (1) bekezdésének d) pontja szerint további akadályozó tényezőket már nem kellene vizsgálni. A 29. cikk szerinti munkacsoport azonban hangsúlyozza, hogy e kérdésben a részletes válaszadáshoz részletesebb információkat kellene kapni a harmadik országgal kötendő megállapodás feltételeiről, illetve a megfelelőségi vizsgálat feltételeiről. A személyes adatok védelméhez kapcsolódó megfelelő biztosítékok biztosítása érdekében e véleményhez csatoljuk az ezen megfelelőségi vizsgálatokra vonatkozó lehetséges iránymutatást. IV. Következtetés A 29. cikk szerinti munkacsoport véleménye szerint a 95/46/EK irányelv 26. cikke (1) bekezdésének d) pontja jogalapot biztosíthat a személyes adatokat tartalmazó könyvvizsgálati munkadokumentumok harmadik országok állami felügyeletei részére történő átadásához, méghozzá a 2006/43 irányelv (47. cikk (1)–(3) bekezdése) által létrehozott „szokásos rendszer” alapján. A 29. cikk szerinti munkacsoport azonban hangsúlyozza, hogy az irányelv 26. cikke (1) bekezdésének d) pontja eltérést jelent az adatvédelmi irányelv határon átnyúló adatforgalomra alkalmazandó általános rendszerétől; ezért korlátozó értelmezést kell rá adni, figyelembe véve az adattovábbítás által követett lényeges közérdeket (amely vagy az egyes tagállamokhoz vagy az EU-hoz kapcsolódik), továbbá annak biztosításával, hogy az ilyen lényeges közérdeket követve csakis a tárgyhoz tartozó és szükséges személyes adatokat lehessen továbbítani. Az adattovábbítással kapcsolatosan teljesítendő feltételek között kiemelt szerepe van a 2006/43 irányelv 47. cikke (3) bekezdésében említett megfelelőségi vizsgálat eredményének. A 29. cikk szerinti munkacsoport fenntartja a jogot, hogy e tárgyban később részletesebb állásfoglalásokat tegyen közzé, amint részletesebb információk állnak rendelkezésre az ilyen vizsgálatok paramétereiről, és megismétli a valamennyi érdekelt féllel való együttműködésre vonatkozó szándékát annak érdekében, hogy a megfelelőségi vizsgálatok kellően figyelembe vegyék az adatvédelmi alapelveket. A 2006/43 irányelv 47. cikkének (4) bekezdése által létrehozandó „speciális rendszerrel” kapcsolatban – amely kivételes esetekben és az általános rendszertől való eltérés útján alkalmazható oly módon, hogy a könyvvizsgálók és a könyvvizsgáló cégek a
5
Lásd még a 2006/43/EK irányelv (29) preambulumbekezdését. 6
munkaanyagokat és dokumentumokat közvetlenül juttatják el a harmadik országok illetékes hatóságaihoz – a 29. cikk szerinti munkacsoport felszólítja a Bizottságot, hogy az irányelv 47. cikkének (5) bekezdése alapján a Bizottság által jogszerűen folytatható tevékenységekhez vegye igénybe a munkacsoport támogatását az adatátvitel kivételes eseteinek meghatározása érdekében, ezáltal is biztosítva az említett rendelkezések egységesebb alkalmazását.
Kelt Brüsszelben, 2007. november 23-án.
a munkacsoport részéről az elnök Peter SCHAAR
7
Melléklet A 2006/43/EK irányelv 47. cikke (1) bekezdésének c) pontjában rögzített eljárás alapján kötendő munkavégzési megállapodások adatvédelmi megfelelőségének biztosításához szükséges lehetséges iránymutatások. a) Komitológiai intézkedés keretében összeállítható az átadható dokumentumok nem teljes listája. E lista tartalmazhatná például a következőket: könyvvizsgálati munkaanyagok; a 27. cikk értelmében vállalatcsoport ellenőrzését végrehajtó könyvvizsgáló munkájához kapcsolódó dokumentumok, a könyvvizsgálóktól kapott egyéb dokumentumok (megbízások, a hatóságokkal folytatott levelezés, stb.), szakfelügyeleti hatóságok és egyéb hatóságok által készített ellenőrzési jelentések és felülvizsgálati eredmények. b) Nem továbbíthatók azok a dokumentumok, amelyeket valamely tagállam illetékes közfelügyeleti hatóságai nem tartanak szükségesnek a vizsgálatokhoz vagy ellenőrzésekhez. A dokumentumtovábbítás nem történhet automatikusan, csakis megfelelően indokolt esetben és egyedi kérésre. c) Az EU joghatóságán kívül eső hatóságok az átadott dokumentumokat sem közvetlenül, sem közvetve nem hozhatják nyilvánosságra. Emellett e dokumentumok elvileg nem használhatók fel eltérő célra, illetve nem kerülhetnek más hatóságok, például vámhatóságok vagy bíróságok kezébe. d) Az átadott dokumentumok maximális megőrzési idejére speciális feltételeket kell kidolgozni, biztosítandó, hogy a dokumentumokat ne őrizhessék meg tovább a dokumentumigénylés célját képező feladat ellátásához szükséges időnél (de semmi esetre sem hosszabb ideig, mint a nemzetközi jog által a felügyeleti hatáskörök gyakorlására előírt határidő).
8
