EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0923(03)

Становище на Европейския надзорен орган по защита на данните относно предложението за регламент на Европейския парламент и на Съвета относно интегритета и прозрачността на енергийния пазар

OJ C 279, 23.9.2011, p. 20–27 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

23.9.2011   

BG

Официален вестник на Европейския съюз

C 279/20


Становище на Европейския надзорен орган по защита на данните относно предложението за регламент на Европейския парламент и на Съвета относно интегритета и прозрачността на енергийния пазар

2011/C 279/03

ЕВРОПЕЙСКИЯТ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ,

като взе предвид Договора за функционирането на Европейския съюз, и по-специално член 16 от него,

като взе предвид Хартата на основните права на Европейския съюз, и по-специално членове 7 и 8 от нея,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на физическите лица при обработването на лични данни и за свободното движение на тези данни (1),

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на физическите лица по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (2), и по-специално член 41 от него,

ПРИЕ СЛЕДНОТО СТАНОВИЩЕ:

I.   ВЪВЕДЕНИЕ

1.

На 8 декември 2010 г. Европейската комисия прие предложение за регламент на Европейския парламент и на Съвета относно интегритета и прозрачността на енергийния пазар (3) („предложението“).

2.

Комисията не се консултира с ЕНОЗД, въпреки че това се предвижда в член 28, параграф 2 от Регламент (ЕО) № 45/2001. Действайки по своя собствена инициатива, ЕНОЗД приема настоящото становище въз основа на член 41, параграф 2 от този регламент. ЕНОЗД осъзнава, че тази препоръка се отправя на късен етап от законодателния процес, но въпреки това счита, че е уместно и полезно да издаде настоящото становище, имайки предвид значителното потенциално въздействие на предложението върху правото на неприкосновеност на личния живот и върху защитата на личните данни. В преамбюла на предложението следва да бъде включено позоваване на настоящото становище.

3.

Основната цел на предложението е предотвратяване на манипулирането на пазара и на търговията с вътрешна информация на пазарите за търговия на едро с енергия (газ и електроенергия). Интегритетът и прозрачността на пазарите на едро, където се извършва търговия с газ и електроенергия между енергопроизводители и търговци, са ключови за крайните потребителски цени.

4.

С оглед на това предложението има за цел установяване на обстойни правила на ниво ЕС за предотвратяване на използването на вътрешна информация от страна на търговците в собствена изгода и на манипулирането на пазара чрез изкуствено повишаване на цените над нивата, обусловени от наличностите, производствените разходи, капацитета за съхранение или за пренос на енергия. По-специално предложените правила забраняват следното:

използване на вътрешна информация при продажбата или закупуването на енергия на ниво пазар на едро; ексклузивна и ценоопределяща информация следва да бъде оповестявана преди осъществяването на търговската сделка,

транзакции, даващи погрешни или подвеждащи сигнали за предлагането, търсенето или цените на продукти, търгувани на пазара за търговия на едро с енергия, и

разпространяването на погрешни сведения или спекулативна информация, даващи подвеждащи сигнали за тези продукти.

5.

Наблюдението на пазара на европейско ниво с цел разкриване на евентуални нарушения на тези забрани е отговорност на Европейската агенция за сътрудничество между енергийните регулатори (ACER) (4).

6.

Според предложението ACER ще разполага със своевременна информация за транзакциите, осъществявани на пазарите за търговия на едро с енергия. Това включва информация за цените, продадените количества и участващите страни. Този обем от данни ще бъде предоставен и на националните регулатори, които след това ще бъдат отговорни за разследване по подозрения за злоупотреба. В случаи с трансгранично влияние ACER ще разполага с правомощия за координиране на разследванията. Националните регулаторни органи в държавите-членки ще налагат санкции.

7.

Предложението следва няколко други разработени неотдавна законодателни предложения с оглед укрепване на съществуващите споразумения за финансов надзор и подобряване на координацията и сътрудничеството на ниво ЕС, включително директивата относно търговията с вътрешна информация и манипулирането на пазара (ДПЗ) (5), както и директивата относно пазарите на финансови инструменти (ДПФИ) (6). Неотдавна ЕНОЗД коментира друго от последните предложения (7).

II.   КОМЕНТАРИ И ПРЕПОРЪКИ НА ЕНОЗД

8.

Предложението съдържа няколко разпоредби, свързани със защитата на личните данни:

членове 6—8 относно наблюдението и отчитането на пазарните процеси,

член 9 относно „защитата на данните и оперативната надеждност“,

членове 10 и 11 относно разследването и правоприлагането, и

член 14 относно „взаимоотношенията с трети държави“.

II.1.   Наблюдение и отчитане на пазарните процеси (членове 6—8)

Съответни разпоредби

9.

Предложението се основава на предпоставката, че за установяването на пазарна злоупотреба: i) е необходимо наличието на ефективно функционираща система за наблюдение на пазара с навременен достъп до пълни данни за транзакциите; както и че ii) това следва да включва наблюдение на ниво ЕС. По тази причина предложеният регламент предвижда ACER да събира, разглежда и споделя (със съответните национални органи и органи на ЕС) голям обем данни от пазарите за търговия на едро с енергия.

10.

По-специално предложеният регламент изисква участниците на пазара да предоставят на ACER „регистри на своите транзакции“ с енергийни продукти на едро. В допълнение към регистрите на транзакциите участниците на пазара трябва да предоставят на ACER информация, свързана с „капацитета на съоръженията за производство, съхранение, потребление или пренос на електроенергия или природен газ“.

11.

Форматът, съдържанието и сроковете за предоставяне на информацията ще бъдат регламентирани в делегирани актове на Комисията.

Коментари и препоръки на ЕНОЗД

12.

Като се има предвид, че в предложението се предвижда съдържанието на информацията, която се събира в рамките на настоящата процедура на наблюдение и докладване, да се определи изцяло от делегираните актове, не е изключено използването на лични данни — т.е. всяка информация, свързана с физическо лице с установена или подлежаща на установяване самоличност (8). Съгласно действащото законодателство на ЕС това е допустимо единствено когато е необходимо и уместно за дадена конкретна цел (9). В този смисъл предложеният регламент следва ясно да посочва дали и до каква степен регистрите на транзакциите и подлежащата на събиране за целите на наблюдението информация за капацитета могат да съдържат някакви лични данни (10).

13.

В случай че се предвижда обработка на лични данни, могат да се изискват специфични гаранции — например по отношение на ограничение на предназначението, периода на съхранение и потенциалните получатели на информацията. Като се има предвид тяхната значимост, тези гаранции за защита на данните следва да бъдат непосредствено заложени в текста на предложения регламент, а не в делегираните актове.

14.

Ако напротив, не се очаква обработка на лични данни (или такава обработка ще се извършва по изключение и само в редките случаи, когато търговецът на енергия на едро е физическо, а не юридическо лице), това следва да се посочи ясно в предложението, най-малко в рамките на съображение.

II.2.   Защита на данните и оперативна надеждност (член 9)

Съответни разпоредби

15.

В член 9, параграф 1 се изисква ACER да „осигури поверителност, интегритет и защита“ на информацията, която получава по силата на член 7 (а именно регистри на транзакциите и информация за капацитета, събирана в рамките на процедурата за наблюдение на пазара). В член 9 се предвижда също така, „където е необходимо“, ACER „да спазва“ Регламент (ЕО) № 45/2001 при обработката на лични данни по силата на член 7.

16.

Освен това в член 9, параграф 1 се изисква също така ACER да „установи източници на оперативен риск и да ги сведе до минимум чрез разработването на подходящи системи, контрол и процедури“.

17.

На последно място в член 9, параграф 2 се позволява ACER да публикува части от информацията, която притежава, „при условие че не се оповестява поверителна търговска информация за отделни участници на пазара или за отделни транзакции“.

Коментари и препоръки на ЕНОЗД

18.

ЕНОЗД приветства факта, че член 9 е частично насочен към защита на данните и че предложеният регламент изрично изисква ACER да спазва Регламент (ЕО) № 45/2001.

а)   Приложимост на Регламент (ЕО) № 45/2001 и на Директива 95/46/ЕО

19.

С оглед на гореизложеното ЕНОЗД подчертава, че Регламент (ЕО) № 45/2001 е напълно приложим за ACER по силата на самия себе си във всички случаи на обработка на лични данни. По тази причина предложението следва да припомни, че Регламент (ЕО) № 45/2001 следва да е приложим за ACER не само при обработката на лични данни по силата на член 7, но и във всички други случаи: това е от изключителна важност и когато ACER обработва лични данни относно подозрения за пазарна злоупотреба/нарушения по силата на член 11. В допълнение, с цел по-голяма точност, ЕНОЗД препоръчва вместо понятието „където е уместно“ за описване на ситуации, в които ACER трябва да спазва Регламент (ЕО) № 45/2001, да се използва изразът „във всички случаи на обработка на лични данни“.

20.

Също така следва да се направи препратка към Директива 95/46/ЕО, като се отчете фактът, че тази директива е приложима за обработката на лични данни от съответните национални регулаторни органи. В действителност, с цел да се постигне по-голяма яснота, ЕНОЗД препоръчва предложеният регламент да споменава в общи линии (най-малко в рамките на съображение), че докато ACER подлежи на разпоредбите на Регламент (ЕО) № 45/2001, Директива 95/46/ЕО се прилага за съответните национални регулаторни органи.

б)   Отчетност

21.

ЕНОЗД приветства изискването ACER да установи и да сведе до минимум оперативните рискове чрез разработване на подходящи системи, контролни механизми и процедури. С оглед допълнително утвърждаване на принципа на отчетност (11) в случаите, когато обработката на лични данни играе структурна роля, предложеният регламент следва изрично да изисква ACER да изгради ясна рамка за отчетност, която да гарантира спазване на изискванията за защита на данните и да предоставя доказателства за това. Тази ясна рамка, изградена от ACER, следва да съдържа определен брой елементи, например:

приемане и актуализиране, според необходимостта, на политика за защита на данните въз основа на оценка на въздействието (която да включва също така оценка на риска за сигурността). Тази политика за защита на данните следва да съдържа също така план за сигурността,

провеждане на периодични одити за оценка на постоянната адекватност и на спазването на политиката за защита на данните (включително одитиране на плана за сигурност),

публикуване (поне частично) на резултатите от тези одити с цел постигане на увереност на заинтересованите страни по отношение на спазването на изискванията за защита на данните, и

уведомяване за нарушения по отношение на данните и за други инциденти, свързани със сигурността, на длъжностното лице за защита на данните от Комисията, засегнатите субекти на данни и, където е уместно, на други заинтересовани страни и органи (12).

22.

Аналогични изисквания следва да са приложими както за националните регулаторни органи, така и за други съответни органи на ЕС.

в)   Публикуване на информация от ACER

23.

По отношение на изискването по член 9, параграф 2, ACER да публикува части от информацията, с която разполага, ЕНОЗД разбира, че целта на тази разпоредба не е да упълномощи ACER да публикува данни с цел „посочване и порицаване“, както и да оповестява публично извършените от дружества и физически лица нередности.

24.

С оглед на изложеното по-горе предложението не съдържа информация дали съществува намерение за публично оповестяване на някакви лични данни. По тази причина, с цел да се избегнат всякакви съмнения, предложеният регламент следва или изрично да постанови, че публикуваната информация не следва да съдържа никакви лични данни, или да разясни какви лични данни, ако е приложимо, могат да бъдат оповестявани.

25.

В случай че се предвижда публикуване на някакви лични данни, необходимостта от оповестяване (например за целите на прозрачността) трябва да бъде внимателно отчетена и балансирана спрямо други приоритетни въпроси, като например необходимостта от защита на правата на въпросните физически лица на неприкосновеност на личния живот и на защита на личните данни.

26.

В този смисъл преди всяко оповестяване следва да се провежда оценка на пропорционалността, като се отчитат критериите, определени от Съда на Европейските общности в Schecke  (13). По това дело Съдът на Европейските общности е подчертал, че дерогации и ограничения във връзка със защитата на личните данни трябва да се прилагат само доколкото това е абсолютно необходимо. В допълнение към това Съдът на Европейските общности е счел, че европейските институции следва да проучат различни методи за публикуване с цел намиране на този, който съответства на целта на публикацията, като същевременно с това в най-малка степен засяга правата на субектите на данни на неприкосновеност на личния живот и на защита на личните данни.

II.3.   Правомощия за разследване (член 10)

Съответни разпоредби

27.

В случаите, когато съществуват подозрения за пазарна злоупотреба, предложението предвижда наблюдението на пазара да бъде последвано от разследване, както и възможността това да доведе до налагане на подходящи санкции. По-специално член 10, параграф 1 изисква държавите-членки да предоставят на националните регулаторни органи нужните правомощия за разследване, за да се гарантира прилагането на разпоредбите на регламента относно търговията с вътрешна информация и манипулирането на пазара (14).

Коментари и препоръки на ЕНОЗД

28.

ЕНОЗД приветства уточнението в член 10, параграф 1, че: i) правомощията за разследване се упражняват (само) за да се гарантира прилагането на разпоредбите на регламента относно търговията с вътрешна информация и манипулирането на пазара (членове 3 и 4); и ii) тези правомощия се упражняват по пропорционален начин.

29.

С оглед на изложеното по-горе предложението следва да се прецизира, за да се гарантира правна сигурност и достатъчно ниво на защита на личните данни. Както ще бъде изложено по-долу, предложеният текст на член 10 е свързан с два основни проблема. Първо, член 10 не посочва достатъчно ясно обхвата на пълномощията за разследване; например не е достатъчно ясно дали могат да се изискват записи на лични телефонни разговори и дали могат да бъдат извършвани проверки на място в частни домове. Второ, член 10 също не предвижда нужните процедурни гаранции срещу риска от неоснователно навлизане в личното пространство или злоупотреба с лични данни; например той не изисква разпореждане от съдебен орган.

30.

Както обхватът на правомощията за разследване, така и нужните гаранции вероятно се очаква да бъдат уточнени от националното право. На практика член 10, параграф 1 предлага на държавите-членки редица възможности за избор, като предвижда възможността правомощията за разследване „да се упражняват: а) пряко; б) в сътрудничество с други органи или пазарни предприятия; или в) чрез обръщане за съдействие към компетентните съдебни органи“. Това изглежда позволява отклонения в националните практики, например относно това дали и при какви обстоятелства ще се изисква разпореждане от съдебен орган.

31.

Макар и да е възможно някои национални закони вече да предвиждат достатъчни процедурни гаранции и гаранции за защита на данните, за да бъде осигурена правна сигурност на субектите на данни, в предложения регламент следва да се направят някои разяснения и да се установят някои минимални изисквания на ниво ЕС относно процедурните гаранции и гаранциите за защита на данните, както ще бъде изложено по-долу.

32.

Като основен принцип ЕНОЗД подчертава, че когато законодателството на ЕС изисква държавите-членки да предприемат на национално ниво мерки, оказващи въздействие върху основни права (като правото на неприкосновеност на личния живот и правото на защита на личните данни), следва законодателството също така да изисква предприемането на ефективни мерки едновременно с рестриктивните мерки с цел гарантиране защитата на изложени на риск основни права. С други думи, хармонизирането на потенциално нарушаващите неприкосновеността на личния живот мерки, като например пълномощия за разследване, следва да бъде съпътствано от хармонизирането на адекватни процедурни гаранции и гаранции за защита на данните въз основа на най-добри практики.

33.

Такъв подход може да допринесе за предотвратяването на прекалено големи отклонения на национално ниво и да гарантира по-високо и по-уеднаквено ниво на защита на личните данни в целия Европейски съюз.

34.

Ако на този етап хармонизирането на минималните гаранции не е осъществимо на едно минимално равнище, ЕНОЗД препоръчва предложеният регламент изрично да изисква държавите-членки да приемат национални мерки за прилагане, с цел да се осигурят нужните процедурни гаранции и гаранциите за защита на данните. Това е от още по-голямо значение, като се има предвид, че избраната форма на правния инструмент е регламент, който е пряко приложим и като общо правило не изисква непременно допълнителни мерки за прилагане в държавите-членки.

II.4.   Проверки на място (член 10, параграф 2, буква в))

Съответни разпоредби

35.

Предложението изисква предоставяните на националните регулаторни органи правомощия за разследване изрично да включват правомощието за провеждане на проверки на място (член 10, параграф 2, буква в)).

Коментари и препоръки на ЕНОЗД

36.

Липсва яснота по въпроса дали тези проверки ще бъдат ограничени до фирмено имущество (помещения, земи и превозни средства) на отделен участник на пазара или могат да бъдат извършвани също така в частно имущество (помещения, земи и превозни средства) на физически лица. Също толкова неясно е и дали проверките могат да се извършват също така без предварително предупреждение („внезапни проверки“).

37.

Ако Комисията предвижда изискването държавите-членки да упълномощават регулаторните органи да извършват проверки на място на частно имущество на физически лица или да извършват внезапни проверки, това преди всичко следва да бъде ясно формулирано.

38.

На второ място, ЕНОЗД подчертава също така, че пропорционалността на проверките на място в частно имущество (като например в частни домове на физически лица) далеч не е самоподразбираща се и — ако се предвижда — следва да бъде изрично обоснована.

39.

На трето място, в случая ще са необходими допълнителни гаранции, по-специално по отношение на условията, въз основа на които могат да бъдат извършвани такива проверки. Например освен всичко останало предложението следва да посочва, че проверка на място може да бъде извършвана в дома на физическо лице само ако съществуват основателни и конкретни подозрения за наличието на доказателства в този дом, които могат да докажат сериозно нарушение на членове 3 или 4 от регламента (т.е. разпоредбите относно забраната за търговия с вътрешна информация и за манипулиране на пазара). От съществено значение е предложението също така да изисква съдебно разпореждане във всички държави-членки (15).

40.

На четвърто място, с цел осигуряване на пропорционалност и предотвратяване на прекомерна намеса в личния живот, внезапните проверки в частни домове следва да подлежат на допълнителното условие, че в случай на предварително обявено посещение е възможно доказателствата да бъдат унищожени или подправени. Това следва ясно да се предвиди в предложения регламент.

II.5.   Правомощия за изискване на „съществуващи записи на телефонни разговори и обменяни данни“ (член 10, параграф 2, буква г))

Съответни разпоредби

41.

В член 10, параграф 2, буква г) се изисква правомощията на националните регулаторни органи изрично да включват също така правомощието за „изискване на съществуващи записи на телефонни разговори и обменяни данни“.

Коментари и препоръки на ЕНОЗД

42.

ЕНОЗД признава стойността на записите на телефонни разговори и обменяни данни в случаите на търговия с вътрешна информация, особено с цел установяване на връзки между осведомителите и търговците. С оглед на гореизложеното обхватът на това правомощие не е достатъчно изяснен, нито пък са предвидени подходящите процедурни гаранции и гаранциите за защита на данните. По тази причина ЕНОЗД препоръчва предложението да бъде изяснено, както е представено по-долу. По-специално следва да бъдат разгледани следните въпроси:

а)   Какъв вид записи на телефонни разговори и обменяни данни могат да бъдат изисквани?

43.

С цел постигане на правна сигурност в предложението следва да се изяснят най-напред всички видове записи, които органите могат да изискват при необходимост.

44.

В предложението следва изрично да се ограничи обхватът на правомощията за разследване до: i) съдържанието на записи на телефонни разговори, електронна поща и друг вид обменяни данни, които вече рутинно и законно се събират от търговците в хода на бизнес дейността като доказателства за извършени транзакции; както и до (б) данни за трафика (например кой, към кого и кога е извършил телефонното обаждане или е изпратил дадената информация), които вече са предоставени на разположение пряко от съответните участници на пазара (търговци).

45.

В допълнение в предложението следва да се посочи, че записите трябва да бъдат събрани за законни цели и в съответствие с приложимите закони за защита на данните, включително предоставянето на достатъчна информация на субектите на данни по силата на членове 10 и 11 от Директива 95/46/ЕО.

б)   За какво се отнася понятието „съществуващ“?

46.

ЕНОЗД приветства факта, че в предложението това правомощие се ограничава до „съществуващи“ записи и по този начин не се изисква правомощията на регулаторните органи изрично да задължават даден търговец или трета страна да осъществяват подслушване, контролиране и записване на телефонни разговори или обменяни данни за целите на разследването.

47.

При все това, с цел да се избегнат всякакви съмнения, това намерение следва да се формулира по-ясно, най-малко в рамките на съображение. Следва да се предотврати всяка възможност за тълкуване на предложения регламент като предоставяне на националните регулаторни органи на правна основа за осъществяване на подслушване, контролиране или записване на телефонни разговори или обменяни данни, тайно или явно, със или без съдебно разпореждане.

б)   Може ли също така да се изисква съдържанието на телефонните разговори и обменяните данни или е допустимо единствено изискването на данни за трафика?

48.

Текстът на предложението си служи с израза „съществуващи записи на телефонни разговори или обменяни данни“. Не е достатъчно ясно дали могат да се изискват както съдържанието на съществуващите данни и телефонни разговори, така и данни за трафика (например кой, към кого и кога е извършил телефонното обаждане или е изпратил информацията).

49.

Тези подробности следва да се уточнят в разпоредбите на предложения регламент. Както е посочено в параграфи 43—45, следва ясно да се определи видът на подлежащите на изискване записи, като преди всичко при набавянето на тези записи трябва да се гарантира спазване на приложимото законодателство за защита на данните.

в)   Могат ли да се изискват записи от доставчици на интернет услуги и телекомуникационни компании?

50.

В предложението следва недвусмислено да се посочва от кого националните регулаторни органи могат да изискват записи. В това отношение ЕНОЗД разбира, че член 10, параграф 2, буква г) няма за цел да позволи на националните органи да изискват данни от доставчици „на обществено достъпни електронни съобщителни услуги“ (16) (например телефонни компании или доставчици на интернет услуги).

51.

В действителност в предложението не се споменават такива доставчици, нито е използвано понятието „данни за трафика“. От съществено значение е, че в него не се споменава също така — косвено или изрично — фактът, че би могла да бъде поискана дерогация от изискванията на директивата относно правото на неприкосновеност на личния живот и електронните комуникации (17), в която се установява общият принцип, че данните за трафика могат да бъдат допълнително обработвани единствено за целите на фактурирането и плащанията за взаимно свързване.

52.

С цел избягване на всякакво съмнение ЕНОЗД препоръчва в текста на предложения регламент да бъде изрично споменат фактът, че в предложението не се осигурява правна основа за изискване на данни от доставчици на обществено достъпни електронни съобщителни услуги, най-малко в рамките на съображение.

г)   Могат ли да бъдат изисквани записи от друга трета страна?

53.

В допълнение в предложението следва да се разясни дали националните регулаторни органи могат да изискват записи единствено от разследвания пазарен участник или имат право също така да изискват записи от трета страна (например от страна по транзакция с разследвания пазарен участник или от хотел, в който е отсядало физическо лице, заподозряно в търговия с вътрешна информация), които да предоставят свои собствени записи.

д)   Могат ли да бъдат изисквани лични записи?

54.

На последно място в предложението следва да разясни дали органите могат също така да изискват лични записи от физически лица, например от служители или ръководители на разследвания пазарен участник (например текстови съобщения, изпратени от лични мобилни апарати, или история на отваряните интернет страници, съхранена на домашен компютър).

55.

Пропорционалността на изискването на лични записи е спорна и — ако е предвидено — следва да бъде изрично обоснована.

56.

Както и при проверките на място (вж. параграфи 35—40 по-горе), в предложението следва да се изисква разпореждане от съдебен орган, както и допълнителни специфични гаранции в случаите, когато органите изискват някакви лични записи.

II.6.   Докладване на подозрения за пазарна злоупотреба (член 11): ограничение за предназначението и съхранение на данни

Съответни разпоредби

57.

По отношение на трансграничното сътрудничество на ACER е отредена важна роля за предупреждаване на националните регулаторни органи за потенциални пазарни злоупотреби и за улесняване на информационния обмен. С оглед подпомагане на сътрудничеството в член 11, параграф 2 също така изрично се изисква националните регулаторни органи да уведомяват ACER „по възможно най-конкретен начин“, когато разполагат с достатъчно основателни подозрения за нарушения на предложения регламент. С цел осигуряване на координиран подход в член 11, параграф 3 се изисква също така споделяне на информация между националните регулаторни органи, компетентните финансови институции, ACER, както и Европейския орган за ценни книжа и пазари (ESMA) (18).

Коментари и препоръки на ЕНОЗД

58.

В съответствие с принципа на ограничение на предназначението (19) в предложението следва изрично да се посочва, че всякакви обменяни лични данни въз основа на член 11 от предложения регламент (доклади за подозрения за пазарна злоупотреба) следва да се използват само за целите на разследване на докладваните подозрения за пазарна злоупотреба. При всички случаи информацията следва да не се използва по предназначения, които са несъвместими с тази цел.

59.

Също така данните не следва да се съхраняват за продължителен период. Това е от още по-голямо значение в случаите, когато може да се докаже, че първоначалното подозрение е било неоснователно. В такива случаи е необходима изрична обосновка за по-нататъшно съхранение (20).

60.

В това отношение в предложението следва на първо място да се определи максимален период за съхранение, в който ACER и други получатели на информацията могат да запазват данните, вземайки под внимание целта за съхраняването на данните. Освен ако подозренията за пазарна злоупотреба не са довели до специално разследване, което все още продължава, всички лични данни, свързани с докладваните подозрения за пазарна злоупотреба, следва да бъдат изтрити от регистрите на всички получатели след изтичането на определения период. Освен ако не съществуват ясни основания за по-дълъг период на съхранение, ЕНОЗД счита, че изтриването следва да се извърши най-късно две години след датата на докладване на подозрението (21).

61.

В случай че подозренията се окажат неоснователни и/или разследването бъде приключено без предприемането на по-нататъшни действия, предложението следва да задължава докладващия регулаторен орган, ACER и всяка трета страна, разполагаща с достъп до информация относно подозрения за пазарна злоупотреба, незабавно да информират посочените страни, така че те да имат възможност да актуализират надлежно собствените си регистри (и/или да изтрият информацията относно докладваните подозрения от своите регистри веднага или след изтичане на пропорционален период на съхранение, според случая) (22).

62.

С помощта на тези разпоредби следва да се гарантира, че в случаите, когато подозренията не са потвърдени (или дори са допълнително разследвани) или когато е установено, че подозренията са неоснователни, невинни физически лица няма да фигурират в „черен списък“ или като „заподозрени“ за необосновано дълъг период (вж. член 6, буква д) от Директива 95/46/ЕО и съответния член 4, буква д) от Регламент (ЕО) № 45/2001).

II.7.   Трансфер на данни към трети държави (член 14)

Съответни разпоредби

63.

В членове 7, 8 и 11 на предложения регламент се предвижда обмен на данни и на информация между ACER, ESMA и органите на държавите-членки. В член 14 („Взаимоотношения с трети държави“) се посочва, че ACER „може да сключва административни споразумения с международни организации и с администрациите на трети държави“. Това може да доведе до трансфер на лични данни от ACER, а евентуално и от ESMA, и/или от органите на държавите-членки към международни организации и органи на трети държави.

Коментари и препоръки на ЕНОЗД

64.

ЕНОЗД препоръчва в член 14 от предложението да се поясни, че трансфери на лични данни могат да се осъществяват единствено в съответствие с член 9 от Регламент (ЕО) № 45/2001 и с членове 25 и 26 от Директива 95/46/ЕО. По-специално международни трансфери следва да се осъществяват единствено ако въпросната трета държава осигури достатъчно ниво на защита, или към юридически или физически лица в трета държава, която не позволява достатъчна защита, ако контролният орган предоставя достатъчни гаранции по отношение на защитата на неприкосновеността на личния живот и основните права и свободи на физическите лица, както и по отношение на упражняването на съответните права.

65.

ЕНОЗД подчертава, че по принцип не следва да се използват дерогации (като например посочените в член 9, параграф 6 от Регламент (ЕО) № 45/2001 и в член 26, параграф 1 от директивата) за обосноваване на масови, систематични и/или структурни трансфери на данни към трети държави.

II.8.   Предварителна проверка на координационните дейности на ACER по отношение на разследвания

66.

Някои от данните относно подозрения за нарушения, споделяни между ACER, ESMA и различни органи в държавите-членки, биха могли да съдържат лични данни, например самоличността на заподозрените извършители или на други замесени физически лица (например свидетели, лица, подаващи сигнали за злоупотреби, служители или други физически лица, действащи от името на предприятия, участващи в търговски дейности).

67.

Според член 27, параграф 1 от Регламент (ЕО) № 45/2001 „операции по обработка, които поради своето естество, обхват или цели има вероятност да представляват специфични опасности за правата и свободите на субектите на данни, се подлагат на предварителна проверка от страна на Европейския надзорен орган по защита на данните“. В член 27, параграф 2 изрично се потвърждава, че „обработката“ на данни, свързани с „предполагаеми престъпления“ и с „престъпления“, представлява такава опасност и изисква предварителна проверка. Като се отчете предвидената за ACER координационна роля по отношение на разследванията, е логично да се предположи, че агенцията ще обработва данни, свързани с „предполагаеми престъпления“ и с „престъпления“, и в този смисъл осъществяваните от нея дейности ще подлежат на предварителна проверка (23).

68.

В рамките на процедурата за предварителна проверка ЕНОЗД може да предостави на ACER допълнителни насоки и специфични препоръки относно съблюдаването на правилата за защита на данните. Предварителната проверка на дейностите на ACER може да създаде също така добавена стойност, отчитайки факта, че Регламент (ЕО) № 713/2009 на Европейския парламент и на Съвета, с който е създадена ACER, не разглежда защитата на личните данни и не е подлежал на законодателно становище от ЕНОЗД.

III.   ЗАКЛЮЧЕНИЯ

69.

Предложението следва да изясни дали някакви лични данни могат да бъдат обработвани в контекста на наблюдението и отчитането на пазарните процеси и какви гаранции ще бъдат прилагани. Ако напротив, не се очаква обработка на лични данни (или такава обработка ще се извършва по изключение и само в редки случаи, в които търговецът на енергия на едро е физическо, а не юридическо лице), това следва да бъде ясно посочено в предложението, най-малко в рамките на съображение.

70.

Разпоредбите относно защитата на данните, сигурността на данните и отчетността следва да бъдат изяснени и допълнително подсилени особено ако обработката на лични данни ще изпълнява една по-структурна роля. Комисията следва да гарантира наличието на подходящ контрол с оглед осигуряване на спазването на правилата за защита на данните и предоставянето на доказателства за това („отчетност“).

71.

В предложението следва да се изясни дали проверките на място ще бъдат ограничени до фирменото имущество (помещения или превозни средства) на отделните участници на пазара или могат да бъдат извършвани също така в частно имущество (помещения и превозни средства) на физически лица. В последния случай необходимостта и пропорционалността на това правомощие следва да бъдат ясно обосновани и да се изискват съдебно разпореждане и допълнителни гаранции. Това следва да бъде ясно предвидено в предложения регламент.

72.

Следва да се изясни обхватът на правомощията за изискване на „съществуващи записи на телефонните разговори и обменяни данни“. В предложението следва да се уточни недвусмислено какви записи могат да се изискват и от кого. Фактът, че не могат да се изискват никакви данни от доставчици на обществено достъпни електронни съобщителни услуги, следва да бъде изрично посочен в текста на предложения регламент, най-малко в рамките на съображение. В предложението следва също да се изясни дали органите могат също така да изискват лични записи от физически лица, като например служители или ръководители на разследвания пазарен участник (например текстови съобщения, изпратени от лични мобилни апарати, или история на отваряните интернет страници, съхранена на домашен компютър). В такива случаи необходимостта и пропорционалността на това правомощие следва да бъдат ясно обосновани, като в предложението следва да се изисква също така разпореждане от съдебен орган.

73.

По отношение на докладването на подозрения за пазарна злоупотреба в предложението следва изрично да се предвижда всички лични данни, съдържащи се в тези доклади, да се използват единствено за целите на разследването на докладваните подозрения за пазарна злоупотреба. Освен ако подозренията за пазарна злоупотреба не са довели до специално разследване, което все още продължава (или подозренията са се оказали достатъчно основателни и са довели да успешно разследване), всички лични данни, свързани с докладваните подозрения за пазарна злоупотреба, следва да бъдат изтрити от регистрите на всички получатели след изтичането на определения период (освен ако не съществуват основания за друго, най-късно две години след датата на доклада). В допълнение към това, страните по даден обмен на информация следва също така да си разменят актуална информация, в случай че дадено подозрение се окаже неоснователно и/или дадено разследване приключи без предприемането на по-нататъшни действия.

74.

По отношение на трансфера на лични данни към трети държави в предложението следва да се поясни, че по принцип трансфери могат да се извършват единствено към юридически или физически лица в трета държава, която не позволява достатъчна защита, ако контролният орган предоставя достатъчни гаранции по отношение на защитата на неприкосновеността на личния живот и основните права и свободи на физическите лица и по отношение на упражняването на съответните права.

75.

С цел осъществяване на предварителна проверка ACER следва да предостави на ЕНОЗД информация за своите дейности по обработка на лични данни във връзка с координацията на разследванията по силата на член 11 от предложения регламент.

Съставено в Брюксел на 21 юни 2011 година.

Giovanni BUTTARELLI

Асистент към Европейския надзорен орган по защита на данните


(1)  ОВ L 281, 23.11.1995 г., стр. 31 (наричана по-долу, „Директива 95/46/ЕО“).

(2)  ОВ L 8, 12.1.2001 г., стр. 1 (наричан по-долу „Регламент (ЕО) № 45/2001“).

(3)  COM(2010) 726 окончателен.

(4)  ACER е орган на Европейския съюз, учреден през 2010 г. Мисията му е да подпомага националните енергийни регулаторни органи при упражняване на осъществяваните от тях в държавите-членки регулаторни задачи на ниво ЕС и при необходимост да координира тяхната дейност.

(5)  Директива 2003/6/ЕО на Европейския парламент и на Съвета от 28 януари 2003 г. относно търговията с вътрешна информация и манипулирането на пазара (пазарна злоупотреба), ОВ L 96, 12.4.2003 г., стр. 16.

(6)  Директива 2004/39/ЕО на Европейския парламент и на Съвета от 21 април 2004 г. относно пазарите на финансови инструменти, за изменение на Директива 85/611/ЕИО и Директива 93/6/ЕИО на Съвета и на Директива 2000/12/ЕО на Европейския парламент и на Съвета и за отмяна на Директива 93/22/ЕИО на Съвета, ОВ L 145, 30.4.2004 г., стр. 1.

(7)  За повече информация относно по-широкия контекст на съответните законодателните предложения вж. становището на ЕНОЗД относно предложението за регламент на Европейския парламент и на Съвета относно деривати, централните контрагенти и регистрите на транзакции, издадено на 19 април 2011 г.; по-специално параграфи 4, 5 и 17—20.

(8)  Вж. член 2, буква а) от Директива 95/46/ЕО и член 2, буква а) от Регламент (ЕО) № 45/2001.

(9)  Вж. член 6, параграф 1, буква в) и член 7, буква в) от Директива 95/46/ЕО, както и член 4, параграф 1, буква в) и член 5, буква б) от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета.

(10)  Член 9, параграф 1 от предложението — отнасящ се за Регламент (ЕО) № 45/2001 — предполага, че случаят може да е такъв, но не предоставя допълнителни подробности. За повече информация в тази насока вж. раздел II.2 от настоящото становище.

(11)  Вж. раздел 7 от издаденото на 14 януари 2011 г. становище на ЕНОЗД относно Съобщение на Комисията до Европейския парламент, Съвета, Икономическия и социален комитет и Комитета на регионите — „Всеобхватен подход за защита на личните данни в Европейския съюз“ (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

(12)  Вж. раздел 6.3 от посоченото по-горе становище на ЕНОЗД от 14 януари 2011 г.

(13)  Решение на Съда на Европейските общности от 9 ноември 2010 г., съединени дела C-92/09 и C-93/09 (Schecke и Eifert); вж. по-специално параграфи 81, 65 и 86.

(14)  Важно е да се отбележи, че предложеният регламент не предоставя подобни правомощия за разследване на ACER. Такива правомощия на ACER не са предвидени и в Регламент (ЕО) № 713/2009 на Европейския парламент и на Съвета от 13 юли 2009 г. за създаване на Агенция за сътрудничество между регулаторите на енергия, OB L 211, 14.8.2009 г., стр. 1.

(15)  Вж. например решение на Европейския съд по правата на човека по дело Funke/Франция (дело № 82/1991/334/407), 25 февруари 1993 г., параграфи 55—57.

(16)  Вж. член 2, буква в) от Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 г. относно общата регулаторна рамка за електронни комуникации (рамкова директива), ОВ L 108, 24.4.2002 г., стр. 33.

(17)  Вж. член 6, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (директива относно правото на неприкосновеност на личния живот и електронни комуникации), ОВ L 201, 31.7.2002 г., стр. 37.

(18)  ESMA е независим орган на ЕС, допринасящ за гарантирането на стабилността на финансовата система на Европейския съюз чрез осигуряване на интегритет, прозрачност, ефикасност и правилно функциониране на пазарите за ценни книжа, както и чрез увеличаване на защитата на инвеститорите.

(19)  Вж. член 6, параграф 1, буква б) от Директива 95/46/ЕО и член 4, параграф 1, буква б) от Регламент (ЕО) № 45/2001.

(20)  Така например ЕНОЗД споменава в този контекст решението на Европейския съд по правата на човека, дело S и Marper/Обединено кралство (2008 г.) (4 декември 2008 г.) (заявление № 30562/04 и № 30566/04), съгласно което дългосрочното съхранение на данните на лица, които не са осъдени за криминално престъпление, представлява нарушение на тяхното право на неприкосновеност на личния живот, гарантирано от член 8 от Европейската конвенция за правата на човека.

(21)  За случаите, в които подозренията се оказват достатъчно основателни и водят до успешно разследване, в предложението следва да се определи конкретен — не прекалено продължителен — период за съхранение след приключване на разследването.

(22)  Тази информация следва да бъде предоставена и на въпросния субект на данни.

(23)  Следва да се отбележи, че извършената от национални органи обработка на данни може също така да подлежи на предварителна проверка от национални или регионални органи за защита на данните по силата на национални закони за защита на данните, приети в съответствие с член 20 от Директива 95/46/ЕО.


Top