Állampolgári beadvány alapján vizsgálatot folytatattam a Malév Rt. utasainak személyes adattovábbításáról az Amerikai Egyesült Államokba.

Az Egyesült Államokba utazó állampolgár azt panaszolta, hogy a Malév Rt. légitársaság személyes adatait az indulást megelőzően továbbítja az USA hatóságainak, akik ezen adatokat - tájékoztatásuk szerint - felhasználják a terrorizmus elleni küzdelemben.

A Malév Rt. által kezelt adatok köre, az adatkezelés egyéb feltételei számos adatvédelmi aggályt vetettek fel, ezért levélben megkerestem a Malév Rt. vezérigazgatóját. Megkeresésemben arra kértem választ, hogy az adatkezelésnek van-e törvényi felhatalmazása, mely szerveknek és pontosan milyen adatot továbbít a Malév Rt., illetve, hogy mik az adattovábbítás technikai és időbeli feltételei.

Válaszában a Malév Rt. jogi igazgatója arról tájékoztatott, hogy az Egyesült Államok a 2001. szeptember 11-i terrortámadást követően új repülésbiztonsági törvényt fogadott el. Ennek folyománya, hogy minden légitársaság, amelyik az USA nemzetközi repülőterén landol, külön, az USA bevándorlási hatóságaival [Immigration and Naturalization Service, jelenleg: Bureau of Customs and Border Protection, US Department of Homeland Security] kötött szerződés szerint köteles az indulást megelőzően az utasokról, illetve az utaslistáról származó adatokat továbbítani. Ellenkező esetben az USA hatóságai a légitársaságtól megtagadják a repülési engedélyt, illetve a kiadott engedélyeket felfüggesztik.

A légitársaság az USA hivatalos szerveivel egy úgynevezett „Memorandum of Understanding” elnevezésű szerződést írt alá, amely értelmében a Malév Rt. rendkívül szigorú biztonsági előírásoknak kell, hogy megfeleljen. A szerződés kötelezi a Malév Rt-t, hogy az Egyesült Államokba tartó gép felszállását megelőzően az utasok személyes adatait továbbítsa az Egyesült Államokba. A legénység adatait elkülönítve szintén továbbítják. A szerződés értelmében az utasok olyan „előszűréséről” van szó, amely lerövidíti a beléptetési és várakozási időt az Egyesült Államok határainál.

A Memorandum of Understanding elnevezésű szerződést, a szerződés megkötése óta kétszer szigorította két amerikai repülésbiztonsági törvény. A 2001. november 19-i Aviation and Transportation Security Act of 2001 (107-71), illetve a 2002. május 14-i Enhanced Border Security and Visa Entry Reform Act of 2002 (107-73) már törvényi kötelezettséggé teszi a légitársaságok számára az adattovábbítást. A jelenlegi adattovábbítás jogalapját már nem is az eredeti szerződés képezi, hanem az USA említett két repülésbiztonsági törvénye.

Az adatkezelés jelentősége és az érintettek nagy száma indokolttá tették, hogy az ügyben helyszíni vizsgálatot folytassak. A helyszíni vizsgálaton kiderült, hogy a Malév Rt. az Egyesült Államokba utazóknak az adatkezelés tényéről, a kezelt adatok köréről, valamint az érintettek információs önrendelkezési jogát érintő egyéb kérdésekről (pl.: adatok helyesbítésének a joga, betekintési jog) nem ad megfelelő tájékoztatást.

A Malév Rt. a nemzetközi utasszállításban ismert SITA Gabriel DCS (Departure Management System) nevű rendszert használja az utasok adatainak felvételéhez, tárolásához majd továbbításához. A Gabriel helyfoglalási rendszer, illetve a SITA nemzetközi adatbázis külföldi szoftver alapján működik, az adatok tárolása nem is a SITA terminálokon, hanem az USA valamely tagállamában, a rendszert üzemeltető központban történik.

A légitársaság munkatársa az utasok adatait a bejelentkező (check in) pultnál rögzíti.

A felvett és továbbított adatok a következők: az úti okmányban szereplő vezetéknév, keresztnév, úti okmány típusa, száma, az úti okmányt kiállító állam kódja, születési idő, nem kódja, okmány érvényességének ideje. Ezek az adatok a járatszám, dátum, indulási állomás IATA (International Air Transport Association) kódja, célállomás IATA kódjának elektronikus megjelenítése után kerülnek felsorolásra. Az úti okmányon kívüli adatot nem kezelnek. Biometrikus azonosítókat Ferihegyen nem kezelnek és nem továbbítanak. A legtöbb adatot az útlevél szkennelésével rögzítik, manuális adatkezelésre csak akkor kerül sor, ha az úti okmány típusa nem alkalmas a szkennelésre.

A helyszíni vizsgálaton nem kaptunk pontos választ arra, hogy az adatokat ki, mennyi ideig és hol tárolja. Arra a kérdésre, hogy az utas a róla készült adatokat megtekintheti-e, illetve élhet-e az adatok kijavításának a lehetőségével, a Malév Rt. képviselői nemleges választ adtak.

A járatra történő felszálláskor az utasok belépőkártyáját (boarding card) ellenőrzik. Az egyeztetés követően, miután mindenki felszállt a gépre, egy billentyűparancs (PIM) megnyomásával a rendszer automatikusan továbbítja az adatokat az USA bevándorlási hatóságainak.

A SITA rendszerből az utasokra vonatkozó egyéb lekérdezések is teljesíthetőek, de ezeket nem a „terrorizmus elleni küzdelemben” használják fel, hanem a légitársaságok egymás közötti kommunikációjának a megkönnyítésére. Két lista mindig készül. Az egyiken az úgynevezett különleges igények szerepelnek. (Personal Service Message). Tipikusan egyedi igénynek számít a különleges étrendre vonatkozó kérés, a gyermekutaztatás, sérült vagy fogyatékos utas speciális igényei. A PSM üzenet telex formájában a SITA type-B hálózatán keresztül kizárólag az adott járat célállomására továbbítják az utasok igényeinek kiszolgálása érdekében. Budapesten a ferihegyi rendszer a járat indulását követően négy napig tárolja ezen adatokat.

A Budapestről induló járatok utaslistáit 2003 áprilisától a Malév Rt. Fhb.Srv01 jelű szerverén egy évig tárolják. Ez a szerver Ferihegyen található, az adatok máshonnan nem férhetők hozzá. A tárolásra – esetleges balesetek esetén – az utasok azonosítása, illetve a nyomozati hatóságok jogszabály alapján történő megkereséseinek teljesítése céljából van szükség. Az utaslistán szerepel az utas vezetékneve, keresztneve, jelentkezés száma (BN), az ülésszám, SN (Seat Number), a csomag(ok) azonosító kódja (Bagtag Number(s)), és az egyedi igényekkel (csecsemő, tolószék stb.) kapcsolatos információk. Az utaslistát jelenleg nem továbbítják az USA hatóságainak, célja az, hogy egyértelmű legyen a gép utasainak létszáma.

Az üggyel kapcsolatban álláspontom a következő:

a)         Az európai uniós és nemzetközi kérdések

Adatvédelmi biztosként a nemzetközi adatvédelmi fórumokon, európai uniós eseményeken azt tapasztalom, hogy az utasok adatainak továbbítása komoly adatvédelmi aggályokat vet fel. Ezért szükségesnek tartom röviden ismertetni az Európai Unió álláspontját az utasok adatainak külföldre továbbításáról.

Az Európai Unió 29. Cikk Adatvédelmi Munkacsoportja (Munkacsoport), az uniós tagállamok adatvédelmi biztosaiból álló független szakértői testület, a Bizottság felkérésére készített jelentésében már 2002 októberében kiadott véleményében aggályait fejezte ki az utaslisták továbbításával kapcsolatban. Javasolta, hogy a Bizottság folytasson tárgyalásokat az Egyesült Államok hatóságaival a személyes adatok kezelésének feltételeiről és garanciáiról, a különleges adatok kezelésének fokozottabb biztonságáról és megfelelő garanciák biztosításáról, továbbá célul tűzte ki egy egységes uniós szabályozás kialakítását a nemzeti jogszabályok figyelembevételével.

2003 júniusában a Munkacsoport újabb véleményt adott ki, melyben többek között kifejtette: „a terrorizmus elleni harc szükséges és értékes eleme a demokratikus társadalmaknak. Ugyanakkor a terrorizmus elleni küzdelemben biztosítani kell az egyének alapvető szabadságjogát ideértve a magánszféra védelmét és a személyes adatok védelmét is. Ezen szabadságjogokat a 95/46/EC számú irányelv, az Emberi Jogok Európai Egyezményének 8. cikke, az Emberi Jogok Európai Kartájának 7. és 8. cikke védi. Mindezeken felül a személyes adatok védelmét elismeri és kiterjeszti a Konvent által tárgyalt új egységes Európai Alkotmány tervezete. Az Egyesült Államoknak a belső biztonság iránti jogos igénye nem sértheti ez Európai Unió alapvető szabadságjogait. Bármely korlátozás ezen jogoknál az adatkezelés tekintetében csak akkor lehetséges, ha a korlátozás szükséges egy demokratikus társadalomban, illetve a közérdek védelmében, úgy, hogy a közérdekre hivatkozás eseteit kimerítően és megfelelő jogszabályi szinten szabályozzák.”

Véleményében a Munkacsoport hangot ad azon aggodalmának, hogy nincsenek meg a világos jogi feltételei a repülőgép utasok adatainak továbbítására, egy egységes európai álláspont kidolgozására van szükség, hiszen hasonló feltételek vonatkoznak minden tagállam utasaira.

Az adatkezelés célját egyértelműen meg kell határozni. Nem fordulhat elő, hogy a terrorizmus elleni harcot kiterjesztően értelmezve bármely „súlyos” bűncselekmény felderítéséhez felhasználják az adatbázist. Az Egyesült Államok egyértelműen felsorolja, hogy mely bűncselekményekhez és milyen terjedelemben kívánja az utasok adatait kezelni. Személyes adatot csak meghatározott célból és addig az ideig szabad kezelni, ameddig az eredeti adatkezelési cél fennáll. Abban az esetben, ha az adatkezelés célja annak ellenőrzése, hogy nem lépik-e át gyanús személyek az Egyesült Államok határát, akkor a határellenőrzést követően ez az adatkezelési cél okafogyottá válik. A határátlépést követően néhány hétig az adatkezelés még elfogadható lehet, azonban a jelenlegi 7-8 éves adatkezelési időtartamot csökkenteni szükséges.

A Munkacsoport véleménye szerint a különleges adatok továbbítását fel kell függeszteni (az utas ételrendeléséből következtetni lehet vallásos meggyőződésére, amely különleges adatnak minősül). Az Európai Unió Bizottságának teljes listát kell készítenie azon adatokról, amelyek továbbítása nem vet fel aggályokat.

Az átláthatósághoz szükséges az is, hogy az Egyesült Államok részletesen felsorolja, hogy az adatokat mely szervek fogják kezelni és ezen szerveknek mi a hatáskörük. Az Egyesült Államok jogszabályi hátterének egyértelműnek és átláthatónak kell lennie. Ez vonatkozik az elsődleges és másodlagos jogforrásokra is. Az adatkezelés céljának, gyakorlatának és az eljárás indokainak világosan el kell különülniük. Biztosítani kell, hogy amennyiben az adatkezelés jogi szabályozásában bármilyen változás van, az Európai Unió Bizottságát azonnal értesítik.

Elengedhetetlen az érintettek jogainak biztosítása. Ez elsősorban a saját adatokhoz, tehát az adatalany adataihoz való hozzáférés biztosítását, másodsorban pedig az adatok helyesbítésének a lehetőségét jelenti. Tájékoztatni kell a közvéleményt a kezelt adatokra vonatkozó legfontosabb jellemzőkről, valamint arról, hogy ezen adatokat az amerikai hatóságok hányszor és milyen mennyiségben igénylik.

Az adattovábbítás jogszerűségét időről időre felül kell vizsgálni. Amennyiben a nemzetközi helyzet változik, úgy változik az adatkezelés indokoltságának megítélése is. Ezért szükséges, hogy a Bizottság készítsen éves beszámolót az utasok adatainak a kezeléséről, az adatkezelés gyakorlati tapasztalatairól és az esetleges változtatás szükségességéről.

Mind a Parlament, mind a Bizottság többször tárgyalt az USA illetékes hatóságaival az utasok adatainak a továbbításáról. 2003. szeptember 29-én a Parlament Polgári Jogok és Alapvető Szabadságjogok Bizottsága úgy foglalt állást, hogy amennyiben az Amerikai Egyesült Államok nem teljesíti az adekvát védelemre vonatkozó tesztet és nem születik nemzetközi szerződés az USA és az EU szervei között az adatok továbbítására, akkor a Bizottságnak a számítógépes helyfoglalási rendszerekről szóló 2299/89/EK számú rendelet értelmében meg kell tiltania minden utasra vonatkozó adattovábbítást az USA-ba. 2003 októberében az EU Parlament határozatában úgy foglalt állást, hogy az adatvédelmi szint adekvát védelmét az biztosítja, ha az USA hatóságai a magasabb védelmet biztosító európai szabályokat beemelik saját jogalkotásukba.

Az adatvédelmi biztosok huszonötödik konferenciája - 2003. szeptember 12-én Sydneyben - állásfoglalást fogadott el az utasok adatainak külföldre továbbításáról. Eszerint, a Konferencia felismeri, hogy a terrorizmus és a szervezett bűnözés elleni legitim harcban olyan intézkedésekre kerül sor, amelyek veszélyeztetik egyes országokban az alapvető jogok és szabadságok védelmét, különösképpen pedig a magánszférát. Ezért:

1.         A terrorizmus és a szervezett bűnözés elleni küzdelemben az államoknak meg kell határozniuk a szükséges válaszokat, úgy, hogy a legmesszebbmenőkig figyelembe veszik az alapvető adatvédelmi elveket, amelyek a védett demokratikus értékek integráns részei.

2.         Ha személyes adatok nemzetközi továbbítása szükséges, akkor ennek kereteit csakis nemzetközi szerződés rögzítheti, amely megfelelő adatvédelmi garanciákat tartalmaz, beleértve az egyértelmű adatkezelési célt, a meghatározott adatgyűjtési kört, az adekvát adattárolási időt, az érintett tájékoztatását, az adatalany jogainak garanciáit és ezen szabályok betartásának független ellenőrzését.

b)         Magyar jogi szabályozás

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 2.§ 1. pontja értelmében személyes adat: a meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.

Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig [Avtv. 5. § (1)-(2) bekezdés]. Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény elrendeli [Avtv. 3. §].

Az adatkezelés – adattovábbítás – jogszerűségéhez az adatalany önkéntes hozzájárulása szükséges. Az Európai Parlament és a Tanács az Egyénnek a személyes adatok feldolgozásával kapcsolatos védelméről és ezeknek az adatoknak a szabad áramlásáról szóló 95/46/EC irányelve 2. cikk (h) pontjában foglaltak szerint az adatalany hozzájárulását adatai kezeléséhez akkor lehet önkéntesnek tekinteni, ha önkéntesen, határozottan és tájékozottan kinyilvánítja beleegyezését az őt érintő személyes adatok feldolgozásához. A 2004. január elsejétől hatályos Avtv. szövege a 95/46/EC irányelvvel összhangban megadta a tájékozott beleegyezés definícióját. Az Avtv. 2. § 6. pontja alapján a hozzájárulás az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez.

Az Avtv. 28. § (1) bekezdése szerint az adatkezelő köteles e tevékenysége megkezdése előtt az adatvédelmi biztosnak nyilvántartásba vétel végett bejelenteni adatkezelését.

2004. január elsejétől az adattovábbításra vonatkozó 9. § módosult. A hatályos törvény értelmében: személyes adat (beleértve a különleges adatot is) az országból - az adathordozótól vagy az adatátvitel módjától függetlenül - harmadik országban lévő adatkezelő vagy adatfeldolgozó részére csak akkor továbbítható, ha ahhoz az érintett hozzájárul, ha azt törvény lehetővé teszi, vagy ha arról nemzetközi szerződés rendelkezik, feltéve, hogy a harmadik ország joga - az Európai Unió által meghatározott - megfelelő védelmet biztosít az átadott adatok kezelése során. A csatlakozási szerződés hatálybalépésétől kezdve az Európai Unióba történő adattovábbítást úgy kell tekinteni, mintha Magyarországon belüli adatáramlás lenne.

Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó, köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket, amelyek az Avtv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek [10. § (1)].

Az adat tárolásának a módja alkalmas kell, hogy legyen arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani, az adatok felvétele és kezelése tisztességes és törvényes kell, hogy legyen. Pontosak, teljesek, és ha szükséges időszerűnek kell, hogy legyenek az adatfelvételek [7. § (1) a) - c) pont]. Az érintett tájékoztatást kérhet személyes adatai kezeléséről, valamint kérheti személyes adatainak helyesbítését, illetve - a jogszabályban elrendelt adatkezelések kivételével - törlését [11.§]. Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt, illetőleg az általa megbízott feldolgozó által feldolgozott adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről (székhelyéről) és az adatkezeléssel összefüggő tevékenységéről, továbbá arról, hogy kik és milyen célból kapják vagy kapták meg az adatokat. Az adattovábbításra vonatkozó nyilvántartás - és ennek alapján a tájékoztatási kötelezettség - időtartamát az adatkezelést szabályozó jogszabály korlátozhatja [12. § (1)].

2004. január elsejétől az érintett tiltakozhat személyes adatának kezelése ellen, ha a személyes adatok kezelése (továbbítása) kizárólag az adatkezelő vagy az adatátvevő jogának vagy jogos érdekének érvényesítéséhez szükséges, kivéve, ha az adatkezelést törvény rendelte el [16/A. § (1) a].

Ezen követelmények az utasok személyes adatai továbbításakor nem teljesülnek. Nem egyértelmű, hogy az USA mely szervei férhetnek hozzá az adatbázishoz, továbbá vitatott, hogy a hozzáférés jogalapja csak a terrorizmus elleni küzdelem, vagy valamely súlyos bűncselekmény.

Az Avtv. alapján a Malév Rt. köteles az utasok hozzájárulását kérni az adatkezeléshez, illetve az adattovábbításhoz, továbbá biztosítania kell, hogy az utasok a rájuk vonatkozó adatokhoz hozzáférhessenek, melynek keretében az esetleges tévedés kiszűrhető. Ha a Malév Rt. ezen kötelezettségének nem tesz eleget, sérül az Avtv. 11, 12. 16/A §§-iban biztosított tájékoztatási és tiltakozási jog. Mivel az érintett nem tudja, hogy adatait ki hol és mennyi ideig kezeli, ezért sérül az Avtv. 7.§-a az adatfelvétel törvényes és tisztességes volta.

A célhoz kötöttség elvét is sérti az adattovábbítás. A célhoz kötött adatkezelést az Alkotmánybíróság 15/1991 AB. határozatában így fogalmazta meg: „Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad; mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát. Kivételesen törvény elrendelheti személyes adat kötelező kiszolgáltatását, és előírhatja a felhasználás módját is. Az ilyen törvény korlátozza az információs önrendelkezés alapvető jogát, és akkor alkotmányos, ha megfelel az Alkotmány 8. §-ában megkövetelt feltételeknek…, Az információs önrendelkezési jog gyakorlásának feltétele és egyben legfontosabb garanciája a célhoz kötöttség. Ez azt jelenti, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie a bejelentett és közhitelűen rögzített célnak. Az adatfeldolgozás célját úgy kell az érintettel közölni, hogy az megítélhesse az adatfeldolgozás hatását jogaira, és megalapozottan dönthessen az adat kiadásáról; továbbá, hogy a céltól eltérő felhasználás esetén élhessen jogaival.”

Amennyiben az adatkezelés célja a terrorizmus elleni harc, akkor felmerül, hogy a jelenlegi adatkezelés a cél elérésére nem megfelelő eszköz. Aggályos például, hogy az utasok adatai a repülőgép indulásakor a PIM parancs megnyomásával kerülnek továbbításra, amikor minden utas a fedélzeten van. Ilyenkor az esetleges gépeltérítő már a fedélzeten utazik, ő már nem szűrhető ki. Kérdéses, hogy egy ilyen felduzzasztott adatbázis alkalmas-e az adatkezelés eredeti céljának megvalósítására, nem vezet-e készletező adatgyűjtéshez. Amennyiben az alapjog korlátozása pontosan meg nem határozott célból, a cél elérésére alkalmatlan eszközzel vagy nem a szükséges és legenyhébb korlátozással valósul meg, az Alkotmánybíróság álláspontja szerint a korlátozás alkotmányellenes. [Lásd pl: 19/B/1990, 113/B/1990; 7/1991. (II. 28.) AB határozat; 25/1991. (V. 18.) AB határozat; 21/1994. (IV. 16.) AB határozat; 30/1992. (V. 26.) AB határozat; 75/1995. (XII. 21.) AB határozat; 27/1999. (IX. 15.) AB határozat]

A Malév Rt. az adatkezelését az adatvédelmi nyilvántartásba nem jelentette be. Nincs olyan szabálya az Avtv.-nek, amely felmentést adna a légitársaságnak bejelentési kötelezettsége alól, ezért értelemszerűen az Avtv. 28. §-a szerint az adatkezelést be kell jelenteni.

A Malév Rt. jelenleg több tízezres adatbázist kezel úgy, hogy nincs érvényes adatvédelmi szabályzata. Ugyan az Avtv. 31/A §- a belső adatvédelmi felelős és adatvédelmi szabályzatról nem ró kötelezettséget a légitársaságra, az érintettek széles körére, az adatkezelés jelentőségére tekintettel mégis ajánlatos, hogy a részvénytársaság önálló adatvédelmi felelőssel és adatvédelmi szabályzattal biztosítsa az adatvédelmi feladatok ellátását.

c)            Veszélyek az adatkezelés kiterjesztéséről, magyar és nemzetközi tapasztalatok

Aggályos, hogy a jelenlegi rendszerben az adatkezelés további kiterjesztésére korlátlan lehetőség van. A Malév Rt. által használt számítógépes adatrögzítési eljárás külföldi szoftver alapján működik, az adatokat nem Magyarországon tárolják. Nincsen sem a Malév Rt.-nek, mint adatkezelőnek, sem a magyar adatvédelmi hatóságnak lehetősége arra, hogy ellenőrizze az adatbiztonsági szabályok betartását.

A Gabriel helyfoglalási rendszert nemcsak a légitársaságok, de utazási irodák is használják. Nem zárható ki, hogy az utas helyfoglalásakor kiadott ülésszámot, vagy például kóser vagy muzulmán étkezési szokásaira vonatkozó adatot, amelyet az utazási irodában rögzítenek, összekapcsolják a továbbított adatokkal. Annak sincsen technikai akadálya, hogy a kért adatokon túl az úgynevezett speciális kívánságok listáját - amelyen a fogyatékosságok és egyéb utasra jellemző különös ismertetők vannak feltűntetve - is továbbítsák az USA hatóságainak.

Az Egyesült Államok által alkalmazott eljárásokat „a terrorizmus elleni harcban” több ország is mintául tekinti. Ausztrália, Kanada és Nagy-Britannia is fellépett az utasok adataira vonatkozó követeléssel. Ez azt jelenti, hogy a magyar légitársaságnak a jövőben több ország felé is fennállhat adattovábbítási kötelezettsége. Ez a jelenlegi rendszer korlátlan kiszélesítését jelentené.

Összefoglalva: álláspontom szerint, az utasok adatainak a jelenlegi gyakorlat szerinti továbbítása az Avtv. számos rendelkezésével ellentétes. Az érintettnek utazása előtt beleegyezését kell adnia az adatkezeléshez. Tájékoztatni kell az adatalanyt utazása előtt arról, hogy adatait kik, mennyi ideig, továbbá hol fogják kezelni (postacím, felelős személy neve, elérhetősége). Az adatalanyt arról is tájékoztatni kell, hogy információs önrendelkezési jogát hogyan tudja érvényesíteni: az adatkezelés útját hogy követheti nyomon, tájékozódási és tiltakozási jogával hogyan élhet. A szükséges információt nem elég az utasnak a repülőgépen vagy felszállás előtt megadni. Meg kell teremteni annak lehetőségét, hogy az utas már a jegyvásárláskor tájékozott beleegyezésen alapuló döntést hozzon utazásáról, adatai átadásáról. Javaslom, hogy a légitársaság adatvédelmi szabályzattal és adatvédelmi felelőssel könnyítsen saját munkáján, ezáltal segítse az érintettek információs önrendelkezési jogának érvényesülését. Mivel nem törvény rendeli el az adattovábbítást, az utas dönthet úgy is, hogy ahhoz nem járul hozzá. Ebben az esetben tájékoztatni kell ennek következményeiről: milyen nehézségekre számíthat az országba való belépéskor.

Az Európai Parlament 2003. március 13-i, és október 9-i határozataiban felkérte a Bizottságot az USA hatóságaival tárgyalások folytatására, azokon az európai adatvédelmi elvek érvényesítésére. A Bizottság a tárgyalások eredményéről szóló 2003. december 16-i jelentése is hangsúlyozza, hogy egyelőre semmiféle uniós jogszabály nem kötelezi a légitársaságokat a jelenlegi rend szerinti adattovábbításra. Úgy a Parlament, mint a Bizottság sürgetőnek tartja a problémák megoldását, jogi rendezését. A jelentés felhív a tájékozott beleegyezés lehetőségének biztosítására, ugyanakkor hangsúlyozza, hogy az adattovábbítás végső megoldását a multilaterális jogszabályi keretek megteremtése jelenti.

Új fejlemény az ügyben, hogy ez év elejétől az amerikai hatóságok fényképfelvételt készítenek, és ujjlenyomatot vesznek a vízummal beérkező utasokról. Ugyanezt a módszert a brazil hatóságok is bevezették az amerikai turistákkal szemben.

Újdonság továbbá, hogy a Malév Rt. internetes honlapján megjelent egy tájékoztatás az USA-ba induló utasok számára, mely beszámol az adattovábbítást „elrendelő” amerikai törvényekről, továbbá arról, hogy az útlevélben szereplő mely adatokat továbbítják, de ez tájékoztatás sem teljes körű, nem felel meg a hivatkozott uniós adatvédelmi irányelvnek és a magyar szabályozásnak. A Malév Rt. elnök-vezérigazgatója 2004. január 15-én írásban arról tájékoztatott, hogy a „Malév Rt. 2003. novemberétől ismételten írásban is tájékoztatja az utasokat a járatra történő jelentkezéskor, még a beszállás előtt, egyben kérve hozzájárulásokat az adatok továbbításához”. Az Adatvédelmi Biztos ismételten felhívja a figyelmet arra, hogy hozzájárulást kérni a hatályos adatvédelmi szabályozás szerint nem tájékoztatóban kell, hanem külön, erről szóló nyilatkozatban.

Az elnök-vezérigazgató levele szerint „a légitársaságok többsége nem tájékoztatja utasait arról, hogy ezen meghatározott adatokat továbbítja az USA hatóságai felé, egyes légitársaságok más megoldásként a repülőjegy információs részén közölnek erre vonatkozóan tájékoztatást, tehát az utasok hozzájárulásának önkéntessége nem áll fenn.” Ezzel kapcsolatban szükségtelen hangsúlyozni, hogy amennyiben ez így van, ez a gyakorlat ellentétes a jelen állásfoglalásban ismertetett európai uniós adatvédelmi normákkal.

Mindezek alapján felkérem a Malév Rt.-t, hogy az adattovábbítás uniós szintű rendezése előtt is vegye figyelembe adatkezelési gyakorlata során a fenti adatvédelmi elveket, különös tekintettel a tájékoztatási kötelezettségére. Tájékoztatni kell az adatalanyt még a jegy megvásárlása előtt, az adatkezelés minden lényeges körülményéről, beleértve, hogy mely adatait kik, mennyi ideig, továbbá hol fogják kezelni.

Budapest, 2004. január 16.