|
15.6.2021 |
CS |
Úřední věstník Evropské unie |
C 229/13 |
Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu pilotního režimu pro tržní infrastruktury vedené na technologii sdíleného registru
(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na internetových stránkách evropského inspektora ochrany údajů na adrese www.edps.europa.eu)
(2021/C 229/04)
Dne 24. září 2020 přijala Evropská komise návrh nařízení Evropského parlamentu a Rady o pilotním režimu pro tržní infrastruktury vedené na technologii sdíleného registru (COM(2020) 594 final). Návrh stanoví harmonizované požadavky na určité účastníky trhu, aby mohli požádat o povolení k provozování tržních infrastruktur vedených na technologii sdíleného registru a toto povolení získat.
Evropský inspektor ochrany údajů zdůrazňuje, že ochrana osobních údajů nepředstavuje překážku pro inovace, a zejména pro rozvoj nových technologií ve finančním sektoru. Zároveň připomíná, že opatření přijatá na úrovni EU v souvislosti s inovativními technologiemi, jež zahrnují zpracování osobních údajů, musí být v souladu s obecnými zásadami nezbytnosti a přiměřenosti. Navíc vzhledem k tomu, že není k dispozici kompletní přehled o dopadu těchto nových technologií na společnost, se evropský inspektor ochrany údajů domnívá, že by měl být uplatňován přístup založený na zásadě předběžné opatrnosti.
Evropský inspektor ochrany údajů konstatuje, že v závislosti na konfiguraci sdíleného registru lze metadata nebo údaje o transakcích v něm uložené považovat za osobní údaje, pokud se týkají identifikované nebo identifikovatelné fyzické osoby. Správci tudíž musí pečlivě analyzovat a dokumentovat konfiguraci sdíleného registru, aby mohli určit, zda jeho prostřednictvím dochází ke zpracovávání osobních údajů, a v důsledku toho se na tyto operace vztahují povinnosti v oblasti ochrany údajů.
Evropský inspektor ochrany údajů zdůrazňuje, že technologie, na nichž jsou založeny některé sdílené registry, a to zejména ty, které jsou veřejné a nevyžadují povolení, vyvolávají zásadní otázky, pokud jde o jejich slučitelnost s požadavky na ochranu údajů.
Evropský inspektor ochrany údajů je toho názoru, že před vstupem návrhu v platnost by měla proběhnout diskuse o obecné slučitelnosti sdílených registrů s rámcem pro ochranu údajů.
Evropský inspektor údajů konstatuje, že v případě, že sdílený registr obsahuje řetězec osobních údajů, budou související operace zpracování pravděpodobně splňovat kritéria pro klasifikaci operace zpracování jako vysoce rizikové. Správce proto před zpracováním osobních údajů provede u předpokládaných operací zpracování posouzení vlivu na ochranu osobních údajů. Kromě toho může být vyžadován předchozí souhlas příslušného úřadu pro ochranu osobních údajů.
Evropský inspektor ochrany údajů doporučuje, aby návrh, pokud jde o informace související s žádostí o provozování tržní infrastruktury vedené na technologii sdíleného registru, případně požadoval základní informace týkající se předpokládaných operací zpracování. Dále doporučuje, aby provozovatelé tržních infrastruktur vedených na technologii sdíleného registru zveřejňovali oznámení o ochraně soukromí na stejném místě jako provozní informace požadované v návrhu.
Evropský inspektor ochrany údajů zdůrazňuje, že IT a kybernetická opatření, s nimiž se v návrhu počítá v souvislosti s provozováním tržních infrastruktur vedených na technologii sdíleného registru, musí být rovněž v souladu s povinnostmi stanovenými v článcích 22 a 32 obecného nařízení o ochraně osobních údajů. (1)
V souvislosti s podáváním zpráv o provozních otázkách provozovatelům tržních infrastruktur vedených na technologii sdíleného registru evropský inspektor ochrany údajů doporučuje, aby v příslušném bodě odůvodnění bylo připomenuto, že v případech porušení zabezpečení osobních údajů je provozovatel rovněž povinen tato porušení ohlásit příslušnému úřadu pro ochranu osobních údajů v souladu s článkem 33 obecného nařízení o ochraně osobních údajů a případně subjektům údajů v souladu s článkem 34 obecného nařízení o ochraně osobních údajů.
3. ZÁKLADNÍ INFORMACE
|
1. |
Dne 24. září 2020 přijala Evropská komise návrh nařízení Evropského parlamentu a Rady o pilotním režimu pro tržní infrastruktury vedené na technologii sdíleného registru (COM(2020) 594 final) (dále jen „návrh“). Návrh stanoví harmonizované požadavky na určité účastníky trhu, a sice investiční podniky, organizátory trhu nebo centrální depozitáře cenných papírů, aby mohli požádat o povolení k provozování tržních infrastruktur vedených na technologii sdíleného registru (dále jen „tržní infrastruktura vedená na technologii sdíleného registru“) v prostředí podléhajícím dozoru, pokud se uplatňují zvláštní výjimky z dodržování finančních předpisů, a toto povolení získat. Návrh má zejména tyto čtyři cíle: zajištění právní jistoty pro kryptoaktiva, zajištění finanční stability, ochrana spotřebitelů a investorů a umožnění inovací v oblasti využívání blockchainu, technologie sdíleného registru a kryptoaktiv. |
|
2. |
Návrh je součástí balíčku, který zahrnuje návrh nařízení o trzích s kryptoaktivy (2) (dále jen „nařízení o trzích s kryptoaktivy“), návrh nařízení o digitální provozní odolnosti (3) (dále jen „nařízení o digitální provozní odolnosti“) a návrh na vyjasnění nebo změnu některých souvisejících pravidel EU pro finanční služby (4). Evropský inspektor ochrany údajů očekává, že v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 bude konzultován i ohledně ostatních nařízení v rámci tohoto balíčku. |
|
3. |
Dne 26. února 2021 požádala Evropská komise v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 evropského inspektora ochrany údajů, aby k návrhu vydal stanovisko. Tyto připomínky se omezují na ustanovení návrhu, která jsou relevantní z hlediska ochrany údajů. |
5. ZÁVĚRY
S ohledem na výše uvedené evropský inspektor ochrany údajů:
|
— |
připomíná, že ochrana osobních údajů nepředstavuje překážku pro inovace, a zejména pro rozvoj nových technologií, zvláště ve finančním sektoru, |
|
— |
zdůrazňuje, že technologie, na nichž jsou založeny některé sdílené registry, zejména ty, které jsou veřejné a nevyžadují povolení, vyvolávají zásadní koncepční otázky, pokud jde o požadavky na ochranu údajů. Doporučuje proto, aby před vstupem návrhu v platnost proběhla diskuse o možném způsobu zajištění slučitelnosti sdílených registrů s rámcem ochrany údajů, |
|
— |
zdůrazňuje, že kryptoaktiva obchodovaná v rámci tržních infrastruktur vedených na technologii sdíleného registru, na něž se návrh vztahuje, by měla být pouze ta, která používají konfiguraci sdíleného registru, která je v souladu s rámcem pro ochranu údajů, |
|
— |
navrhuje, aby součástí informací požadovaných od provozovatele v souvislosti s jeho žádostí o provozování tržní infrastruktury vedené na technologii sdíleného registru byl případně rovněž seznam předpokládaných operací zpracování, v nichž figurují osobní údaje, rozdělení úloh a povinností jednotlivých provozovatelů podle obecného nařízení o ochraně osobních údajů v rámci tržní infrastruktury vedené na technologii sdíleného registru, jakož i hlavní předpokládaná rizika a strategie zmírňování rizik, pokud jde o ochranu údajů, |
|
— |
zdůrazňuje, že IT a kybernetická opatření, s nimiž se v návrhu počítá v souvislosti s provozováním tržních infrastruktur vedených na technologii sdíleného registru, musí být rovněž v souladu s povinnostmi stanovenými v článcích 22 a 32 obecného nařízení o ochraně osobních údajů, |
|
— |
doporučuje, aby v příslušném bodě odůvodnění bylo v souvislosti s podáváním zpráv o provozních otázkách ze strany provozovatelů tržních infrastruktur vedených na technologii sdíleného registru připomenuto, že v případech porušení zabezpečení osobních údajů je provozovatel rovněž povinen tato porušení ohlásit příslušnému dozorovému úřadu pro ochranu osobních údajů v souladu s článkem 33 obecného nařízení o ochraně osobních údajů a případně subjektům údajů v souladu s článkem 34 obecného nařízení o ochraně osobních údajů. |
V Bruselu dne 23. dubna 2021.
Wojciech RafałWIEWIÓROWSKI
(1) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(2) Návrh nařízení Evropského parlamentu a Rady o trzích s kryptoaktivy a o změně směrnice (EU) 2019/1937, COM/2020/593 final. K dispozici na adrese EUR-Lex - 52020PC0593 - CS - EUR-Lex (europa.eu).
(3) Návrh nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014, COM/2020/595 final. K dispozici na adrese EUR-Lex - 52020PC0595 - CS - EUR-Lex (europa.eu).
(4) Návrh směrnice Evropského parlamentu a Rady, kterou se mění směrnice 2006/43/ES, 2009/65/ES, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 a (EU) 2016/2341, COM/2020/596 final. K dispozici na adrese EUR-Lex - 52020PC0596 - CS - EUR-Lex (europa.eu).