Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0722(01)

Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om forslaget til Europa-Parlamentets og Rådets forordning om OTC-derivater, centrale modparter og transaktionsregistre

OJ C 216, 22.7.2011, p. 9–16 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

22.7.2011   

DA

Den Europæiske Unions Tidende

C 216/9


Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om forslaget til Europa-Parlamentets og Rådets forordning om OTC-derivater, centrale modparter og transaktionsregistre

2011/C 216/04

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,

under henvisning til Den Europæiske Unions charter om grundlæggende rettigheder, særlig artikel 7 og 8,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1),

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (2), særlig artikel 41 —

VEDTAGET DENNE UDTALELSE:

1.   INDLEDNING

1.

Kommissionen vedtog den 15. september 2010 et forslag til Europa-Parlamentets og Rådets forordning om OTC-derivater, centrale modparter og transaktionsregistre (»forslaget«) (3). Hovedmålet med forslaget er at fastlægge fælles regler for at øge sikkerheden og effektiviteten på markedet for over-the-counter-derivater.

2.

EDPS er ikke blevet hørt af Kommissionen, selv om dette kræves i artikel 28, stk. 2, i forordning (EF) nr. 45/2001 (»forordning (EF) nr. 45/2001«). EDPS har derfor på eget initiativ vedtaget nærværende udtalelse med hjemmel i artikel 41, stk. 2, i forordning (EF) nr. 45/2001.

3.

EDPS er opmærksom på, at denne rådgivning kommer på et forholdsvis sent stadium af lovgivningsprocessen. Han finder det ikke desto mindre hensigtsmæssigt og nyttigt at afgive denne udtalelse. Han gør for det første opmærksom på forslagets potentielle følger på databeskyttelsesområdet. For det andet er analysen i nærværende udtalelse direkte relevant for anvendelsen af gældende lovgivning og for andre igangværende og eventuelle fremtidige forslag indeholdende lignende bestemmelser, således som der vil blive gjort rede for i denne udtalelses punkt 3.4.

2.   BAGGRUNDEN FOR OG HOVEDELEMENTERNE I FORSLAGET

4.

Kommissionen har i kølvandet på den finansielle krise iværksat og arbejdet på en gennemgang af gældende lovgivning vedrørende det finansielle tilsyn med henblik på at afhjælpe de store mangler, der er afdækket på dette område, både i særlige tilfælde, og hvad angår det finansielle system som helhed. Der er for nylig blevet vedtaget en række lovgivningsforslag på dette område med det formål at styrke de nuværende tilsynsordninger og forbedre samordningen og samarbejdet på EU-plan.

5.

Reformen medførte navnlig en styrket europæisk finansiel tilsynsmæssig ramme sammensat af et europæisk udvalg for systemiske risici (4) og et europæisk finanstilsynssystem (ESFS). ESFS består af et netværk af nationale finanstilsyn, som samarbejder med tre nye europæiske tilsynsmyndigheder, nemlig Den Europæiske Banktilsynsmyndighed (5) (EBA), Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (6) (EIOPA) og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) (7). Derudover vedtog Kommissionen en række særlige initiativer til gennemførelse af lovgivningsreformen inden for specifikke områder eller specifikke finansielle produkter.

6.

Et af disse er nærværende forslag, der omhandler »over-the-counter-derivater«, dvs. de derivatprodukter (8), der ikke omsættes på fondsbørser, men i stedet handles privat mellem to modparter. Med forslaget indføres en forpligtelse for alle finansielle modparter og ikke-finansielle modparter, der opfylder visse minimumsbetingelser, til at cleare alle standardiserede OTC-derivatkontrakter gennem centrale modparter (CCP'er). Derudover skal den foreslåede forordning forpligte disse finansielle og ikke-finansielle modparter til at indberette oplysninger om enhver derivatkontrakt, de har indgået, og om enhver ændring heraf til et registreret transaktionsregister. I forslaget foreskrives desuden harmoniserede krav til organisation og tilsyn for CCP'er og organisatoriske og operationelle krav for transaktionsregistre. Mens de nationale kompetente myndigheder fortsat har ansvar for godkendelse og overvågning af CCP'er, overdrages registrering og overvågning af transaktionsregistre ifølge den foreslåede forordning helt til ESMA.

3.   ANALYSE AF BESTEMMELSERNE VEDRØRENDE ADGANG TIL OPLYSNINGER OM TELEFONSAMTALER OG DATATRAFIK

3.1.   Generelle bemærkninger

7.

I forslagets artikel 61, stk. 2, litra d), tillægges ESMA beføjelser til at »kræve oplysninger om telefonsamtaler og datatrafik« (fremhævningen tilføjet). Som der vil blive gjort nærmere rede for nedenfor, er afgrænsningen af bestemmelsen og specielt den nøjagtige betydning af »oplysninger om telefonsamtaler og datatrafik« ikke klar. Det forekommer ikke desto mindre sandsynligt — eller det kan i hvert fald ikke udelukkes — at oplysningerne om de pågældende telefonsamtaler og datatrafik omfatter personoplysninger i betydningen efter direktiv 95/46/EF og forordning (EF) nr. 45/2001 og — i relevant udstrækning — direktiv 2002/58/EF (nu benævnt »e-databeskyttelsesdirektivet«, efter at det er blevet ændret ved direktiv 2009/136/EF), dvs. data vedrørende identificerede eller identificerbare fysiske personers telefonsamtaler eller datatrafik (9). Så længe dette er tilfældet, bør det sikres, at betingelserne for loyal og lovlig behandling af personoplysninger, således som de er fastlagt i direktiverne og forordningen, til fulde overholdes.

8.

Data i forbindelse med anvendelsen af elektroniske kommunikationsmidler kan indeholde en lang række personoplysninger, som f.eks. identiteten af de personer, der foretager og modtager opkaldet, tidspunktet for og varigheden af opkaldet, det anvendte netværk og brugerens geografiske placering i tilfælde af bærbare anordninger. Visse trafikdata i forbindelse med anvendelsen af internettet og e-mail (f.eks. listen over besøgte websteder) kan desuden afsløre vigtige detaljer af indholdet af kommunikationen. Hertil kommer, at behandlingen af trafikdata strider mod korrespondancehemmeligheden. I betragtning af dette fastslås i direktiv 2002/58/EF det princip, at trafikdata skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen (10). Medlemsstaterne kan i den nationale lovgivning indføje undtagelser til specifikke lovlige formål, men undtagelserne bør være nødvendige, passende og forholdsmæssige i et demokratisk samfund med henblik på opfyldelsen af disse formål (11).

9.

EDPS erkender, at de mål, Kommissionen forfølger i denne sag, er lovlige. Han har forståelse for behovet for initiativer, der sigter mod at styrke overvågningen af finansmarkederne med henblik på at bevare deres soliditet og sikre en bedre beskyttelse af investorerne og økonomien som helhed. Undersøgelsesbeføjelser, der er direkte relateret til trafikdata, skal imidlertid på grund af deres potentielt påtrængende art opfylde kravene om nødvendighed og proportionalitet, dvs. at de skal begrænses til, hvad der er passende til opfyldelsen af formålet, og at de ikke må overskride grænsen for, hvad der er nødvendigt for at nå dette (12). På denne baggrund er det derfor vigtigt, at undersøgelsesbeføjelserne er klart formuleret med hensyn til deres personlige og materielle afgrænsning samt de omstændigheder og betingelser, under hvilke de kan anvendes. Der bør desuden tilvejebringes passende garantier mod risikoen for misbrug.

3.2.   Afgrænsningen af ESMA's beføjelser er uklar

10.

Det bestemmes i artikel 61, stk. 2, litra d), at »for at kunne varetage de opgaver, som er omhandlet i artikel 51 til 60 samt i artikel 62 og 63 (dvs. opgaver i forbindelse med overvågningen af transaktionsregistre], tillægges ESMA beføjelse til at kræve oplysninger om telefonsamtaler og datatrafik«. På grund af bestemmelsens brede formulering rejser den en række tvivlsspørgsmål om den materielle og personlige afgrænsning.

11.

For det første er betydningen af »oplysninger om telefonsamtaler og datatrafik« ikke helt klar og bør derfor tydeliggøres. Bestemmelsen kunne henvise til oplysninger om telefonsamtaler og datatrafik, som transaktionsregistre er forpligtet til at registrere i forbindelse med deres virksomhed. En række bestemmelser i den foreslåede forordning vedrører krav til transaktionsregistrenes registerføring (13). Ingen af disse bestemmelser indeholder imidlertid nærmere enkeltheder om, hvilke oplysninger om telefonsamtaler og datatrafik der skal registreres af transaktionsregistrene (14). Hvis bestemmelsen derfor henviser til de fortegnelser, som opbevares af transaktionsregistrene, er det vigtigt præcist at fastlægge, hvilke kategorier af oplysninger om telefonsamtaler og datatrafik der skal registreres og kan kræves af ESMA. I overensstemmelse med proportionalitetsprincippet skal sådanne oplysninger være passende, relevante og ikke omfatte mere end det, der kræves til opfyldelse af de tilsynsformål, hvortil de behandles (15).

12.

Der er specielt i den foreliggende sag behov for mere præcision i betragtning af de store bøder, herunder tvangsbøder, som transaktionsregistre og andre berørte personer (inklusive fysiske personer, hvad angår tvangsbøder) kan pålægges for brud på bestemmelserne i den foreslåede forordning (jf. artikel 55 og 56). Sådanne bøder kan udgøre op til 20 % af transaktionsregistrets årlige indtægter eller omsætning i det foregående regnskabsår, dvs. en tærskelværdi, der er dobbelt så høj som den maksimale tærskelværdi, der er fastsat for overtrædelser af den europæiske konkurrencelovgivning.

13.

Det skal også bemærkes, at Kommissionen i ovennævnte artikel 67, stk. 4, tillægges beføjelser til at vedtage forskriftsmæssige tekniske standarder, som indeholder en nærmere beskrivelse af de oplysninger, som transaktionsregistre skal gøre tilgængelige for ESMA og andre myndigheder. Denne bestemmelse kunne derfor anvendes til nærmere at præcisere kravene til transaktionsregistres registerføring og dermed indirekte den beføjelse, i henhold til hvilken ESMA gives adgang til oplysninger om telefonsamtaler og datatrafik. Ifølge EUF-traktatens artikel 290 kan Kommissionen i en lovgivningsmæssig retsakt få delegeret beføjelse til at vedtage almengyldige ikke-lovgivningsmæssige retsakter, der udbygger eller ændrer ikke-væsentlige bestemmelser i den lovgivningsmæssige retsakt. Efter EDPS' opfattelse kan den præcise afgrænsning af beføjelsen med hensyn til adgang til datatrafik ikke anses for en ikke-væsentlig bestemmelse i forordningen. Den materielle afgrænsning af beføjelsen bør derfor nærmere anføres direkte i forordningens tekst og ikke udskydes til fremtidige delegerede retsakter.

14.

Tilsvarende tvivl omgærder personafgrænsningen i den pågældende bestemmelse. De potentielle modtagere af en anmodning om udlevering af oplysninger om telefonsamtaler og datatrafik er navnlig ikke anført i artikel 61, stk. 2, litra d). Det er navnlig ikke klart, om beføjelserne til at kræve oplysninger om telefonsamtaler og datatrafik kun er begrænset til transaktionsregistre (16). Da formålet med bestemmelsen er at tillade ESMA at foretage tilsyn med transaktionsregistre, mener EDPS, at denne beføjelse nøje bør begrænses til alene at omfatte transaktionsregistre.

15.

Endelig kan EDPS forstå, at målet med artikel 61, stk. 2, litra d), ikke er at tillade ESMA at få adgang til datatrafik direkte fra telekommunikationsudbydere. Dette synes at være en naturlig konklusion specielt i betragtning af, at der i forslaget på ingen måde henvises til de data, der opbevares af telekommunikationsselskaber, eller til de krav, der er fastsat i e-databeskyttelsesdirektivet, jf. ovenstående punkt 8 (17). Af hensyn til klarheden anbefaler EDPS imidlertid, at en sådan konklusion ekspliciteres yderligere i artikel 61, stk. 2, eller i det mindste i en betragtning i den foreslåede forordning.

3.3.   I forslaget anføres ikke de omstændigheder og betingelser, under hvilke der kan kræves adgang

16.

I artikel 61, stk. 2, litra d), anføres ikke de omstændigheder og betingelser, under hvilke der kan kræves adgang. Artiklen indeholder heller ingen bestemmelser vedrørende vigtige proceduregarantier eller beskyttelsesforanstaltninger mod risikoen for misbrug. EDPS fremsætter i det følgende en række konkrete forslag i denne retning.

a)

I henhold til artikel 61, stk. 2, kan ESMA kræve adgang til oplysninger om telefonsamtaler og datatrafik »for at kunne varetage de opgaver, som er omhandlet i artikel 51 til 60 samt i artikel 62 og 63«. Disse artikler dækker hele afsnittet i forslaget til forordning vedrørende registrering og overvågning af transaktionsregistre. Ifølge EDPS bør omstændighederne og betingelserne, under hvilke en sådan beføjelse kan udøves, defineres klarere. EDPS anbefaler, at adgangen til oplysninger om telefonsamtaler og datatrafik begrænses til specifikt klarlagte og alvorlige overtrædelser af den foreslåede forordning og til sager, hvor der foreligger en begrundet mistanke (der bør understøttes af konkrete oprindelige beviser) om, at der er begået en overtrædelse. En sådan begrænsning er også specielt vigtig med henblik på at undgå, at adgangsbeføjelsen anvendes med henblik på »fiskeekspeditioner« eller dataminering eller forskellige andre formål.

b)

I forslaget kræves ingen forudgående domstolstilladelse, for at ESMA kan kræve adgang til oplysninger om telefonsamtaler og datatrafik. EDPS mener, at et sådant generelt krav er begrundet i betragtning af den pågældende beføjelses potentielle påtrængenhed. Det bør også indgå i betragtningerne, at der i nogle af medlemsstaternes lovgivning er et krav om en forudgående domstolstilladelse for indgreb af enhver art i korrespondancehemmeligheden, hvilket således afskærer andre retshåndhævende organer (f.eks. politiet) og institutioner af administrativ art fra et sådant indgreb uden denne strenge overvågning (18). EDPS anser det for absolut nødvendigt, at en domstolstilladelse som minimum gøres obligatorisk i tilfælde, hvor en sådan tilladelse kræves ifølge national lovgivning (19).

c)

EDPS anbefaler, at der indføres krav om, at ESMA's anmodning om oplysninger om telefonsamtaler og datatrafik gøres betinget af en formel afgørelse, der indeholder oplysninger om retsgrundlaget for og formålet med anmodningen, og om, hvilke oplysninger der ønskes udleveret og den frist, inden for hvilken oplysningerne ønskes udleveret, samt adressatens ret til få afgørelsen prøvet ved en domstol. Enhver anmodning, der fremsættes, uden at der foreligger en formel afgørelse, skal ikke være bindende for adressaten.

d)

Der bør tilvejebringes passende proceduregarantier mod eventuelt misbrug. I den forbindelse kunne der i forslaget indføjes et krav om, at Kommissionen vedtager gennemførelsesforanstaltninger indeholdende nærmere oplysninger om de procedurer, som transaktionsregistre og ESMA skal følge ved behandlingen af sådanne data. Disse retsakter bør navnlig indeholde detaljerede regler om passende sikkerhedsforanstaltninger og fyldestgørende garantier mod risikoen for misbrug inklusive, men ikke begrænset til de faglige standarder, som de kompetente personer, der håndterer disse data, skal overholde, samt de interne procedurer, som sikrer en korrekt overholdelse af bestemmelserne om fortrolighed og tavshedspligt. EDPS bør høres under proceduren vedrørende vedtagelsen af sådanne foranstaltninger.

3.4.   Nærværende udtalelses relevans for andre retsakter indeholdende lignende bestemmelser

17.

Tilsynsmyndigheders beføjelse til at kræve adgang til oplysninger om telefonsamtaler og datatrafik er ikke ny i EU-lovgivningen, idet en sådan beføjelse allerede er foreskrevet i en række gældende direktiver og forordninger om finanssektoren. Specielt indeholder markedsmisbrugsdirektivet (20), direktivet om markeder for finansielle instrumenter (21), direktivet om investeringsinstitutter (22) og den nuværende forordning om kreditvurderingsbureauer (23) alle bestemmelser med en tilsvarende formulering. Det samme gælder en række nylige forslag, som Kommissionen har vedtaget, nemlig forslag til direktiv om forvaltere af alternative investeringsfonde (24), forslag til forordning om ændring af den gældende forordning om kreditvurderingsbureauer (25), forslag til forordning om short selling og visse aspekter af credit default swaps (26) og forslag til forordning om integritet og gennemsigtighed på energimarkederne (27).

18.

Hvad angår disse gældende og foreslåede retsakter, bør der sondres mellem de undersøgelsesbeføjelser, der tillægges de nationale myndigheder, og dem, der tillægges EU-myndighederne. En række retsakter forpligter medlemsstaterne til at tillægge de nationale myndigheder beføjelse til at kræve oplysninger om telefonsamtaler og datatrafik »i henhold til national ret« (28). Som følge heraf er den faktiske opfyldelse af denne forpligtelse nødvendigvis undergivet national ret, herunder den lov, der gennemfører direktiv 95/46/EF og 2002/58/EF, og andre nationale love, som indeholder yderligere proceduregarantier for de nationale tilsyns- og undersøgelsesmyndigheder.

19.

Der er ikke fastsat nogen betingelse af denne art i de retsakter, der tillægger EU-myndighederne beføjelse til direkte at kræve oplysninger om telefonsamtaler og datatrafik, således som det er tilfældet i det nuværende forslag om OTC-derivater og ovennævnte forslag til forordning om ændring af forordning (EF) nr. 1060/2009 om kreditvurderingsbureauer. Der er følgelig i disse tilfælde et endnu strengere krav om i selve retsakten at præcisere denne beføjelses personmæssige og materielle afgrænsning og de omstændigheder og betingelser, under hvilke beføjelsen kan anvendes, og at sikre, at der er tilvejebragt passende garantier mod misbrug.

20.

I denne forbindelse er bemærkningerne i nærværende udtalelse — omend de tager sigte på forslaget om OTC-derivater — af mere generel relevans. EDPS er klar over, at disse bemærkninger måske kommer for sent med hensyn til den allerede vedtagne lovgivning eller den lovgivning, som er tæt på vedtagelse. Han opfordrer ikke desto mindre institutionerne til at overveje behovet for at ændre de igangværende forslag med henblik på at tage højde for de betænkeligheder, der gives udtryk for i nærværende udtalelse. Hvad angår allerede vedtagne retsakter, opfordrer EDPS institutionerne til at undersøge mulighederne for en afklaring, f.eks. i tilfælde, hvor indholdet af den pågældende bestemmelse kan tænkes at blive direkte eller indirekte anført i delegerede retsakter eller gennemførelsesretsakter, f.eks. retsakter, hvori kravene til registerføring præciseres, fortolkende meddelelser eller andre lignende dokumenter (29). EDPS forventer, at Kommissionen hører ham i god tid i forbindelse med disse beslægtede procedurer.

4.   BETÆNKELIGHEDER OMKRING DATABESKYTTELSEN MED HENSYN TIL ANDRE DELE AF FORSLAGET

21.

EDPS finder det passende at fremsætte supplerende bemærkninger om en række andre punkter i forslaget, der vedrører enkeltpersoners ret til privatlivets fred og databeskyttelse.

4.1.   Anvendelsen af direktiv 95/46/EF og forordning (EF) nr. 45/2001

22.

Det hedder med rette i betragtning 48, at det er vigtigt, at medlemsstaterne og ESMA beskytter fysiske personers ret til privatlivets fred i forbindelse med behandlingen af personoplysninger i henhold til direktiv 95/46/EF. EDPS glæder sig over henvisningen til direktivet i betragtningen. Meningen med betragtningen kunne imidlertid tydeliggøres, idet det yderligere præciseres, at forordningens bestemmelser ikke berører de nationale regler vedrørende gennemførelsen af direktiv 95/46/EF. En sådan henvisning skal også helst indføjes i en substansbestemmelse.

23.

EDPS gør desuden opmærksom på, at ESMA er et europæisk organ, som er underlagt forordning (EF) nr. 45/2001 og EDPS' tilsyn. Det anbefales derfor at indføje en eksplicit henvisning til denne forordning, idet det også præciseres, at forslagets bestemmelser ikke berører denne.

4.2.   Formålsbegrænsning, oplysningernes nødvendighed og datakvalitet

24.

Et af hovedmålene med den foreslåede forordning er at øge OTC-derivatmarkedets gennemsigtighed og forbedre den reguleringsmæssige overvågning af dette marked. I dette øjemed giver forslaget de finansielle modparter og ikke-finansielle modparter, der opfylder visse minimumsbetingelser, pligt til at indberette oplysningerne om enhver OTC-derivatkontrakt, som de har indgået, og om enhver ændring eller ophævelse af sådanne kontrakter til et registreret transaktionsregister (artikel 6) (30). Det er meningen, at sådanne oplysninger skal opbevares af transaktionsregistrene og gøres tilgængelige af disse for forskellige myndigheder til reguleringsformål (artikel 67) (31).

25.

Såfremt en af parterne til en derivatkontrakt, der er underlagt ovenstående clearings- og indberetningsforpligtelser, er en fysisk person, udgør oplysninger om denne fysiske person personoplysninger i betydningen efter artikel 2, litra a), i direktiv 95/46/EF. Opfyldelsen af ovenstående forpligtelser udgør derfor behandling af personoplysninger i betydningen efter artikel 2, litra b), i direktiv 95/46/EF. Selv i tilfælde, hvor parterne i transaktionen ikke er fysiske personer, kan personoplysninger stadig blive behandlet inden for rammerne af artikel 6 og 67, f.eks. navnene og kontaktdetaljerne på selskabernes direktører. Bestemmelserne i direktiv 95/46/EF (eller forordning (EF) nr. 45/2001 som relevant) vil derfor finde anvendelse på nærværende transaktioner.

26.

Det er et grundlæggende krav i databeskyttelseslovgivningen, at oplysninger skal behandles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål (32). De oplysninger, der anvendes til at forfølge formålene, skal endvidere være nødvendige, relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelsen heraf. EDPS konkluderer på grundlag af en analyse af det foreslåede direktiv, at det system, der indføres med forslaget, ikke opfylder disse krav.

27.

Hvad formålsbegrænsningen angår, skal det understreges, at der ikke i forslaget nærmere anføres formålene med indberetningsordningen, og — vigtigst af alt — de formål, til hvilke de oplysninger, som opbevares i transaktionsregistrene, kan gøres tilgængelige for de kompetente myndigheder i henhold til forslagets artikel 67. En generel henvisning til behovet for at styrke OTC-derivatmarkedets gennemsigtighed er helt klart ikke tilstrækkelig for at efterleve formålsbegrænsningsprincippet. Et sådant princip sættes under yderligere pres i artikel 20, stk. 3, i den foreslåede forordning om »tavshedspligt«, der — således som det i øjeblikket er formuleret — tilsyneladende tillader brug af fortrolige oplysninger, som er modtaget i henhold til den foreslåede forordning, til en række supplerende og ikke klart anførte formål (33).

28.

Desuden anføres det ikke nærmere i forslaget, hvilken type oplysninger der vil blive registreret, indberettet og gjort tilgængelige, herunder personoplysninger om identificerede eller identificerbare personer. I ovennævnte artikel 6 og 67 tillægges Kommissionen beføjelse til nærmere at beskrive indholdet af forpligtelserne vedrørende indberetning og registerføring i delegerede retsakter. Selv om EDPS har forståelse for det praktiske behov for at anvende en sådan procedure, ønsker han at understrege, at så længe de oplysninger, der behandles i henhold til ovenstående artikler, vedrører fysiske personer, skal de vigtigste databeskyttelsesregler og -garantier fastlægges i basislovgivningen.

29.

Endelig kræves det i artikel 6 i direktiv 46/95 og artikel 4 i forordning (EF) nr. 45/2001, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil personoplysningerne indsamles. EDPS konstaterer, at der ikke i forslaget fastlægges noget konkret afgrænset tidsrum for tilbageholdelsen af de personoplysninger, der kan behandles i medfør af artikel 6, 27 og 67 i forslaget til forordning. Det foreskrives blot i artikel 27 og 67, at de relevante oplysninger skal opbevares i mindst 10 år. Dette er imidlertid kun en minimumstilbageholdelsesperiode, som er i klar modstrid med kravene i databeskyttelseslovgivningen.

30.

På baggrund af ovenstående opfordrer EDPS indtrængende lovgiveren til nærmere at anføre, hvilken type personoplysninger der kan behandles i henhold til forslaget, at angive de formål, hvortil personoplysninger kan behandles af de forskellige berørte enheder, og at fastlægge en præcis, nødvendig og forholdsmæssig datatilbageholdelsesperiode for ovennævnte behandling.

4.3.   Kontrolbesøg på stedet

31.

I artikel 61, stk. 2, litra c), tillægges ESMA beføjelse til at gennemføre varslede eller uvarslede kontrolbesøg på stedet. Det er ikke klart, om disse kontrolbesøg er begrænset til et transaktionsregisters erhvervslokaler, eller om de også kan foretages på fysiske personers private bopæl eller ejendom. Artikel 56, stk. 1, litra c), i henhold til hvilken Kommissionen efter anmodning fra ESMA kan pålægge personer, der er ansat af, arbejder for eller er knyttet til et transaktionsregister, tvangsbøder med henblik på at tvinge dem til at underkaste sig en kontrolundersøgelse på stedet, som ESMA har påbudt i henhold til artikel 61, stk. 2, kunne (utilsigtet) pege i anden retning.

32.

Uden at uddybe dette punkt anbefaler EDPS, at beføjelsen til gennemførelse af kontrolbesøg på stedet (og den tilknyttede beføjelse til at pålægge tvangsbøder i henhold til artikel 56) begrænses til kun at omfatte forretningslokaler tilhørende transaktionsregistre og andre juridiske personer, der i væsentlig grad og klart er knyttet til disse (34). Men skulle Kommissionen påtænke at tillade kontrolbesøg af ikke-erhvervsmæssige lokaler tilhørende fysiske personer, bør dette tydeliggøres, og der bør fastlægges strengere krav for at sikre, at nødvendigheds- og proportionalitetsprincipperne overholdes (specielt hvad angår angivelsen af de omstændigheder og betingelser, under hvilke sådanne kontrolbesøg kan gennemføres).

4.4.   Udveksling af oplysninger og formålsbegrænsningsprincippet

33.

En række bestemmelser i den foreslåede forordning giver mulighed for en bred udveksling af data og oplysninger mellem ESMA, kompetente myndigheder i medlemsstater og kompetente myndigheder i tredjelande (se navnlig artikel 21, 23 og 62). Der kan også ske overførsel af data til tredjelande, når en anerkendt CCP eller et anerkendt transaktionsregister i et tredjeland leverer tjenesteydelser til enheder, som er anerkendt i EU. For så vidt som de udvekslede oplysninger og data vedrører identificerede eller identificerbare fysiske personer, finder artikel 7-9 i forordning (EF) nr. 45/2001 og 25-26 i direktiv 95/46/EF anvendelse som relevant. Overførsler til tredjelande kan navnlig kun ske, når der er sikret en passende grad af beskyttelse i disse lande, eller en af de relevante undtagelser, som er foreskrevet i databeskyttelseslovgivningen, finder anvendelse. For klarhedens skyld bør der indføjes en eksplicit henvisning til forordning (EF) nr. 45/2001 og direktiv 95/46/EF i teksten, hvori det hedder, at sådanne overførsler bør ske i overensstemmelse de gældende regler, som er fastsat i henholdsvis forordningen eller direktivet.

34.

I overensstemmelse med formålsbegrænsningsprincippet (35) anbefaler EDPS også, at der indføres klare grænser for, hvilke typer personoplysninger der kan udveksles, og at formålene, hvortil personoplysninger kan udveksles, præciseres.

4.5.   Ansvarlighed og indberetning

35.

Forslagets artikel 68 indeholder en række af Kommissionens indberetningsforpligtelser vedrørende gennemførelsen af forskellige elementer af den foreslåede forordning. EDPS anbefaler, at der også indføres en forpligtelse for ESMA til periodiske indberetninger om anvendelsen af dens undersøgelsesbeføjelser og specielt beføjelsen til at kræve oplysninger om telefonsamtaler og datatrafik. Kommissionen bør også på baggrund af rapportens konklusioner kunne fremsætte henstillinger, herunder eventuelt forslag om ændring af forordningen.

5.   KONKLUSIONER

36.

Nærværende forslag tillægger ESMA beføjelse til at »kræve oplysninger om telefonsamtaler og datatrafik« med henblik på at udføre opgaver i forbindelse med tilsynet med transaktionsregistre. For at kunne blive anset for nødvendig og forholdsmæssig skal beføjelsen til at kræve oplysninger om telefonsamtaler og datatrafik begrænses til, hvad der er passende til opfyldelsen af målet, og må ikke overskride grænsen for, hvad der er nødvendigt for at nå dette. Bestemmelsen i sin nuværende formulering opfylder ikke disse krav, da den er for bredt formuleret. Specielt er beføjelsens personlige og materielle afgrænsning og de omstændigheder og betingelser, under hvilke den kan anvendes, ikke tilstrækkeligt præciseret.

37.

Selv om bemærkningerne i nærværende udtalelse er møntet på forslaget til forordning om OTC-derivater, er de også relevante for anvendelsen af den gældende lovgivning og for andre igangværende og eventuelle fremtidige forslag, der indeholder tilsvarende bestemmelser. Dette gælder navnlig, når den pågældende beføjelse — som det er tilfældet i det nærværende forslag — tillægges en EU-myndighed, uden at der henvises til de særlige betingelser og procedurer, der er fastlagt i national ret (f.eks. forslaget til forordning om ændring af forordning om kreditvurderingsbureauer).

38.

På baggrund af ovenstående anbefaler EDPS, at lovgiveren:

tydeligt anfører, hvilke typer telefonsamtaler og datatrafik transaktionsregistrene skal opbevare og/eller stille til rådighed for de kompetente myndigheder, idet sådanne oplysninger skal være tilstrækkelige og relevante og ikke omfatte mere end det, der kræves til opfyldelse af de formål, hvortil de behandles;

begrænser beføjelsen til at kræve adgang til oplysninger om telefonsamtaler og datatrafik til kun at omfatte transaktionsregistre;

ekspliciterer, at adgang til telefonsamtaler og datatrafik direkte fra telekommunikationsselskaber er udelukket;

begrænser adgangen til oplysninger om telefonsamtaler og datatrafik til klarlagte og alvorlige overtrædelser af den foreslåede forordning og til sager, hvor der foreligger en begrundet mistanke (der bør understøttes af konkrete oprindelige beviser) om, at der er begået en overtrædelse;

præciserer, at transaktionsregistre kun skal udlevere oplysninger om telefonsamtaler og datatrafik, når de anmodes herom ved en formel afgørelse, hvori bl.a. retten til at få afgørelsen prøvet ved en domstol fastslås;

kræver, at afgørelsen ikke kan træffes uden forudgående retslig tilladelse fra den pågældende medlemsstats nationale domstolsmyndighed (som minimum når en sådan tilladelses kræves ifølge national ret);

kræver, at Kommissionen vedtager gennemførelsesforanstaltninger, hvori det nærmere anføres, hvilke procedurer der skal følges, herunder passende sikkerhedsforanstaltninger og garantier.

39.

Hvad angår andre aspekter af forslaget, henviser EDPS til sine bemærkninger i nærværende udtalelses afsnit 4. EDPS anbefaler navnlig, at lovgiveren:

indføjer en henvisning til direktiv 95/46/EF og forordning (EF) nr. 45/2001 — som minimum i betragtningerne til forslaget til direktiv — og helst også i en substansbestemmelse, hvori det anføres, at bestemmelserne i forslaget til forordning ikke berører henholdsvis direktiv og forordning;

præciser, hvilken type personoplysninger der kan behandles i henhold til forslaget i overensstemmelse med nødvendighedsprincippet (specielt i relation til artikel 6 og 67), anfører de formål, til hvilke personoplysninger kan behandles af de forskellige berørte myndigheder/enheder, og fastlægger præcise, nødvendige og forholdsmæssige datatilbageholdelsesperioder for ovennævnte behandling;

begrænser beføjelsen til gennemførelse af kontrolbesøg på stedet i henhold til artikel 61, stk. 2, litra c), og til pålæggelse af tvangsbøder i henhold til artikel 56 til kun at omfatte transaktionsregistre og andre juridiske personer, der klart og i alt væsentligt er knyttet til disse;

ekspliciterer, at internationale overførsler af personoplysninger skal ske i overensstemmelse med de relevante regler i forordning (EF) nr. 45/2001 og direktiv 95/46/EF, indfører klare grænser for, hvilken type personoplysninger der kan udveksles, og fastlægger de formål, til hvilke personoplysninger kan udveksles.

Udfærdiget i Bruxelles, den 19. april 2011.

Giovanni BUTTARELLI

Den assisterende europæiske tilsynsførende for databeskyttelse


(1)  EFT L 281 af 23.11.1995, s. 31.

(2)  EFT L 8 af 12.1.2001, s. 1.

(3)  KOM(2010) 484 endelig.

(4)  Europa-Parlamentets og Rådets forordning (EU) nr. 1092/2010 af 24. november 2010 om makrotilsyn på EU-plan med det finansielle system og om oprettelse af et europæisk udvalg for systemiske risici, (EUT L 331 af 15.12.2010, s. 1).

(5)  Europa-Parlamentets og Rådet forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF, (EUT L 331 af 15.12.2010, s. 12).

(6)  Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/79/EF, (EUT L 331 af 15.12.2010, s. 48).

(7)  Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/79/EF, (EUT L 331 af 15.12.2010, s. 84).

(8)  Et derivat er en finansiel kontrakt knyttet til den fremtidige værdi eller status af det underliggende instrument, som det refererer til (f.eks. udviklingen i rentesatser eller i en valutaværdi).

(9)  Normalt de ansatte, der varetager telefonsamtaler og datatrafik, samt modtagere og andre berørte brugere.

(10)  Se artikel 6, stk. 1, i direktiv 2002/58/EF, (EFT L 201 af 31.7.2002, s. 45).

(11)  Se artikel 15, stk. 1, i direktiv 2002/58/EF, hvori det hedder, at sådanne indskrænkninger bør udgøre en nødvendig, passende og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke.

(12)  Se f.eks. de forenede sager C-92/09 og C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09) mod Land Hessen, endnu ikke offentliggjort i samlingen, præmis 74.

(13)  Det hedder f.eks. i betragtning 44, at transaktionsregistre er underlagt strenge registrerings- og datastyringskrav. Det præciseres i artikel 66, at transaktionsregistre »(omgående skal) registrere de oplysninger, der modtages i henhold til artikel 6, og skal opbevare dem i mindst 10 år efter de relevante kontrakters udløb. De skal anvende rettidige og effektive registreringsprocedurer med henblik på at dokumentere ændringer af de registrerede oplysninger [sic]«. Det bestemmes videre i artikel 67, at »transaktionsregistre skal gøre de nødvendige oplysninger tilgængelige« for ESMA og forskellige andre kompetente myndigheder.

(14)  Udtrykket »oplysninger om telefonsamtaler og datatrafik« kan potentielt omfatte en lang række forskellige oplysninger, herunder om en kommunikations varighed, tid eller omfang, om den anvendte protokol, om lokaliseringen af afsenders eller modtagers terminaludstyr, om det net, som kommunikationen udgår fra eller ender i, om en forbindelses begyndelse, afslutning eller varighed eller endda om de besøgte websteder og om selve kommunikationens indhold, såfremt den registreres. Oplysningerne udgør personoplysninger i det omfang, de vedrører en identificeret eller identificerbar fysisk person.

(15)  Se artikel 6, stk. 1, litra c), i direktiv 95/46/EF og artikel 4, stk. 1, litra c), i forordning (EF) nr. 45/2001. Det bør også overvejes, om der kan tilvejebringes særlige garantier for at undgå, at oplysninger om ren privat brug registreres og behandles.

(16)  Artikel 56, stk. 1, litra c), ifølge hvilken Kommissionen efter anmodning fra ESMA kan pålægge personer, der er ansat af, arbejder for eller er knyttet til et transaktionsregister, tvangsbøder med henblik på at tvinge dem til at underkaste sig en undersøgelse iværksat af ESMA i henhold til artikel 61, stk. 2, kunne (utilsigtet) pege i anden retning.

(17)  Som sagt knæsætter e-databeskyttelsesdirektivet det overordnede princip, at trafikdata skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen. Sådanne data kan kun viderebehandles med henblik på debitering og afregning for samtrafik og indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger. Eventuelle afvigelser fra dette princip skal være nødvendige, passende og forholdsmæssige i et demokratisk samfund (f.eks. af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem).

(18)  Det kan f.eks. nævnes, at der ifølge den italienske forfatning kræves en domstolskendelse eller -tilladelse, for at der kan foretages et indgreb i korrespondancehemmeligheden, herunder adgang til trafikdata, som ikke afslører kommunikationens indhold.

(19)  Et lignende krav er blevet indføjet i den ændrede udgave af forslaget til forordning om ændring af forordning om kreditvurderingsbureauer, som vedtoges af Europa-Parlamentet i december 2010.

(20)  Europa-Parlamentets og Rådets direktiv 2003/6/EF af 28. januar 2003 om insiderhandel og kursmanipulation (markedsmisbrug), (EUT L 96 af 12.4.2003, s. 16).

(21)  Europa-Parlamentets og Rådets direktiv 2004/39/EF af 21. april 2004 om markeder for finansielle instrumenter, om ændring af Rådets direktiv 85/611/EØF og 93/6/EØF samt Europa-Parlamentets og Rådets direktiv 2000/12/EF og om ophævelse af Rådets direktiv 93/22/EØF, (EUT L 145 af 30.4.2004, s. 1).

(22)  Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer (investeringsinstitutter), (EUT L 302 af 17.11.2009, s. 32).

(23)  Europa-Parlamentets og Rådets forordning (EF) nr. 1060/2009 af 16. september 2009 om kreditvurderingsbureauer, (EUT L 302 af 17.11.2009, s. 1).

(24)  Forslag af 30. april 2009 om Europa-Parlamentets og Rådets direktiv om forvaltere af alternative investeringsfonde og om ændring af direktiv 2004/39/EF og 2009/…/EF, KOM(2009) 207.

(25)  Forslag af 2. juni 2010 til Europa-Parlamentets og Rådets forordning om ændring af forordning (EF) nr. 1060/2009 om kreditvurderingsbureauer, KOM(2010) 289.

(26)  Forslag af 15. september 2010 til Europa-Parlamentets og Rådets forordning (EU) nr..../... om short selling og visse aspekter af credit default swaps, KOM(2010) 482.

(27)  Forslag af 8. december 2010 til Europa-Parlamentets og Rådets forordning om integritet og gennemsigtighed på energimarkederne, KOM(2010) 726.

(28)  Se f.eks. artikel 12, stk. 2, i markedsmisbrugsdirektivet, som er nævnt i fodnote 20. Se også artikel 50 i direktivet om markeder for finansielle instrumenter, der er nævnt i fodnote 21.

(29)  F.eks. kan Kommissionen i medfør af artikel 37 i den foreslåede forordning om ændring af forordning om kreditvurderingsbureauer ændre bilagene til forordningen, der indeholder nærmere bestemmelser om de krav til arkiveringspraksis, som kreditvurderingsbureauerne er underlagt; se også betragtning 10 i den foreslåede forordning om ændring af forordning om kreditvurderingsbureauer, ifølge hvilken ESMA bør have beføjelse til at udstede ikke-bindende retningslinjer om spørgsmål vedrørende forordningens anvendelse.

(30)  Ifølge forslagets artikel 6, stk. 4, tillægges Kommissionen beføjelser til at fastsætte oplysningerne og indberetningstyperne for de forskellige derivatklasser, idet det præciseres, at sådanne indberetninger mindst skal indeholde oplysninger om: a) parterne til kontrakten og, såfremt det ikke er de samme, modtageren af rettigheder og forpligtelser i henhold til kontrakten; og b) kontraktens væsentligste karakteristika, herunder type, underliggende aktiver, løbetid og nominel værdi.

(31)  Se »Begrundelse«, s. 11. I artikel 67 konkretiseres dette, idet det foreskrives, at transaktionsregistre skal gøre de nødvendige oplysninger tilgængelige for en række enheder, nemlig ESMA, de kompetente myndigheder, som fører tilsyn med de virksomheder, der er underlagt indberetningskravet, den kompetente myndighed, som fører tilsyn med CCP'er og de relevante centralbanker i ESCB.

(32)  Se f.eks. udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 6. januar 2010 om forslaget til Rådets direktiv om administrativt samarbejde på beskatningsområdet, (EUT C 101 af 20.4.2010, s. 1).

(33)  Artikel 20, stk. 3, lyder som følger: »De kompetente myndigheder, ESMA, organer samt fysiske eller juridiske personer bortset fra kompetente myndigheder, der modtager fortrolige oplysninger i henhold til denne forordning, kan, medmindre der er tale om tilfælde, der er omfattet af straffelovgivningen, kun anvende oplysningerne i forbindelse med udførelsen af deres hverv og, for de kompetente myndigheders vedkommende, udøvelsen af deres funktioner inden for denne forordnings anvendelsesområde eller for andre myndigheders, organers eller fysiske eller juridiske personers vedkommende til det formål, hvortil disse oplysninger blev givet til dem, og/eller i forbindelse med administrative eller retlige procedurer, der specielt er knyttet til udøvelsen af disse funktioner. Den myndighed, der modtager oplysningerne, kan dog anvende dem til andre formål, hvis ESMA, den kompetente myndighed eller en anden myndighed, et andet organ eller en anden person, der har meddelt oplysningerne, giver sit samtykke hertil«.

(34)  En lignende præcisering er blevet indføjet i den ændrede udgave af den foreslåede forordning om ændring af forordning om kreditvurderingsbureauer, som blev vedtaget af Europa-Parlamentet i december 2010.

(35)  Se artikel 6, stk. 1, litra b), i direktiv 95/46/EF og artikel 4, stk. 1, litra b) i forordning (EF) nr. 45/2001.


Top