26.7.2011   

BG

Официален вестник на Европейския съюз

C 220/1

1.

На 24 февруари 2011 г. Европейската комисия прие предложение за директива на Европейския парламент и на Съвета за изменение на директиви 89/666/ЕИО, 2005/56/ЕО и 2009/101/ЕО по отношение на взаимното свързване на централните, търговските и дружествените регистри (3) („предложението“) и след това проведе консултация с Европейския надзорен орган по защита на данните (ЕНОЗД).

2.

ЕНОЗД изразява удовлетворение от факта, че с него е проведена консултация съгласно изискването в член 28, параграф 2 от Регламент (ЕО) № 45/2001 и че настоящото становище е упоменато в преамбюла на предложението.

3.

Целта на предложението е да се улеснят и да се подобрят международното сътрудничество и обменът на информация между органите, водещи търговските регистри на територията на Европейското икономическо пространство, като така се увеличи прозрачността, както и надеждността на информацията, с която разполагат различните държави-членки. Ефективните процедури за административно сътрудничество по отношение на търговските регистри са жизненоважни за повишаването на доверието в европейския единен пазар чрез осигуряване на по-безопасна икономическа среда за потребителите, кредиторите и другите търговски партньори, чрез намаляване на административната тежест и повишаване на правната сигурност. Усъвършенстването на процедурите за административно сътрудничество по отношение на търговските регистри в Европа е особено важно при процедурите за презгранично сливане, преместване на седалището и актуализиране на вписаните данни на чуждестранните клонове, когато механизмите за сътрудничество липсват или са ограничени.

4.

Във връзка с това целта на предложението е да бъдат изменени три действащи директиви, както следва:

5.

Във всяка държава-членка съществуват търговски регистри; те се организират на национално, регионално или местно равнище. През 1968 г. бяха приети общи правила за установяване на минимални стандарти за оповестяване на търговска информация (7) (регистриране и публикуване). Също така от 1 януари 2007 г. държавите-членки трябва да поддържат електронни търговски регистри (8) и да позволяват достъп на трети страни до съдържанието на регистъра в интернет.

6.

С някои европейски правни инструменти изрично се изисква сътрудничество между органите, водещи търговските регистри в различните държави-членки, с цел да се улеснят презграничните сливания на дружества с ограничена отговорност (9) и презграничното преместване на седалището на Европейското дружество (SE) (10) и на Европейското кооперативно дружество (SCE) (11).

7.

През 1992 г. беше създаден механизъм за доброволно сътрудничество между органите, водещи търговски регистри в Европа. До момента така нареченият Европейски търговски регистър („ЕТР“) (12) обединява официалните търговски регистри на 19 държави-членки и шест други европейски юрисдикции. Между 2006 и 2009 г. ЕТР взе участие в научноизследователски проект, наречен BRITE (13), чиято цел беше да се разработи технологична платформа за оперативната съвместимост на търговските регистри в цяла Европа. В оценката на въздействието, придружаваща предложението обаче се обяснява, че ЕТР е изправен пред сериозни предизвикателства по отношение на своето разширяване, финансиране и управление: според оценката на въздействието в настоящата си форма действащият механизъм за сътрудничество не удовлетворява напълно потенциалните ползватели.

8.

В обяснителния меморандум, придружаващ предложението, се отбелязва, че европейският портал за електронно правосъдие (14) следва да стане основно средство за достъп до правна информация, съдебни и административни институции, регистри, бази данни и други услуги в ЕС. Също така в него се потвърждава, че предложението допълва проекта за електронно правосъдие и следва да допринесе за улесняване на достъпа на трети страни до търговска информация чрез портала.

9.

Според оценката на въздействието друг важен проект с възможности за взаимодействие е Информационната система за вътрешния пазар (ИСВП) (15). ИСВП е електронно средство, предназначено да подпомага ежедневното административно сътрудничество между публичните администрации в контекста на директивата относно услугите (2006/123/ЕО) и директивата относно професионалната квалификация (2005/36/ЕО). Понастоящем ИСВП е в процес на разширяване и съгласно оценката на въздействието може да подпомага прилагането и на други директиви, включително в областта на дружественото право.

10.

С член 3 от предложението Директива 2009/101/ЕО се изменя в няколко отношения. Две от тези изменения имат съществено значение за защитата на данните.

11.

С член 2 от действащата понастоящем Директива 2009/101/ЕО се изисква в търговски регистър във всяка държава-членка да се оповестява определено минимално количество информация, което да позволи на трети лица да се запознаят с информацията за дружествата. Както се обяснява в раздел 1.2 по-горе, държавите-членки трябва да поддържат електронни търговски регистри и да позволяват достъп на трети лица до съдържанието на регистрите в интернет.

12.

В член 2 се изброяват единадесет елемента на основна информация за дружеството, която да се оповестява пред обществеността, а именно следващите:

13.

Важно от гледна точка на защитата на данните е това, че с член 2 се изисква и оповестяването на „назначаването, прекратяването на правомощията и данни“ (подчертава се) за лицата, които са: i) упълномощени да представляват дружеството; и/или ii) по друг начин участват в „управлението, надзора или контрола“ на дружеството.

14.

Списъкът на елементите, които се изисква да бъдат оповестени съгласно член 2, остава непроменен в предложението. Също така не е ново изискването всяка държава-членка да осигурява достъп на обществеността до тази информация в електронен вид. Нововъведението в предложението е, че информацията, която досега се е предоставяла разпокъсано, често само на местните езици и чрез местни уебсайтове, сега ще бъде лесно достъпна чрез обща европейска платформа/пункт за достъп в многоезична среда.

15.

Във връзка с това с предложението се добавя член 3а в директивата, който предвижда, че „държавите-членки гарантират, че актовете и данните по член 2, които са били в регистъра им, могат да бъдат получени от всяко лице по негово искане, по електронен път посредством европейската електронна платформа, достъпна от всяка държава-членка.“ Съгласно предложението всички останали подробни условия се определят в делегирани актове.

16.

С предложението в същата Директива 2009/101/ЕО се добавя и нов член 4а, който предвижда, че „държавите-членки вземат необходимите мерки, за да гарантират, че [търговките регистри] са оперативно съвместими и образуват електронна мрежа.“ Съгласно предложението и в това отношение всички останали подробни условия се определят в делегирани актове.

17.

С цел да се преодолеят опасенията по отношение на защитата на данните, предложението добавя в текста на трите директиви, които ще бъдат изменени, конкретен член относно защитата на данните, с който се изисква: „Обработката на лични данни в контекста на настоящата директива се извършва в съответствие с Директива 95/46/ЕО.“

18.

ЕНОЗД споделя становището на Комисията, че: i) използването на информационни и телекомуникационни технологии може да спомогне за повишаването на ефективността на сътрудничеството по отношение на търговските регистри; и ii) че увеличаването на достъпа до информацията в търговските регистри може да доведе до по-голяма прозрачност. Поради това той подкрепя целите на предложението. Неговите коментари следва да бъдат оценени от гледна точка на настоящия конструктивен подход.

19.

Същевременно ЕНОЗД подчертава още, че увеличеният достъп до лични данни води и до по-големи рискове за личните данни. Например, въпреки че правилната идентификация на даден представител на дружество може да се улесни, ако е посочен домашният му адрес, оповестяването може да има и отрицателни последици за правото на въпросното лице на защита на личните данни. Това се отнася особено за личните данни, до които се предоставя свободен достъп в цифров вид в интернет на много езици и чрез леснодостъпна европейска платформа/пункт за достъп.

20.

В недалечното минало личните данни от търговските регистри (например име, адрес и образец на подпис на директора) се оповестяваха пред обществеността върху хартиен носител и на местния език, често само след лично посещение на заявителя в местна служба по вписванията. Важно е да се отбележи, че това положение е качествено различно по отношение на публичното оповестяване на данни в цифров вид чрез национален електронен пункт за достъп. Публичното оповестяване на лични данни чрез леснодостъпна единна европейска платформа/пунктове за достъп още повече доразвива тази стъпка и допълнително увеличава достъпа до информация, както и рисковете за защитата на личните данни на засегнатите лица.

21.

Сред съществуващите рискове за неприкосновеността на личния живот (поради лесен достъп до данните в електронен вид в общ електронен пункт за достъп) са кражбата на самоличност и други противозаконни действия, както и рискът, оповестената информация да може да бъде неправомерно извлечена и да се използва от дружества за търговски цели, които първоначално не са били предвидени, след профилиране на въпросното лице. Без подходящи защитни мерки информацията може също да бъде продадена на други лица или съчетана с друга информация и да бъде препродадена на правителства, които да я използват за цели, които не са свързани и оповестени (например за прилагане на законодателство за данъчно облагане или други наказателноправни или административни разследвания) без съответно правно основание (16).

22.

По тези причини трябва да се направи внимателна оценка какви лични данни следва да се предоставят чрез общата европейска платформа/пункт за достъп и какви допълнителни мерки за защита на личните данни следва да се прилагат, включително технически мерки за ограничаване на възможностите за търсене или изтегляне и за извличане на закономерности от данни.

23.

Както е отбелязано в раздели 2.1 и 2.2 по-горе, предложените членове 3а и 4а от Директива 2009/101/ЕО са много общи и оставят много важни въпроси, които да бъдат разгледани в делегирани актове.

24.

Въпреки че ЕНОЗД признава необходимостта от гъвкавост и във връзка с това необходимостта от делегирани актове, той подчертава, че необходимите мерки за защита на данните са важни елементи, които следва да бъдат ясно и конкретно предвидени в текста на самото предложение за директива. Във връзка с това те не могат да се считат за „несъществени елементи“, които могат да се включат в последващи делегирани актове, приети съгласно член 290 от Договора за функционирането на Европейския съюз.

25.

Поради това ЕНОЗД препоръчва разпоредбите относно защитата на данните в предложението да бъдат по-конкретни и да не се свеждат само до позоваване на Директива 95/46/ЕО (вж. раздели 3.4—3.13). Впоследствие в делегирани актове могат да бъдат включени допълнителни разпоредби относно прилагането на конкретни защитни мерки въз основа на консултация с ЕНОЗД и — когато е целесъобразно — с националните органи за защита на данните (вж. раздели 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 и 3.13 по-долу).

26.

В предложението не само не се посочва нищо за основните мерки за защита на данните, но също така то оставя нерешени въпроси и в други аспекти. По-специално в делегирани актове остава да бъдат определени важни елементи за това как би трябвало да се осъществява предложеното: i) взаимно свързване на търговските регистри; и ii) публичното оповестяване на данните.

27.

Яснотата по тези други важни елементи на предложението е необходима предпоставка за приемането на адекватни мерки за защита на данните. Поради това ЕНОЗД препоръчва тези важни елементи да бъдат определени в самото предложение за директива (вж. раздели 3.4 и 3.5 по-долу).

28.

Понастоящем предложението оставя нормите относно управлението, администрирането, функционирането и представляването на електронната мрежа да бъдат определени в делегирани актове (17).

29.

Въпреки че в оценката на въздействието и обяснителния меморандум се определят някои форми на взаимодействие с ИСВП и портала за електронно правосъдие, текстът на предложението за директива предоставя възможности за различни варианти, чрез които да се осъществят някои или всички форми на взаимодействие, включително ново разработване на ЕТР, използване на ИСВП за някои видове обмен на данни и/или използване на портала за електронно правосъдие като платформа/пункт за достъп за предоставяне на информация от търговските регистри на обществеността.

30.

Не се изключват и други възможности, като например издаване на обявление за търг за възлагане на правото на проектиране и поддържане на електронната мрежа или пряко участие на Комисията в проектирането и поддържането на системата. Представители на държавите-членки също могат да участват в управленската структура на електронната мрежа.

31.

Освен това, въпреки че в настоящия си вид предложението предвижда „единна европейска електронна платформа“ (подчертава се), не се изключва възможността текстът да може да бъде изменен по-късно, в процеса на законодателната процедура, с цел да се предвиди по-децентрализирана структура.

32.

ЕНОЗД отбелязва също, че въпреки че настоящото предложение не засяга конкретно въпроса за взаимното свързване на търговските регистри с други бази данни (като например с поземлените регистри или гражданските регистри), това със сигурност е техническа възможност и нещо, което вече се осъществява в някои държави-членки (18).

33.

Изборът на една или друга от тези възможности може да доведе до напълно различна структура на управление на електронната мрежа и на електронното средство, което да се използва за публично оповестяване. Това от своя страна води до различни роли и отговорности на участващите страни, което поражда и различни роли и отговорност от гледна точка на защитата на данните.

34.

Във връзка с това ЕНОЗД подчертава, че при всеки случай, в който се обработват лични данни, е изключително важно да се определи кой е администраторът на личните данни. Това беше подчертано и в Становище № 1/2010 от 16 февруари 2010 г. на Работната група за защита на личните данни по член 29 относно понятията „администратор на лични данни“ и „обработващ лични данни“ (19). Основната причина, поради която ясното и недвусмислено определяне на администратора е толкова важно, е че той решава кой ще отговаря за спазването на правилата за защитата на данните и също така може да определя кой закон се прилага (20).

35.

Както се посочва в становището на Работната група по член 29, „[а]ко не е достатъчно ясно от кого и какво се изисква — например никой не е отговорен за възможността да има много администратори — има очевидна опасност, че твърде малко ще се случи, ако изобщо се случи нещо, и че законовите разпоредби ще останат неефективни“.

36.

ЕНОЗД подчертава, че яснотата е особено необходима в случаи, когато в отношения на сътрудничество са ангажирани няколко участници. Често такива са случаите с информационните системи на ЕС, използвани за обществени цели, когато целта на обработването се определя от правото на ЕС.

37.

Поради тези причини ЕНОЗД препоръчва в контекста на самото предложение за директива да се установи по конкретен, ясен и недвусмислен начин:

38.

От гледна точка на защитата на данните тези уточнения също следва да бъдат конкретни и недвусмислени, с цел въз основа на предложената директива да се установи дали даден участник следва да се счита за администратор на лични данни или за обработващ лични данни.

39.

Както проличава от настоящото предложение като цяло, по принцип предложението следва да окаже ясен принос за установяването на това, органите, които водят търговски регистри, както и операторът/ите на системата да се считат за администратори на лични данни по отношение на своите дейности. Във връзка с това предвид факта, че понастоящем предложението не описва управленската структура и не определя кой ще бъде оператор на електронната система, не може да се изключи възможността някои от субектите, които в крайна сметка ще управляват системата на практика, да действат като обработващи лични данни, а не като администратори на лични данни. Такива случаи може да има особено когато дейността е възложена на външна трета страна, която ще действа при строги инструкции. Във всеки случай изглежда все още има много администратори на лични данни, поне по един във всяка държава-членка: органите, които водят търговските регистри. Фактът, че е възможно други (частни) организации да участват като оператори, „разпространители“ или по друг начин, не променя този аспект. Във всеки случай това следва да бъде конкретизирано в предложената директива, с цел да се гарантират яснота и правна сигурност.

40.

Не на последно място предложението следва да описва по-конкретно и по-широкообхватно и задълженията, които произтичат от тези роли. Например ролята на оператора/ите в гарантирането, че системата е проектирана така, че да защитава неприкосновеността на личния живот, както и неговата/тяхната координационна роля по отношение на въпросите за защита на личните данни следва да бъдат включени в предложението.

41.

ЕНОЗД отбелязва, че тези разяснения ще бъдат важни и за установяване кои са компетентните надзорни органи за защита на данните и за кои видове обработване на лични данни.

42.

Изглежда електронната мрежа в настоящия си вид не е предвидена така, че цялата информация, която се съдържа във всеки търговски регистър, да бъде автоматично достъпна за всички други търговски регистри във всички останали държави-членки: в предложението се изисква само взаимното свързване и оперативната съвместимост на търговските регистри и във връзка с това се предвиждат условия, които да позволяват обмен на информация и достъп в бъдеще. С цел да се гарантира правна сигурност, в предложението следва да се изясни дали това разбиране е правилно.

43.

Освен това в предложението не се посочва и това какви потоци от данни и процедури за административно сътрудничество могат да се осъществяват чрез взаимно свързаните търговски регистри (21). ЕНОЗД разбира, че вероятно е необходима известна гъвкавост, с цел да се гарантира, че нуждите, които може да възникнат в бъдеще, могат да бъдат удовлетворени. Предвид посоченото, ЕНОЗД счита, че е важно в предложението да бъде уточнена рамката за потоците от данни и процедурите за административно сътрудничество, които могат да се осъществяват в бъдеще при използването на електронната система. Това е изключително важно, с цел да се гарантира, че: i) всеки обмен на данни ще се извършва със стабилно правно основание; и че ii) са предвидени адекватни мерки за защита на данните.

44.

ЕНОЗД счита, че всеки обмен на данни или друга дейност за обработка на данни при използване на електронната мрежа (например публично оповестяване на лични данни чрез общата платформа/пункта за достъп) следва да се основава на задължителен акт на ЕС, приет със стабилно правно основание. Това следва да бъде ясно посочено в предложената директива (22).

45.

Освен това в предложението се предвижда в делегирани актове да бъдат решени следните въпроси (23):

46.

По отношение на първото и второто тире ЕНОЗД счита, че в предложената директива следва да бъдат предвидени някои важни защитни мерки (вж. раздели 3.12 и 3.13 по-долу). Впоследствие допълнителните подробности могат да бъдат уточнени в делегирани актове.

47.

По отношение на автоматизирания обмен на данни ЕНОЗД изразява удовлетворение, че в предложението се изисква делегираните актове да предвиждат „определянето на стандартите за формата, съдържанието и параметрите на съхранението и извличането на обявяваните актове и вписваните данни с цел осигуряване на възможност за автоматизиран обмен на данни“.

48.

За да се постигне по-голяма яснота в това отношение, ЕНОЗД препоръчва в предложението за директива да се посочи ясно, че електронната мрежа осигурява възможност: i) за специфичен ръчен обмен на данни между търговските регистри за всеки отделен случай (както се предвижда в акт на ЕС в случаи на сливане или преместване на седалището); и ii) за автоматизирано предаване на данни (както се предвижда в акт на ЕС в случай на актуализиране на информация в регистъра за чуждестранните клонове).

49.

С цел допълнително да се постигне по-голяма яснота ЕНОЗД препоръчва също предложеният текст за съответния член 4а, параграф 3, буква и) от Директива 2009/101/ЕО да бъде изменен, за да се гарантира, че: i) делегираните актове ще обхващат напълно както ръчния, така и автоматизирания обмен на данни; и ii) ще бъдат обхванати всички дейности за обработване, които могат да бъдат свързани с лични данни (не само съхранение и извличане); и че iii) конкретни разпоредби за защита на данните в делегираните актове също ще гарантират практическото приложение на съответните мерки за защита на данните.

50.

Като пример член 4а, параграф 3, буква и) би могъл да бъде изменен и да гласи както следва:

51.

Като предварителна забележка ЕНОЗД подчертава, че макар имената (и евентуално други данни, например домашните адреси) на представителите на дружествата (и на други лица, участващи в управлението на дружествата) несъмнено да са най-очевидните лични данни, които могат да бъдат обработвани чрез електронната мрежа и/или оповестявани публично чрез общата електронна платформа/пункт за достъп, те в никакъв случай не са единственият вид лични данни, които се съхраняват в търговските регистри.

52.

На първо място, някои от документите, изброени в член 2 на Директива 2009/101/ЕО (например учредителния акт, устава и счетоводните документи), може също да съдържат лични данни на други лица. Тези данни могат да бъдат следните, наред с останалите: имена, адреси, евентуално единни граждански номера и дати на раждане и дори сканирани ръчно положени подписи, на различни лица, включително лица, които са основали дружеството, акционери в дружествата, адвокати, счетоводители, служители или нотариуси.

53.

Второ, данни за дружества, когато са свързани с името на дадено лице (например директор), също може да се считат за лични данни, свързани с това лице. Например, ако данните от търговския регистър показват, че дадено лице е в борда на директорите на дружество, което е процес на ликвидация, тази информация също има отношение към това лице.

54.

За да се осигури яснота относно това какви лични данни се обработват, както и да се гарантира, че обхватът на обработваните данни е пропорционален на целта на предложението, ЕНОЗД препоръчва поясненията, представени по-долу в настоящия раздел 3.7.

55.

В член 2 от Директива 2009/101/ЕО не се определя какви „данни“ на засегнатите лица (представители на дружества и други лица, участващи в управлението на дружествата) се изисква да бъдат оповестени.

56.

Действително, различните езикови версии на предложението показват значителни различия дори по отношение на превода на израза „данни на лица“ (particulars of persons). Например на френски изразът е „l’identité des personnes“ (т.е. самоличност на лицата), на италиански „le generalità delle persone“ (т.е. лични данни като име и фамилия), на унгарски „személyek adatai“ (т.е. данни за лицата), на нидерландски „de identiteit van de personen“ (т.е. самоличност на лицата) и на румънски „identitatea persoanelor“ (т.е. самоличност на лицата).

57.

Освен това в някои държави-членки домашните адреси на директорите на дружества и/или на други лица, като например някои акционери, редовно се оповестяват публично в интернет. В някои държави-членки тази информация се съхранява като поверителна в търговските регистри, на които се предоставя информацията по съображения за поверителност, включително поради опасения от кражба на самоличност.

58.

ЕНОЗД препоръчва член 2 от Директива 2009/101/ЕО да бъде изменен, с цел да се изясни какви — ако има такива — лични данни освен имената на засегнатите лица (представители на дружества или други лица, участващи в управлението на дружеството) се изисква да бъдат оповестени. В този процес следва да се разгледа внимателно необходимостта от прозрачност и точна идентификация на тези лица, но също така трябва да се намери подходящият баланс с други важни съображения, като например необходимостта от защита на неприкосновеността на личния живот на засегнатите лица (24).

59.

В случай че не се постигне съгласие поради различните национални практики, член 2 следва да бъде изменен поне така че да изисква да се оповестява „пълното име на засегнатите лица и — ако това се изисква изрично съгласно националното право — други необходими данни за тяхната идентификация“. Така ще бъде ясно, че в националното законодателство всяка държава-членка трябва да вземе решение какви — ако изобщо има такива — „данни за лицето“ освен имената следва да се оповестяват и че се изисква допълнителните лични данни да се оповестяват единствено ако това е необходимо за идентификацията на съответните лица.

60.

Също така и предвид факта, че в член 2 се изброява „минималната информация“, а не се хармонизира изцяло съдържанието на търговските регистри в цяла Европа, изразът „данни на лицата“ може просто да бъде заменен с израза „пълните имена на лицата“. След това отново всяка държава-членка взема решение каква — ако има такава — допълнителна информация желае да се оповестява.

61.

С член 2 от Директива 2009/101/ЕО се изисква и оповестяване на информация за лицата, които участват в „управлението, надзора или контрола на дружеството“. При тази широка формулировка не е напълно ясно дали се изисква да се оповестява информация за акционерите, по-специално информация за акционерите, които имат: i) значителен, влиятелен или контролиращ дял над определен праг; или ii) поради притежанието на златни акции, специфични договорни споразумения или по друг начин имат действителен контрол/влияние върху дружеството.

62.

ЕНОЗД разбира, че е необходима широка формулировка, за да се обхване голямото разнообразие от корпоративни управленски структури, които съществуват понастоящем при дружествата с ограничена отговорност в различните държави-членки. Във връзка с това правната сигурност на категориите лица, чиито лични данни могат да бъдат оповестени, е важна от гледна точка на защитата на данните. Поради това ЕНОЗД препоръчва член 2 от Директива 2009/101/ЕО да бъде изменен, с цел да се изясни какви — ако има такива — лични данни на акционерите се изисква да бъдат оповестени. Успоредно с това трябва да се извърши анализ на пропорционалността съгласно дело Schecke (както беше посочено по-горе).

63.

Въпреки че в предложението не се изисква обмен или публично оповестяване на лични данни над минималните изисквания, посочени в член 2 от Директива 2009/101/ЕО, това не изключва възможността държавите-членки, ако желаят да направят това, да изискват техните органи, които водят търговски регистри, да обработват или да разкриват други лични данни, както и да осигуряват достъп до тези данни чрез общата европейска платформа/пункт за достъп и/или да обменят данните с органи, които водят търговски регистри в други държави-членки.

64.

Въпросът по отношение на „черните списъци“ е много чувствителен. В някои държави електронният регистър функционира de facto и като вид „черен списък“ и е достъпен за търсене от трета страна чрез електронен портал за информация относно представители на дружества, чиято дейност е била забранена.

65.

С цел да се засегне този въпрос, ЕНОЗД препоръчва в предложението да се изясни дали и до каква степен държавите-членки евентуално могат да оповестяват публично повече информация чрез общия портал и/или евентуално взаимно да обменят повече информация въз основа на своите национални закони, ако решат да направят това. В такъв случай строгата оценка на пропорционалността (вж. дело Schecke, цитирано по-горе) следва да се основава на националното законодателство и също така да бъдат взети под внимание съображенията, свързани с целите на вътрешния пазар.

66.

Освен това ЕНОЗД предлага прилагането на тези правомощия да се обвърже с роля, която да изпълняват националните органи по защита на данните, например чрез консултации.

67.

И накрая ЕНОЗД подчертава, че ако трябва да се предвиди европейска схема, която изрично да изисква такива „черни списъци“, това трябва да бъде посочено конкретно в предложението за директива (25).

68.

ЕНОЗД препоръчва в предложената директива изрично да се посочва, че във всички случаи, когато публично се оповестяват и се обменят по друг начин лични данни между търговски регистри, следва да се предвидят защитни мерки, по-специално срещу събиране на данни, извличане на закономерности от данни, съчетаване на данни и търсене извън рамките на целта, за да се гарантира, че с личните данни, които се предоставят за целите на прозрачността, няма да се злоупотребява за допълнителни, несвързани цели (26).

69.

ЕНОЗД специално подчертава необходимостта още при проектирането да се обмислят технологични организационни мерки, съобразени с принципа за защита на личния живот (вж. раздел 3.14 по-долу). Практическото приложение на тези мерки може да бъде определено в делегирани актове. Принципите обаче следва да бъдат установени в самото предложение за директива.

70.

ЕНОЗД препоръчва предложената директива да съдържа конкретна разпоредба, изискваща информацията съгласно членове 10 и 11 от Директива 95/46/ЕО (и съответните разпоредби на Регламент (ЕО) № 45/2001, ако е приложимо) да се предоставя на субектите на данни по ефективен и всеобхватен начин. Освен това и в зависимост от структурата на управление, която ще се договори, както и от ролите и отговорностите на различните участващи страни, предложената директива може да съдържа изричното изискване операторът на системата да възприеме активна роля при предоставянето на уведомления и друга информация на субектите на данни на своя уебсайт, както и „от името на“ органите, които водят търговските регистри. Допълнителните подробности могат да бъдат включени в делегирани актове, ако е необходимо, или да бъдат определени в политика за защита на данните.

71.

В предложението следва да бъде включено поне позоваване на изискването за разработване на условия на споразумение (в делегирани актове), така че субектите на данни да могат да се възползват от своите права. Също така следва да се посочи възможността за създаване на модул за защита на данните, както и възможността за решения по отношение на защитата на личния живот още при проектирането за сътрудничество между органите относно правата на достъп, както и „оправомощаване на субектите на данни“, когато е целесъобразно.

72.

Предвид факта, че е възможно Комисията или друга институция/друг орган на ЕС също да обработват лични данни в електронната мрежа (например действайки като оператор на мрежата или чрез извличането на лични данни от нея), следва да се включи позоваване и на Регламент (ЕО) № 45/2001.

73.

Също така следва да бъде изяснено, че Директива 95/46/ЕО се прилага по отношение на органите, които водят търговски регистри, както и на други лица, които действат съобразно своето националното законодателство в държавите-членки, а Регламент (ЕО) № 45/2001 се прилага по отношение на Комисията и други институции и органи на ЕС.

74.

По отношение на предаването на лични данни от страна на органите, които водят търговски регистри в ЕС, на органите, които водят търговски регистри в трета държава, която не осигурява адекватно равнище на защита на личните данни, на първо място ЕНОЗД подчертава, че е важно двете ситуации да се разграничат:

75.

В първия случай член 26, параграф 1, буква е) от Директива 95/46/ЕО позволява дерогация, когато „предаването се извършва от [публичен] регистър“, като се спазват определени условия. Например, ако органът, който води търговски регистър в европейска държава, иска да предаде определен набор от лични данни (например във връзка с регистрацията на чуждестранни клонове) на органа, който води търговски регистър в трета държава, и същите данни вече са достъпни за обществеността, предаването следва да бъде възможно във всеки случай дори ако въпросната трета държава не осигурява адекватно равнище на защита.

76.

Във втория случай ЕНОЗД препоръчва в предложението да се уточни, че предаването на данни, които не са достъпни за обществеността, може да се извършва само на организации или лица в трета държава, която не осигурява достатъчна степен на защита, при условие че администраторът предоставя достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на лицата и по отношение на упражняването на съответните права. В частност тези гаранции могат да произтичат от съответни договорни клаузи, действащи съгласно член 26, параграф 2 от Директива 95/46/ЕО (27). В случаите, когато на трети държави редовно се предават данни, които присъстват в търговски регистри в две или повече държави-членки на ЕС, или когато по друг повод е необходимо действие на равнище ЕС, преговорите за договорни клаузи може също да се извършат на равнище ЕС (член 26, параграф 4).

77.

ЕНОЗД подчертава, че други дерогации като тази, според която (член 26, параграф 1, буква г) „предаването е необходимо или изисквано от закона по съображения от важен обществен интерес или за установяването, упражняването или защитата на правото на иск“, не следва да се използват за обосноваване на редовно предаване на данни на трети държави при използване на електронната мрежа.

78.

ЕНОЗД препоръчва в предложението изрично да се посочи и да се установи начин за прилагане на принципа на отчетност (28), както и да се създаде ясна рамка за подходящи вътрешни механизми и системи за контрол, с цел да се гарантира спазване на правилата за защита на данните и да се предоставят доказателства за това, като например:

79.

По отношение на защитата на личния живот още при проектирането (29) е необходимо този принцип да бъде изрично посочен в предложението, а ангажиментът следва да се осъществи чрез конкретни действия. По-специално чрез предложението следва да се гарантира, че електронната мрежа е изградена по безопасен и надежден начин, така че по подразбиране да съдържа широк набор от мерки по отношение на неприкосновеността на личния живот. Няколко възможни примера за мерки по отношение на защитата на личния живот още при проектирането:

80.

ЕНОЗД подкрепя целите на предложението. Неговите коментари следва да бъдат оценени от гледна точка на настоящия конструктивен подход.

81.

ЕНОЗД подчертава, че необходимите мерки за защита на данните следва да бъдат ясно и конкретно предвидени директно в самата директива, тъй като ги счита за съществени елементи. Впоследствие допълнителните разпоредби относно изпълнението на конкретните мерки могат да бъдат определени в делегирани актове.

82.

Въпросите на управлението, ролите, компетентността, както и отговорностите трябва да бъдат засегнати в предложението за директива. Във връзка с това в предложението за директива трябва да бъде установено:

83.

Всяка дейност за обработване на данни, при която се използва електронната мрежа, следва да се основава на задължителен правен инструмент, като например специфичен акт на Съюза, приет със стабилно правно основание. Това следва да бъде посочено ясно в предложението за директива.

84.

Разпоредбите относно приложимото право следва да бъдат изяснени и да включват позоваване на Регламент (ЕО) № 45/2001.

85.

По отношение на предаването на лични данни на трети държави в предложението следва да се пояснява, че по принцип, и с изключение на случаите, попадащи в приложното поле на член 26, параграф 1, буква е) от Директива 95/46/ЕО, данни могат да се предават на организации или лица в трета държава, която не осигурява достатъчна степен на защита, само при условие че администраторът предоставя достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на лицата и по отношение на упражняването на съответните права. В частност тези гаранции могат да произтичат от съответни договорни клаузи, действащи съгласно член 26 от Директива 95/46/ЕО.

86.

Също така Комисията следва внимателно да оцени какви технически и организационни мерки да предприеме, с цел да гарантира, че неприкосновеността на личния живот и защитата на данните са „вградени“ в архитектурата на електронната мрежа („защита на личния живот още при проектирането“) и че са въведени адекватни мерки за контрол, с цел да се гарантира спазване на правилата за защита на данните и да се предоставят доказателства за това („отчетност“).

87.

Други препоръки на ЕНОЗД са: