EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0923(03)

Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse vedrørende forslag til Europa-Parlamentets og Rådets forordning om integritet og gennemsigtighed på energimarkederne

OJ C 279, 23.9.2011, p. 20–27 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

23.9.2011   

DA

Den Europæiske Unions Tidende

C 279/20


Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse vedrørende forslag til Europa-Parlamentets og Rådets forordning om integritet og gennemsigtighed på energimarkederne

2011/C 279/03

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,

under henvisning til Den Europæiske Unions charter om grundlæggende rettigheder, særlig artikel 7 og 8,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1),

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (2), særlig artikel 41 —

VEDTAGET FØLGENDE UDTALELSE:

I.   INDLEDNING

1.

Den 8. december 2010 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om integritet og gennemsigtighed på energimarkederne (3) (»forordningsforslaget«).

2.

Kommissionen hørte ikke Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), selv om det er påkrævet i henhold til artikel 28, stk. 2, i forordning (EF) nr. 45/2001. EDPS afgiver denne udtalelse på eget initiativ i overensstemmelse med artikel 41, stk. 2, i denne forordning. EDPS er bekendt med, at denne rådgivning gives på et sent tidspunkt i lovgivningsprocessen. Han finder det alligevel passende og nyttigt at afgive denne udtalelse i betragtning af den betydelige potentielle indvirkning, som forordningsforslaget kan have på retten til privatlivets fred og beskyttelse af personoplysninger. En henvisning til denne udtalelse bør medtages i forordningsforslagets præambel.

3.

Hovedformålet med forordningsforslaget er at forhindre kursmanipulation og insiderhandel på engrosenergimarkederne (gas og elektricitet). Integritet og gennemsigtighed på energimarkederne, hvor gas og elektricitet handles mellem energiproducerende virksomheder og handlende, er afgørende for de priser, som forbrugerne betaler i sidste ende.

4.

Til det formål fastlægges der ved forslaget omfattende regler på EU-plan med henblik på at forhindre handlende i at udnytte intern viden til deres egen fordel og i at manipulere kurserne ved kunstigt at få dem til at ligge på et niveau, som ikke er berettiget af den faktiske rådighed over og de faktiske omkostninger til produktions-, lager-, oplagrings- og transportkapacitet. I henhold til de foreslåede regler forbydes navnlig følgende:

udnyttelse af intern viden ved salg eller køb af energi på engrosmarkederne; eksklusive og kursfølsomme oplysninger skal fremlægges, inden handel kan finde sted

transaktioner, der giver falske eller vildledende signaler om udbuddet af, efterspørgslen efter eller kursen på engrosenergiprodukter

formidling af falske nyheder eller rygter, der giver vildledende signaler om disse produkter.

5.

Agenturet for Samarbejde mellem Energireguleringsmyndigheder (»ACER«) (4) er ansvarligt for markedsovervågningen på europæisk plan med det formål at afdække eventuelle overtrædelser af disse forbud.

6.

I henhold til forordningsforslaget får ACER rettidig adgang til fuldstændige data vedrørende transaktioner med engrosenergiprodukter. Dette omfatter oplysninger om kurser, solgte mængder og de involverede parter. Disse bulkdata deles også med de nationale regulerende myndigheder, som derefter er ansvarlige for undersøgelserne i tilfælde af mistanke om misbrug af data. I tilfælde med grænseoverskridende indvirkning har ACER beføjelse til at koordinere undersøgelserne. De nationale regulerende myndigheder håndhæver eventuelle sanktioner.

7.

Forslaget efterfølger en række nylige lovgivningsforslag, der har til formål at styrke de eksisterende finanstilsynsbestemmelser og forbedre koordinering og samarbejde på EU-plan, herunder direktivet om insiderhandel og kursmanipulation (5) og direktivet om markeder for finansielle instrumenter (6). EDPS har for nylig udtalt sig om et andet af disse nylige forslag (7).

II.   EDPS' BEMÆRKNINGER OG HENSTILLINGER

8.

Forordningsforslaget indeholder flere bestemmelser, der er relevante for beskyttelsen af personoplysninger:

artikel 6-8 om markedsovervågning og -rapportering

artikel 9 om databeskyttelse og driftssikkerhed

artikel 10 og 11 om undersøgelse og håndhævelse

artikel 14 om forbindelser med tredjelande.

II.1.   Markedsovervågning og -rapportering (artikel 6-8)

Relevante bestemmelser

9.

Forordningsforslaget bygger på den forudsætning, at der for at afsløre markedsmisbrug (i) er behov for en markedsovervågningsmyndighed, som fungerer effektivt, og som har rettidig adgang til fuldstændige transaktionsdata, og at (ii) dette skal omfatte overvågning på EU-plan. Forordningen fastsætter derfor, at ACER skal indsamle, gennemgå og udveksle en stor mængde data fra engrosenergimarkeder (med relevante nationale og europæiske myndigheder).

10.

I henhold til forordningsforslaget skal markedsdeltagerne navnlig give ACER en oversigt over deres transaktioner med engrosenergiprodukter. Ud over oversigter over transaktioner skal markedsdeltagerne også give ACER oplysninger vedrørende »kapaciteten af produktions-, lager-, forbrugs eller transmissionsanlæg for elektricitet eller naturgas«.

11.

Formen, indholdet og fristen for de oplysninger, der skal indberettes, fastlægges i delegerede retsakter fra Kommissionen.

EDPS' bemærkninger og henstillinger

12.

Eftersom fastlæggelsen af indholdet af de oplysninger, der skal indsamles i forbindelse med denne overvågning og rapportering, i henhold til forslaget alene sker gennem delegerede retsakter, kan det ikke udelukkes, at personoplysninger — dvs. enhver form for information om en identificeret eller identificerbar fysisk person (8) — kan være involveret. I henhold til den nuværende EU-lovgivning er dette kun tilladt, når det er nødvendigt og står i forhold til det specifikke formål (9). Forordningsforslaget skal derfor tydeligt angive, om og i hvilket omfang oversigter over transaktioner og oplysninger om kapacitet, der indsamles med henblik på overvågning, indeholder personoplysninger (10).

13.

Hvis behandling af personoplysninger forventes, kræves der muligvis også særlige garantier, f.eks. vedrørende begrænsning, lagringsperiode og mulige modtagere af oplysningerne. I betragtning af deres grundlæggende karakter skal disse garantier angives direkte i den foreslåede forordning og ikke i delegerede retsakter.

14.

Hvis der derimod ikke forventes behandling af personoplysninger (eller hvis sådan behandling kun sker i særlige og sjældne tilfælde, hvor en engrosenergihandlende er en person og ikke en juridisk enhed), skal dette angives tydeligt i forslaget, i det mindste i en betragtning.

II.2.   Databeskyttelse og driftssikkerhed (artikel 9)

Relevante bestemmelser

15.

I henhold til artikel 9, stk. 1, skal ACER sikre »fortrolig behandling og beskyttelse af de oplysninger, det modtager i henhold til artikel 7, samt oplysningernes integritet« (dvs. oversigter over transaktioner og oplysninger om kapacitet indsamlet inden for rammerne af markedsovervågning). I henhold til artikel 9 overholder ACER i de relevante tilfælde Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001, når det behandler personoplysninger i henhold til artikel 7.

16.

I medfør af artikel 9, stk. 1, identificerer ACER endvidere »kilderne til driftsrisici og reducerer dem ved at udvikle passende systemer, kontroller og procedurer«.

17.

Endelig kan ACER i henhold til artikel 9, stk. 2, offentliggøre dele af de oplysninger, det er i besiddelse af, »forudsat at forretningsmæssigt følsomme oplysninger om individuelle markedsdeltagere eller individuelle transaktioner ikke videregives«.

EDPS' bemærkninger og henstillinger

18.

Det glæder EDPS, at artikel 9 delvist omhandler databeskyttelse, og at det i den foreslåede forordning specifikt kræves, at ACER overholder forordning (EF) nr. 45/2001.

a)   Anvendelighed af forordning (EF) nr. 45/2001 og direktiv 95/46/EF

19.

Imidlertid understreger EDPS, at forordning (EF) nr. 45/2001 gælder fuldt ud for ACER i medfør af denne forordning, når det behandler personoplysninger. Forslaget bør derfor minde om, at forordning (EF) nr. 45/2001 ikke kun gælder for ACER, når det behandler data i henhold til artikel 7, men også i alle andre situationer, navnlig også når ACER behandler personoplysninger vedrørende formodet markedsmisbrug eller formodede overtrædelser i henhold til artikel 11. For at være mere præcis anbefaler EDPS desuden, at sætningen »når personoplysninger behandles« anvendes i situationer, hvor ACER skal overholde forordning (EF) nr. 45/2001, i stedet for udtrykket »i de relevante tilfælde«.

20.

Der skal også henvises til direktiv 95/46/EF, eftersom dette direktiv gælder for de involverede nationale regulerende myndigheders behandling af personoplysninger. For tydelighedens skyld anbefaler EDPS, at forordningsforslaget generelt anfører (i det mindste i en betragtning), at direktiv 95/46/EF finder anvendelse for de berørte nationale regulerende myndigheder, mens ACER er underlagt forordning (EF) nr. 45/2001.

b)   Ansvarlighed

21.

EDPS glæder sig over kravet om, at ACER skal identificere kilderne til driftsrisici og reducere dem ved at udvikle passende systemer, kontroller og procedurer. For yderligere at styrke princippet om ansvarlighed (11) skal forordningsforslaget specifikt kræve, at ACER fastlægger en klar ramme for ansvarlighed, der sikrer databeskyttelse og giver dokumentation herfor, hvis behandlingen af personoplysninger spiller en strukturel rolle. Denne klare ramme, som fastlægges af ACER, skal indeholde en række elementer, herunder:

vedtagelse og opdatering efter behov af en databeskyttelsespolitik på grundlag af en konsekvensanalyse (med henblik på at medtage en vurdering af sikkerhedsrisici), idet databeskyttelsespolitikken også skal omfatte en sikkerhedsplan

udførelse af periodiske revisioner for at vurdere den fortsatte egnethed af og overensstemmelse med databeskyttelsespolitikken, herunder revision af sikkerhedsplanen

offentliggørelse (i det mindste delvist) af resultaterne af disse revisioner for at forsikre de interesserede parter om, at databeskyttelsen overholdes

underretning om databrud og andre sikkerhedshændelser til Kommissionens databeskyttelseskonsulent, de berørte registrerede samt andre interesserede parter og myndigheder, hvis det er relevant (12).

22.

Tilsvarende krav gælder også for nationale regulerende myndigheder og andre berørte EU-myndigheder.

c)   ACER's offentliggørelse af oplysninger

23.

Med hensyn til kravet i artikel 9, stk. 2, om, at ACER skal offentliggøre dele af de oplysninger, det er i besiddelse af, er EDPS klar over, at formålet med bestemmelsen ikke er at give ACER bemyndigelse til at offentliggøre data med henblik på »naming and shaming« og offentligt afsløre virksomheders eller enkeltpersoners forseelser.

24.

Imidlertid anføres det i forslaget ikke, hvorvidt hensigten er at offentliggøre personoplysninger. For at undgå enhver tvivl bør forordningsforslaget derfor udtrykkeligt angive, at de offentliggjorte oplysninger ikke må indeholde personoplysninger, eller præcisere, hvilke personoplysninger der eventuelt må afsløres.

25.

Hvis personoplysninger skal offentliggøres, skal behovet for offentliggørelse nøje overvejes og opvejes mod andre konkurrerende hensyn, såsom behovet for at beskytte retten til privatlivets fred og de berørte personers ret til beskyttelse af personoplysninger.

26.

Inden en offentliggørelse skal der derfor gennemføres en vurdering af proportionaliteten på baggrund af de kriterier, der er fastlagt af EU-Domstolen i sagen Schecke (13). I denne sag understregede EU-Domstolen, at undtagelser og begrænsninger i forbindelse med beskyttelsen af personoplysninger kun finder anvendelse i det omfang, det er strengt nødvendigt. EU-Domstolen fandt desuden, at de europæiske institutioner skulle undersøge forskellige fremgangsmåder til offentliggørelse af oplysninger for at finde frem til en, der ville være forenelig med formålet med en sådan offentliggørelse og samtidig ville være mindre indgribende i de registreredes ret til respekt for deres privatliv og ret til beskyttelse af deres personoplysninger.

II.3.   Undersøgelsesbeføjelser (artikel 10)

Relevante bestemmelser

27.

I forslaget forventes det, at markedsovervågning efterfølges af en undersøgelse ved mistanke om markedsmisbrug, og at dette kan føre til passende sanktioner. I navnlig artikel 10, stk. 1, kræves det, at medlemsstaterne sikrer, at de nationale regulerende myndigheder tillægges alle de nødvendige undersøgelsesbeføjelser, for at de kan sikre, at forordningens bestemmelser om kursmanipulation og insiderhandel finder anvendelse (14).

EDPS' bemærkninger og henstillinger

28.

Det glæder EDPS, at det i artikel 10, stk. 1, anføres, at (i) undersøgelsesbeføjelser (kun) udøves for at sikre, at forordningens bestemmelser om kursmanipulation og insiderhandel finder anvendelse (artikel 3 og 4), og at (ii) disse beføjelser udøves på en rimelig måde.

29.

Forslaget bør dog gå videre for at sikre retlig sikkerhed og tilstrækkelig beskyttelse af personoplysninger. Som det fremgår af det følgende, er der to hovedproblemer med den tekst, der foreslås i artikel 10. For det første angiver artikel 10 ikke tilstrækkeligt klart omfanget af undersøgelsesbeføjelserne. Det er f.eks. ikke tilstrækkeligt klart, om der kan kræves oplysninger om private telefonsamtaler, eller om der kan gennemføres kontrolundersøgelser på stedet i et privat hjem. Dernæst omhandler artikel 10 ikke de nødvendige proceduremæssige garantier mod risikoen for uberettiget krænkelse af privatlivets fred eller misbrug af personoplysninger. Der kræver f.eks. ikke en kendelse fra en retslig myndighed.

30.

Tilsyneladende fastlægges både omfanget af undersøgelsesbeføjelserne og de nødvendige garantier af de nationale lovgivninger. I henhold til artikel 10, stk. 1, har medlemsstaterne faktisk mange muligheder, idet det angives, at medlemsstaterne »udøver beføjelserne a) direkte, b) i samarbejde med andre myndigheder eller med markedsvirksomheder eller c) ved begæring til de kompetente retslige myndigheder«. Dette tillader tilsyneladende forskelle i de nationale fremgangsmåder, f.eks. med hensyn til om og under hvilke omstændigheder der kræves en kendelse fra en retslig myndighed.

31.

Nogle nationale lovgivninger omhandler allerede tilstrækkelige proceduremæssige garantier og databeskyttelsesbestemmelser til at sikre registrerede retlig sikkerhed, men der skal vedtages visse afklaringer, og der skal fastlægges minimumskrav med hensyn til proceduremæssige garantier og databeskyttelsesbestemmelser på EU-plan i den foreslåede forordning, hvilket beskrives i det følgende.

32.

Når EU-lovgivning kræver, at medlemsstaterne iværksætter foranstaltninger på nationalt plan, der berører grundlæggende rettigheder (f.eks. retten til privatlivets fred og beskyttelse af personoplysninger), understreger EDPS som et generelt princip, at lovgivningen også skal kræve, at der samtidig med de restriktive foranstaltninger skal gennemføres effektive foranstaltninger, som sikrer beskyttelsen af de pågældende grundlæggende rettigheder. Harmonisering af foranstaltninger, der kan krænke privatlivets fred, f.eks. undersøgelsesbeføjelser, skal med andre ord ledsages af harmonisering af tilstrækkelige proceduremæssige garantier og bestemmelser om databeskyttelse baseret på bedste praksis.

33.

En sådan tilgang vil hjælpe med at forhindre alt for store forskelle på nationalt plan og sikre et højere og mere ensartet beskyttelsesniveau for personoplysninger i hele EU.

34.

Hvis minimumsgarantier ikke kan harmoniseres på nuværende tidspunkt, anbefaler EDPS, at forordningsforslaget som minimum specifikt kræver, at medlemsstaterne vedtager nationale gennemførelsesforanstaltninger med henblik på at sikre de nødvendige proceduremæssige garantier og databeskyttelsesbestemmelser. Dette er så meget desto mere vigtigt, da den valgte retsakt er en forordning, som finder direkte anvendelse, og som generelt ikke kræver yderligere gennemførelsesforanstaltninger i medlemsstaterne.

II.4.   Kontrolundersøgelser på stedet (artikel 10, stk. 2, litra c)

Relevante bestemmelser

35.

I henhold til forordningsforslaget omfatter de undersøgelsesbeføjelser, der tillægges de nationale regulerende myndigheder, specifikt beføjelsen til at gennemføre kontrolundersøgelser på stedet (artikel 10, stk. 2, litra c).

EDPS' bemærkninger og henstillinger

36.

Det er ikke klart, om disse kontrolundersøgelser er begrænset til erhvervsejendomme (lokaler, jord og køretøjer) tilhørende en markedsdeltager, eller om de kan gennemføres i personers private ejendomme (lokaler, jord og køretøjer). Det er uklart, om kontrolundersøgelserne også kan gennemføres uden forudgående varsel (»dawn raids«).

37.

Hvis Kommissionen agter at kræve, at medlemsstaterne bemyndiger de regulerende myndigheder til at gennemføre kontrolundersøgelser på stedet af personers private ejendomme eller gennemføre dawn raids, skal dette først og fremmest angives tydeligt.

38.

Dernæst understreger EDPS også, at proportionaliteten af kontrolundersøgelser på stedet af personers private ejendomme (som f.eks. i personers private hjem) langt fra er indlysende og skal begrundes specifikt, hvis dette forventes.

39.

I dette tilfælde er der for det tredje behov for yderligere garantier, navnlig med hensyn til de omstændigheder, hvorunder sådanne kontrolundersøgelser kan gennemføres. Det skal f.eks. og uden begrænsning i forslaget angives, at en kontrolundersøgelse på stedet kun kan gennemføres i en persons private hjem, hvis der er rimelig og konkret mistanke om, at beviser, der er relevante som dokumentation for alvorlig overtrædelse af forordningens artikel 3 eller 4 (dvs. bestemmelserne om kursmanipulation og insiderhandel), opbevares i det pågældende hjem. Det er vigtigt, at der i forslaget også kræves en retslig kendelse i alle medlemsstater (15).

40.

For at sikre proportionalitet og forhindre overdreven indgriben i privatlivets fred skal det for det fjerde ved uanmeldte kontrolundersøgelser i private hjem endvidere kræves, at dokumentation sandsynligvis vil blive ødelagt eller ændret, hvis der gennemføres et anmeldt kontrolbesøg. Dette bør klart fastsættes i den foreslåede forordning.

II.5.   Beføjelser til at kræve »oplysninger om foreliggende telefonsamtaler og foreliggende datatrafik« (artikel 10, stk. 2, litra d))

Relevante bestemmelser

41.

I henhold til artikel 10, stk. 2, litra d), skal de nationale regulerende myndigheders beføjelser specifikt omfatte beføjelsen til at »kræve oplysninger om foreliggende telefonsamtaler og foreliggende datatrafik«.

EDPS' bemærkninger og henstillinger

42.

EDPS anerkender værdien af oplysninger om telefonsamtaler og datatrafik i sager om insiderhandel, navnlig med henblik på at fastlægge forbindelserne mellem insidere og handlende. Omfanget af denne beføjelse er dog ikke tilstrækkeligt klar, ligesom tilstrækkelige proceduremæssige garantier og databeskyttelsesbestemmelser ikke er omhandlet. EDPS anbefaler derfor, at forslaget præciseres som anført i det følgende. Navnlig følgende forhold skal omhandles:

a)   Hvilken type oplysninger om telefonsamtaler og datatrafik kan kræves?

43.

Af hensyn til den retlige sikkerhed skal det i forslaget først og fremmest præciseres, hvilke typer oplysninger myndigheder om nødvendigt kan kræve.

44.

Forslaget skal specifikt begrænse omfanget af undersøgelsesbeføjelserne til a) indholdet af oplysninger om telefonsamtaler, e-mails og anden datatrafik, der allerede indsamles rutinemæssigt og i henhold til lovgivningen af handlende til kommercielle formål som dokumentation for transaktioner, og b) trafikdata (f.eks. hvem der har foretaget opkaldet eller sendt oplysningerne, til hvem, og hvornår), som allerede er direkte tilgængelige fra de berørte markedsdeltagere (handlende).

45.

Forslaget skal endvidere angive, at oplysninger skal være indsamlet i henhold til lovgivningen og i overensstemmelse med gældende databeskyttelseslove, herunder bestemmelser om tilstrækkelige oplysninger til registrerede, jf. artikel 10 og 11 i direktiv 95/46/EF.

b)   Hvad henviser betegnelsen »foreliggende« til?

46.

Det glæder EDPS, at forslaget begrænser denne beføjelse til »foreliggende« oplysninger og dermed ikke kræver, at de regulerende myndigheder gives beføjelser til at kræve, at en handlende eller tredjepart specifikt aflytter, overvåger eller registrerer telefonsamtaler eller datatrafik som et led i undersøgelsen.

47.

For at udelukke enhver tvivl skal denne hensigt dog præciseres, som minimum i en betragtning. Enhver mulighed for at fortolke forordningsforslaget, så de nationale regulerende myndigheder får et retligt grundlag til at aflytte, overvåge eller registrere telefonsamtaler eller datatrafik, både skjult og åbent, med eller uden kendelse, skal udelukkes.

c)   Kan indholdet af telefonsamtaler og datatrafik også kræves eller kun oplysninger om trafikdata?

48.

I forslaget anføres »foreliggende telefonsamtaler og foreliggende datatrafik«. Det er ikke tilstrækkeligt klart, om både indholdet af foreliggende data- og telefonkommunikation og trafikdata (f.eks. hvem der har foretaget opkaldet eller sendt oplysningerne, til hvem, og hvornår) kan kræves.

49.

Dette bør præciseres i den foreslåede forordning. Som anført i afsnit 43-45 skal det klart angives, hvilke typer oplysninger der kan kræves, og det skal sikres, at disse oplysninger i første gang er indsamlet i overensstemmelse med gældende databeskyttelseslove.

d)   Kan oplysninger kræves af internettjenester og telekommunikationsvirksomheder?

50.

Forslaget skal utvetydigt angive, hvem de nationale regulerende myndigheder kan kræve oplysninger af. I den henseende er EDPS klar over, at artikel 10, stk. 2, litra d), ikke har til formål at tillade, at de nationale myndigheder kræver trafikdata af udbydere af »offentligt tilgængelige elektroniske kommunikationstjenester« (16) (som f.eks. telefonvirksomheder eller internettjenester).

51.

Forslaget henviser faktisk slet ikke til sådanne tjenester og bruger ikke udtrykket »trafikdata«. Det henviser heller ikke hverken indirekte eller direkte til den kendsgerning, at der kræves en undtagelse fra kravene i e-direktivet om privatlivets fred (17), som fastlægger det generelle princip, at trafikdata kun må viderebehandles med henblik på debitering af abonnenten og afregning for samtrafik.

52.

For at undgå enhver tvivl anbefaler EDPS, at det i forordningsforslaget, som minimum i en betragtning, udtrykkeligt nævnes, at forslaget ikke fastsætter et retligt grundlag, for at data kan kræves af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester.

e)   Kan oplysninger kræves af andre tredjeparter?

53.

Det skal endvidere i forslaget afklares, om de nationale regulerende myndigheder kun kan kræve oplysninger af de markedsdeltagere, der er genstand for en undersøgelse, eller om de også kan kræve oplysninger af tredjeparter (f.eks. en part i en transaktion med den markedsdeltager, der er genstand for en undersøgelse, eller et hotel, hvor en person under mistanke for insiderhandel har opholdt sig).

f)   Kan private oplysninger kræves?

54.

Endelig skal det i forslaget afklares, om myndighederne også kan kræve private oplysninger af personer, f.eks. ansatte eller ledere i den markedsdeltager, der er genstand for en undersøgelse (f.eks. SMS'er fra private mobiltelefoner eller browsinghistorik fra privat internetbrug, der er lagret på en privat computer).

55.

Det kan diskuteres, hvor vidt et krav om private oplysninger er proportionalt og skal begrundes specifikt, hvis det finder anvendelse.

56.

Som ved kontrolundersøgelser på stedet (se afsnit 35-40 ovenfor) skal forslaget kræve en kendelse fra en retslig myndighed og yderligere specifikke garantier, hvis myndighederne kræver private oplysninger.

II.6.   Rapportering af formodet markedsmisbrug (artikel 11): formålsbegrænsning og datalagring

Relevante bestemmelser

57.

Med hensyn til grænseoverskridende samarbejde tildeles ACER en vigtig rolle, idet det skal underrette de nationale regulerende myndigheder om potentielt markedsmisbrug og lette informationsudvekslingen. For at fremme samarbejdet kræves det specifikt i artikel 11, stk. 2, at de nationale regulerende myndigheder "så nøjagtigt som muligt" giver ACER meddelelse derom, hvis de har begrundet mistanke om en overtrædelse af den foreslåede forordning. For at sikre en koordineret tilgang kræves der i artikel 11, stk. 3, endvidere deling af informationer mellem de nationale regulerende myndigheder, de kompetente finansmyndigheder, ACER og Den Europæiske Værdipapirtilsynsmyndighed (»ESMA«) (18).

EDPS' bemærkninger og henstillinger

58.

I overensstemmelse med princippet om formålsbegrænsning (19) skal forslaget specifikt fastlægge, at alle personoplysninger, der overføres i medfør af artikel 11 i forordningsforslaget (rapporter om formodet markedsmisbrug), kun må anvendes med det formål at undersøge det rapporterede formodede markedsmisbrug. Oplysninger må under ingen omstændigheder bruges til formål, der er uforenelige med dette formål.

59.

Data må ikke lagres i lange perioder. Dette er endnu vigtigere i de tilfælde, hvor det påvises, at den indledende mistanke var ubegrundet. I sådanne tilfælde skal der være en specifik begrundelse for yderligere lagring (20).

60.

I den henseende skal der i forslaget først fastlægges en maksimal lagringsperiode, hvori ACER og andre modtagere af oplysningerne kan opbevare oplysningerne, under hensyntagen til formålet med datalagringen. Medmindre et formodet markedsmisbrug har resulteret i en specifik undersøgelse, og undersøgelsen stadig er i gang, skal alle personoplysninger vedrørende det rapporterede formodede markedsmisbrug slettes fra alle modtageres registre efter udløbet af en angiven periode. Medmindre en længere lagringsperiode er klart begrundet, finder EDPS, at sletning skal gennemføres senest to år efter datoen for rapporteringen af mistanken (21).

61.

Hvis en mistanke viser sig at være ubegrundet, og/eller en undersøgelse afsluttes uden yderligere foranstaltninger, skal forslaget forpligte den rapporterende regulerende myndighed, ACER og alle tredjeparter med adgang til oplysninger vedrørende formodet markedsmisbrug til hurtigt at informere disse parter, så de kan opdatere deres registre omgående eller efter udløbet af en passende lagringsperiode) (22).

62.

Disse bestemmelser skal hjælpe med at sikre, at uskyldige personer ikke forbliver på en blackliste eller under mistanke i en unødvendig lang tidsperiode (se artikel 6, litra e), i direktiv 95/46/EF og den tilsvarende artikel 4, litra e), i forordning (EF) nr. 45/2001).

II.7.   Dataoverførsler til tredjelande (artikel 14)

Relevante bestemmelser

63.

Artikel 7, 8 og 11 i forordningsforslaget omhandler udveksling af data og oplysninger mellem ACER, ESMA og medlemsstaternes myndigheder. I henhold til artikel 14 (»Forbindelser med tredjelande«) kan ACER »indgå administrative aftaler med internationale organisationer og tredjelandes forvaltninger«. Dette kan resultere i overførsel af personoplysninger fra ACER og muligvis også fra ESMA og/eller medlemsstaternes myndigheder til internationale organisationer og tredjelandes forvaltninger.

EDPS' bemærkninger og henstillinger

64.

EDPS anbefaler, at det i artikel 14 i forslaget præciseres, at overførsel af personoplysninger kun kan ske i overensstemmelse med artikel 9 i forordning (EF) nr. 45/2001 og artikel 25 og 26 i direktiv 95/46/EF. Internationale overførsler må navnlig kun finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, eller til enheder eller personer i et tredjeland, som ikke sikrer tilstrækkelig beskyttelse, hvis den registeransvarlige dokumenterer tilstrækkelige garantier med hensyn til beskyttelsen af enkeltpersoners privatliv samt grundlæggende rettigheder og frihedsrettigheder og med hensyn til udøvelsen af de tilsvarende rettigheder.

65.

EDPS betoner, at undtagelser (som f.eks. undtagelserne, jf. artikel 9, stk. 6, i forordning (EF) nr. 45/2001 og direktivets artikel 26, stk. 1), principielt ikke må bruges til at begrunde masseoverførsel, systematisk overførsel og/eller strukturel overførsel af data til tredjelande.

II.8.   Forudgående kontrol af ACER's koordinationsindsats i forbindelse med undersøgelser

66.

Nogle af de data, der udveksles mellem ACER, ESMA og forskellige myndigheder i medlemsstaterne vedrørende formodede overtrædelser, indeholder sandsynligvis personoplysninger, f.eks. identiteten af de formodede overtrædere eller andre involverede personer (f.eks. vidner, whistle-blowers, ansatte eller andre personer, der handler på vegne af virksomheder, der er involveret i handel).

67.

I artikel 27, stk. 1, i forordning (EF) nr. 45/2001 hedder det, at "behandlinger, der på grund af deres art, omfang og formål vil kunne indebære særlige risici for de registreredes rettigheder og frihedsrettigheder, gøres til genstand for forudgående kontrol, som foretages af Den Europæiske Tilsynsførende for Databeskyttelse". I artikel 27, stk. 2, bekræftes det specifikt, at behandling af personoplysninger om mistanke om strafbare forhold og lovovertrædelser vil kunne indebære sådanne risici og kræver forudgående kontrol. I betragtning af den rolle, ACER tildeles ved koordineringen af undersøgelser, skal det sandsynligvis behandle data om »mistanke om strafbare forhold«, og dets aktiviteter vil derfor være genstand for forudgående kontrol (23).

68.

I forbindelse med den forudgående kontrolprocedure kan EDPS give ACER yderligere råd og specifikke henstillinger med hensyn til overensstemmelse med reglerne om databeskyttelse. Forudgående kontrol af ACER's aktiviteter kan også sikre yderligere fordele, eftersom forordning (EF) nr. 713/2009 om oprettelse af ACER ikke indeholder henvisninger til beskyttelsen af personoplysninger og ikke har været genstand for en lovgivningsmæssig udtalelse fra EDPS.

III.   KONKLUSIONER

69.

Forslaget skal præcisere, om personoplysninger behandles i forbindelse med markedsovervågning og -rapportering, og hvilke garantier der finder anvendelse. Hvis der derimod ikke forventes behandling af personoplysninger (eller hvis sådan behandling kun sker i særlige og sjældne tilfælde, hvor en engrosenergihandlende er en person og ikke en juridisk enhed), skal dette angives tydeligt i forslaget, i det mindste i en betragtning.

70.

Bestemmelser om databeskyttelse, datasikkerhed og ansvarlighed skal afklares og skærpes yderligere, navnlig hvis behandlingen af personoplysninger skal spille en mere strukturel rolle. Kommissionen skal sikre, at der tilvejebringes tilstrækkelige kontrolforanstaltninger til at sikre overensstemmelse med reglerne om databeskyttelse og tilvejebringe dokumentation herfor (»ansvarlighed«).

71.

Forslaget skal præcisere, om kontrolundersøgelser på stedet er begrænset til erhvervsejendomme (lokaler, jord og køretøjer) tilhørende en markedsdeltager, eller om de også kan gennemføres i personers private ejendomme (lokaler eller køretøjer). I sidstnævnte tilfælde skal nødvendigheden og proportionaliteten af denne beføjelse klart begrundes, og der skal kræves en retlig kendelse og yderligere garantier. Dette bør klart fastsættes i den foreslåede forordning.

72.

Omfanget af beføjelserne til at kræve oplysninger om »foreliggende telefonsamtaler og foreliggende datatrafik« skal afklares. Forslaget skal utvetydigt angive, hvilke oplysninger der kan kræves, og af hvem. Det skal i forordningsforslaget, som minimum i en betragtning, udtrykkeligt nævnes, at forslaget ikke fastsætter et retligt grundlag, for at data kan kræves af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Det skal i forslaget afklares, om myndighederne også kan kræve private oplysninger af personer, f.eks. ansatte eller ledere i den markedsdeltager, der er genstand for en undersøgelse (f.eks. SMS'er fra private mobiltelefoner eller browsinghistorik fra privat internetbrug). Hvis dette er tilfældet, skal nødvendigheden og proportionaliteten af denne beføjelse klart begrundes, og der skal i forslaget kræves en retlig kendelse.

73.

Med hensyn til rapportering af formodet markedsmisbrug skal forslaget specifikt fastlægge, at alle personoplysninger i sådanne rapporter kun må anvendes med det formål at undersøge det rapporterede formodede markedsmisbrug. Medmindre et formodet markedsmisbrug har resulteret i en specifik undersøgelse, og undersøgelsen stadig er i gang (eller en mistanke har vist sig at være velbegrundet og har resulteret i en vellykket undersøgelse), skal alle personoplysninger vedrørende det rapporterede formodede markedsmisbrug slettes fra alle modtageres registre efter udløbet af en angiven periode (medmindre andet er begrundet senest to år efter rapportens dato). Parterne i en informationsudveksling skal endvidere sende hinanden en opdatering, hvis en mistanke viser sig at være ubegrundet, og/eller en undersøgelse afsluttes uden yderligere foranstaltninger.

74.

Med hensyn til overførsler af personoplysninger til tredjelande skal forslaget tydeliggøre, at overførsler i princippet kun kan foretages til enheder eller personer i et tredjeland, der ikke yder en passende beskyttelse, hvis den registeransvarlige påberåber sig passende foranstaltninger med hensyn til beskyttelse af privatlivets fred og grundlæggende rettigheder og frihedsrettigheder for de enkelte personer og med hensyn til udøvelse af de tilsvarende rettigheder.

75.

ACER skal forelægge EDPS sine aktiviteter vedrørende behandling af personoplysninger i forbindelse med koordinering af undersøgelser i medfør af forordningsforslagets artikel 11 til forudgående kontrol.

Udfærdiget i Bruxelles, den 21. juni 2011.

Giovanni BUTTARELLI

Europæisk assisterende tilsynsførende for databeskyttelse


(1)  EFT L 281 af 23.11.1995, s. 31 (i det følgende benævnt »direktiv 95/46/EF«).

(2)  EFT L 8 af 12.1.2001, s. 1 (i det følgende benævnt »forordning (EF) nr. 45/2001«).

(3)  KOM(2010) 726 endelig.

(4)  ACER er et EU-organ, der blev oprettet i 2010. Det har til opgave at bistå de nationale energitilsyn i udøvelsen på EU-plan af de opgaver, de udøver i medlemsstaterne, og efter behov koordinere deres indsats.

(5)  Europa-Parlamentets og Rådets direktiv 2003/6/EF af 28. januar 2003 om insiderhandel og kursmanipulation (markedsmisbrug), EUT L 96 af 12.4.2003, s. 16.

(6)  Europa-Parlamentets og Rådets direktiv 2004/39/EF af 21. april 2004 om markeder for finansielle instrumenter om ændring af Rådets direktiv 85/611/EØF og 93/6/EØF samt Europa-Parlamentets og Rådets direktiv 2000/12/EF og om ophævelse af Rådets direktiv 93/22/EØF, EUT L 145 af 30.4.2004, s. 1.

(7)  Flere oplysninger om den bredere sammenhæng med de relaterede lovgivningsforslag findes i EDPS' udtalelse om forslag til Europa-Parlamentets og Rådets forordning om OTC-derivater, centrale modparter og transaktionsregistre afgivet den 19. april 2011, herunder navnlig afsnit 4, 5 og 17-20.

(8)  Jf. artikel 2, litra a), i direktiv 95/46/EF og artikel 2, litra a), i forordning (EF) nr. 45/2001.

(9)  Jf. artikel 6, stk. 1, litra c), og artikel 7, litra c), i direktiv 95/46/EF samt artikel 4, stk. 1, litra c), og artikel 5, litra b), i forordning (EF) nr. 45/2001.

(10)  I henhold til artikel 9, stk. 1, i forslaget — med henvisning til forordning (EF) nr. 45/2001 — kan dette være tilfældet, men der gives ikke yderligere detaljer. Se mere om dette i afsnit II.2 i denne udtalelse.

(11)  Jf. afsnit 7 i EDPS' udtalelse om meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Økonomiske og Sociale Udvalg og Regionsudvalget »En global metode til beskyttelse af personoplysning er i Den Europæiske Union« af 14. januar 2011 (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

(12)  Jf. afsnit 6.3 i EDPS' udtalelse af 14. januar 2011 som anført ovenfor.

(13)  EU-Domstolens dom af 9. november 2010, forenede sager C-92/09 og C-93/09, Schecke og Eifert; se navnlig præmis 81, 65 og 86.

(14)  Det skal bemærkes, at forordningsforslaget ikke tillægger ACER tilsvarende undersøgelsesbeføjelser. Sådanne beføjelser tillægges ikke ACER i Europa-Parlamentets og Rådets forordning (EF) nr. 713/2009 af 13. juli 2009 om oprettelse af et agentur for samarbejde mellem energireguleringsmyndigheder, EUT L 211 af 14.8.2009, s. 1.

(15)  Se f.eks. Den Europæiske Menneskerettighedsdomstols dom i sagen Funke mod Frankrig (sag 82/1991/334/407), 25. februar 1993, præmis 55-57.

(16)  Jf. artikel 2, litra c), i direktiv 2002/21/EF Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet), EFT L 108 af 24.4.2002, s. 33.

(17)  Jf. artikel 6, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(18)  ESMA er et uafhængigt EU-organ, der medvirker til at beskytte stabiliteten af EU's finansielle system ved at sikre værdipapirmarkedernes integritet, gennemsigtighed, effektivitet og velordnede funktionsmåde og ved at forbedre beskyttelsen af investorer.

(19)  Jf. artikel 6, stk. 1, litra b), i direktiv 95/46/EF og artikel 4, stk. 1, litra b), i forordning (EF) nr. 45/2001.

(20)  Som eksempel nævner EDPS i denne sammenhæng Den Europæiske Menneskerettighedsdomstols afgørelse i sagen S og Marper mod Det Forenede Kongerige (2008) (4. december 2008) (begæring 30562/04 og 30566/04), som fastlægger, at langvarig lagring af oplysninger om personer, der ikke er dømt for en kriminel handling, var et brud på deres ret til privatlivets fred i henhold til artikel 8 i den europæiske menneskerettighedskonvention.

(21)  Hvis en mistanke viser sig at være velbegrundet og resulterer i en vellykket undersøgelse, skal forslaget fastlægge en specifik — ikkeoverdreven — lagringsperiode efter undersøgelsens afslutning.

(22)  Disse oplysninger skal også fremsendes til den berørte registrerede.

(23)  Det skal bemærkes, at databehandling, der udføres af nationale myndigheder, også kan være genstand for forudgående kontrol af nationale eller regionale datatilsynsmyndigheder i henhold til nationale databeskyttelseslove, der er vedtaget i overensstemmelse med artikel 20 i direktiv 95/46/EF.


Top