15.5.2012   

DA

Den Europæiske Unions Tidende

C 139/6

1.

Denne udtalelse indgår i en pakke med fire udtalelser fra den tilsynsførende om den finansielle sektor, alle vedtaget samme dag.

2.

Den 15. november 2011 vedtog Kommissionen et forslag til forordning om ændring af forordning (EF) nr. 1060/2009 om kreditvurderingsbureauer (i det følgende benævnt »forordningen om kreditvurderingsbureauer«) (3). Dette forslag blev sendt til høring hos den tilsynsførende den 18. november 2011.

3.

Den tilsynsførende glæder sig over at blive hørt af Kommissionen og anbefaler, at der henvises til denne udtalelse i det vedtagne instruments præambel.

4.

Den tilsynsførende beklager imidlertid, at han hverken blev formelt hørt af Kommissionen under udarbejdelsen af den oprindelige forordning om kreditvurderingsbureauer, der trådte i kraft den 7. december 2010, eller i forbindelse med den seneste ændring af denne forordning (4).

5.

Den tilsynsførende finder det således hensigtsmæssigt og nyttigt at rejse en række spørgsmål vedrørende den gældende forordning om kreditvurderingsbureauer i denne udtalelse. Han gør for det første opmærksom på forordningen om kreditvurderingsbureauers potentielle følger på databeskyttelsesområdet. For det andet er analysen i nærværende udtalelse direkte relevant for anvendelsen af gældende lovgivning og for andre aktuelle og eventuelle fremtidige forslag indeholdende lignende bestemmelser som redegjort for i den tilsynsførendes udtalelser om lovgivningspakken om ændring af banklovgivningen, markeder for finansielle instrumenter (MIFID/MIFIR) og markedsmisbrug.

6.

Efter Kommissionens opfattelse er kreditvurderingsbureauer vigtige deltagere på det finansielle marked, der skal være omfattet af hensigtsmæssige lovgivningsrammer. Den første forordning om kreditvurderingsbureauer trådte i kraft den 7. december 2010. I henhold til forordningen skal kreditvurderingsbureauer overholde strenge adfærdsregler for at begrænse eventuelle interessekonflikter og sikre høj kvalitet og tilstrækkelig gennemsigtighed i kreditvurderingerne og kreditvurderingsprocessen. Eksisterende kreditvurderingsbureauer skulle ansøge om at blive registreret og overholde kravene i forordningen senest den 7. september 2010.

7.

En ændret udgave af forordningen om kreditvurderingsbureauer (forordning (EU) nr. 513/2011), der trådte i kraft den 1. juni 2011, gav ESMA eksklusive tilsynsbeføjelser over kreditvurderingsbureauer, der er registreret i EU, med det formål at centralisere og forenkle registreringen af og tilsynet med disse bureauer på EU-plan.

8.

Det aktuelle lovforslag indeholder forslag til ændring af forordningen om kreditvurderingsbureauer, men træder ikke i stedet for forordningen. Det væsentligste politikmål med ændringsforslaget er at løse en række problemer i relation til kreditvurderingsbureauer og brugen af vurderinger, der ikke er blevet tilstrækkeligt indgående behandlet i den gældende forordning om kreditvurderingsbureauer.

9.

De fleste bestemmelser i forordningen om kreditvurderingsbureauer vedrører kreditvurderingsbureauernes aktiviteter og tilsynet hermed, men gennemførelsen og anvendelsen af lovgivningsrammerne kan i visse tilfælde berøre fysiske personer i forbindelse med behandling af personoplysninger.

10.

I henhold til forordningen om kreditvurderingsbureauer kan der ske udveksling af oplysninger mellem ESMA, de kompetente myndigheder, de kompetente sektormyndigheder og eventuelt tredjelande (5). Disse oplysninger kan meget vel vedrøre fysiske personer såsom personer, der er involveret i kreditvurderingsaktiviteter, eller personer, der på anden vis har en tæt og væsentlig forbindelse til eller er forbundet med kreditvurderingsbureauer eller kreditvurderingsaktiviteter. Disse bestemmelser kan have konsekvenser med hensyn til beskyttelse af oplysninger for de pågældende personer.

11.

I lyset af ovenstående vil der i denne udtalelse være fokus på følgende aspekter af forordningen om kreditvurderingsbureauer vedrørende privatlivets fred og databeskyttelse: 1) databeskyttelseslovgivningens anvendelsesområde, 2) overførsel af personoplysninger til tredjelande, 3) adgang til oplysninger om telefonsamtaler og datatrafik, og 4) oplysningskrav vedrørende strukturerede finansielle instrumenter og tvangsbøder.

12.

I en række betragtninger (7) i forordningen om kreditvurderingsbureauer henvises til chartret om grundlæggende rettigheder, direktiv 95/46/EF og forordning (EF) nr. 45/2001. Der bør imidlertid også henvises til gældende databeskyttelseslovgivning i en substansbestemmelse i forordningen om kreditvurderingsbureauer.

13.

Et godt eksempel på en sådan substansbestemmelse findes i artikel 22 i forslaget til Europa-Parlamentets og Rådets forordning om insiderhandel og kursmanipulation (markedsmisbrug) (8), hvor det udtrykkeligt angives, at direktiv 95/46/EF og forordning (EF) nr. 45/2001 generelt finder anvendelse på behandling af personoplysninger inden for rammerne af forslaget. Den tilsynsførende har afgivet en udtalelse i dag, hvori han glæder sig meget over denne form for generelle bestemmelse. Den tilsynsførende foreslår imidlertid, at henvisningen til direktiv 95/46/EF tydeliggøres ved at præcisere, at bestemmelserne finder anvendelse i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF.

14.

Det er f.eks. relevant i forbindelse med de forskellige bestemmelser om udveksling af personoplysninger. Disse bestemmelser er helt legitime, men de skal anvendes i overensstemmelse med databeskyttelseslovgivningen. Det er navnlig vigtigt at undgå risikoen for, at de betragtes som en generel tilladelse til udveksling af alle former for personoplysninger. Hvis der ligeledes blev henvist til databeskyttelseslovgivningen i substansbestemmelserne, ville denne risiko blive væsentligt reduceret (9).

15.

Den tilsynsførende forslår derfor, at der indføjes en lignende substansbestemmelse som i artikel 22 i forslaget til Europa-Parlamentets og Rådets forordning om insiderhandel og kursmanipulation (markedsmisbrug) (10), jf. hans forslag til dette forslag (11), dvs. understregning af den gældende databeskyttelseslovgivnings anvendelsesområde og tydeliggørelse af henvisningen til direktiv 95/46/EF ved at præcisere, at bestemmelserne finder anvendelse i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF.

16.

Den tilsynsførende bemærker henvisningen til forordning (EF) nr. 45/2001 i artikel 34, tredje afsnit, i forordningen om kreditvurderingsbureauer om overførsel af personoplysninger til tredjelande.

17.

I lyset af de risici, der er forbundet med sådanne overførsler, anbefaler den tilsynsførende imidlertid, at der indføjes særlige garantier som i artikel 23 i forslaget til Europa-Parlamentets og Rådets forordning om insiderhandel og kursmanipulation (markedsmisbrug). I sin udtalelse om dette forslag ser den tilsynsførende med tilfredshed på anvendelsen af en sådan bestemmelse med tilstrækkelige garantier som f.eks. vurdering fra sag til sag, sikring af nødvendigheden af videregivelsen og eksistensen af et passende beskyttelsesniveau for personoplysninger i det tredjeland, der modtager personoplysningerne.

18.

I henhold til artikel 23c, stk. 1, litra e), kan ESMA med henblik på at varetage sine opgaver i henhold til denne forordning foretage alle nødvendige undersøgelser. Med henblik herpå har embedsmænd fra ESMA eller andre personer bemyndiget af ESMA beføjelse til at anmode om oplysninger om telefonsamtaler og datatrafik. På grund af bestemmelsens brede formulering rejser den en række tvivlsspørgsmål om den materielle og personlige afgrænsning. I forordningen om kreditvurderingsbureauer kræves desuden forudgående dommerkendelse, for at ESMA kan kræve adgang til oplysninger om telefonsamtaler og datatrafik, såfremt en sådan kendelse er påkrævet i henhold til national lovgivning (14).

19.

Begrebet »oplysninger om telefonsamtaler og datatrafik« er ikke defineret i forslaget til forordning. I direktiv 2002/58/EF (nu benævnt »e-databeskyttelsesdirektivet«, efter at det er blevet ændret ved direktiv 2009/136/EF) henvises der kun til »trafikdata«, men ikke til »oplysninger om telefonsamtaler og datatrafik«. Det er klart, at den nøjagtige betydning af disse begreber er afgørende for undersøgelsesbeføjelsernes indgriben i de pågældende personers ret til privatlivets fred og databeskyttelse. Den tilsynsførende foreslår at anvende den allerede fastlagte terminologi i definitionen af »trafikdata« i direktiv 2002/58/EF.

20.

Data i forbindelse med anvendelsen af elektroniske kommunikationsmidler kan indeholde en lang række personoplysninger som f.eks. identiteten af de personer, der foretager og modtager opkaldet, tidspunktet for og varigheden af opkaldet, det anvendte netværk og brugerens geografiske placering i tilfælde af bærbare anordninger. Visse trafikdata i forbindelse med anvendelsen af internettet og e-mail (f.eks. listen over besøgte websteder) kan desuden afsløre vigtige detaljer om kommunikationens indhold. Hertil kommer, at behandlingen af trafikdata strider mod korrespondancehemmeligheden. I betragtning af dette fastslås i direktiv 2002/58/EF det princip, at trafikdata skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen (15). I henhold til direktivets artikel 15, stk. 1, kan medlemsstaterne i den nationale lovgivning indføje undtagelser til specifikke lovlige formål, men undtagelserne bør være nødvendige, passende og forholdsmæssige i et demokratisk samfund med henblik på opfyldelsen af disse formål (16).

21.

Den tilsynsførende erkender, at de mål, Kommissionen forfølger i forordningen om kreditvurderingsbureauer, er lovlige. Han har forståelse for behovet for initiativer, der sigter mod at styrke overvågningen af finansmarkederne med henblik på at bevare deres soliditet og sikre en bedre beskyttelse af investorerne og økonomien som helhed. Undersøgelsesbeføjelser, der er direkte relateret til trafikdata, skal imidlertid på grund af deres potentielt indgribende karakter opfylde kravene om nødvendighed og proportionalitet, dvs. at de skal begrænses til, hvad der er passende til opfyldelsen af formålet, og at de ikke må overskride grænsen for, hvad der er nødvendigt for at nå dette (17). På denne baggrund er det derfor vigtigt, at undersøgelsesbeføjelserne er klart formuleret med hensyn til deres personlige og materielle afgrænsning samt de omstændigheder og betingelser, under hvilke de kan anvendes. Der bør desuden tilvejebringes passende garantier mod risikoen for misbrug.

22.

Artikel 23c bemyndiger ESMA til at foretage undersøgelser af personer, der er involveret i kreditvurderingsaktiviteter, eller personer, der på anden vis har en tæt og væsentlig forbindelse til eller er forbundet med kreditvurderingsbureauer eller kreditvurderingsaktiviteter. I henhold til artikel 23b kan disse fysiske personer også blive anmodet om at give ESMA alle de oplysninger, der anses som nødvendige.

23.

Disse bestemmelser indebærer klart, at udveksling af personoplysninger er omfattet af forordningen om kreditvurderingsbureauer. Det forekommer sandsynligt — eller det kan i hvert fald ikke udelukkes — at oplysningerne om de pågældende telefonsamtaler og datatrafik omfatter personoplysninger som defineret i direktiv 95/46/EF og forordning (EF) nr. 45/2001 og — i relevant udstrækning — direktiv 2002/58/EF, dvs. oplysninger vedrørende identificerede eller identificerbare fysiske personers telefonsamtaler eller datatrafik (18). Så længe dette er tilfældet, bør det sikres, at betingelserne for rimelig og lovlig behandling af personoplysninger, således som de er fastlagt i direktiverne og forordningen, overholdes fuldt ud.

24.

Den tilsynsførende gør opmærksom på, at i henhold til artikel 23c, stk. 5, skal der anmodes om en dommerkendelse, såfremt en sådan kendelse kræves i henhold til national lovgivning. Den tilsynsførende mener imidlertid, at et sådant generelt krav om forudgående dommerkendelse altid vil være begrundet — uanset om den kræves i henhold til national lovgivning — i betragtning af den pågældende beføjelses potentielle indgriben og valget af en forordning som egnet lovgivningsinstrument. Der skal også tages højde for, at de forskellige love i medlemsstaterne omfatter særlige garantier for hjemmets ukrænkelighed som følge af uforholdsmæssige og mangelfuldt regulerede kontroller, undersøgelser eller beslaglæggelser, navnlig foretaget af institutioner af administrativ art.

25.

Som anført ovenfor under punkt 2.1 er tilsynsmyndighedernes beføjelse til at kræve adgang til oplysninger om telefonsamtaler og datatrafik ikke en ny beføjelse i EU-lovgivningen, idet en sådan beføjelse allerede er foreskrevet i en række gældende direktiver og forordninger om finanssektoren. Specielt indeholder markedsmisbrugsdirektivet (19), MiFID-direktivet (20) og UCITS-direktivet (21) alle bestemmelser med en tilsvarende formulering. Det samme gælder en række nylige forslag, som Kommissionen har vedtaget, nemlig forslag til direktiv om forvaltere af alternative investeringsfonde (22), forslag til forordning om short selling og visse aspekter af credit default swaps (23) og forslag til forordning om integritet og gennemsigtighed på energimarkederne (24).

26.

Hvad angår disse gældende og foreslåede retsakter, bør der sondres mellem de undersøgelsesbeføjelser, der tillægges de nationale myndigheder, og dem, der tillægges EU-myndighederne. En række retsakter forpligter medlemsstaterne til at tillægge de nationale myndigheder beføjelse til at kræve oplysninger om telefonsamtaler og datatrafik i henhold til national ret (25). Som følge heraf er den faktiske opfyldelse af denne forpligtelse nødvendigvis undergivet national ret, herunder den lov, der gennemfører direktiv 95/46/EF og 2002/58/EF, og andre nationale love, som indeholder yderligere proceduregarantier for de nationale tilsyns- og undersøgelsesmyndigheder.

27.

Der er ikke fastsat nogen betingelse af denne art i forordningen om kreditvurderingsbureauer eller de øvrige retsakter, der tillægger EU-myndighederne beføjelse til direkte at kræve oplysninger om telefonsamtaler og datatrafik. Der er følgelig i disse tilfælde et endnu strengere krav om i selve retsakten at præcisere denne beføjelses personlige og materielle afgrænsning og de omstændigheder og betingelser, under hvilke beføjelsen kan anvendes, og at sikre, at der er tilvejebragt passende garantier mod misbrug.

28.

I forordningens artikel 23c, stk. 1, litra e), tillægges ESMA beføjelse til at anmode om oplysninger om telefonsamtaler og datatrafik. Som der vil blive gjort nærmere rede for nedenfor, er afgrænsningen af bestemmelsen og specielt den nøjagtige betydning af »oplysninger om telefonsamtaler og datatrafik« ikke klar.

29.

Definitionen af »oplysninger om telefonsamtaler og datatrafik« er ikke helt klar og bør derfor tydeliggøres. Bestemmelsen kunne henvise til oplysninger om telefonsamtaler og datatrafik, som kreditbureauer er forpligtet til at registrere i forbindelse med deres virksomhed. Forordningen indeholder imidlertid ikke nærmere enkeltheder om, hvilke oplysninger om telefonsamtaler og datatrafik der skal registreres af kreditvurderingsbureauerne (26). Hvis bestemmelsen derfor henviser til de fortegnelser, som opbevares af kreditvurderingsbureauerne, er det vigtigt præcist at fastlægge, hvilke kategorier af oplysninger om telefonsamtaler og datatrafik der skal registreres og kan kræves af ESMA. I overensstemmelse med proportionalitetsprincippet skal sådanne oplysninger være passende, relevante og ikke omfatte mere end det, der kræves til opfyldelse af de tilsynsformål, hvortil de behandles (27).

30.

Der er specielt i den foreliggende sag behov for mere præcision i betragtning af de store bøder og tvangsbøder, som kreditvurderingsbureauer og andre berørte personer (inklusive fysiske personer, hvad angår tvangsbøder) kan pålægges for brud på forordningen (jf. artikel 36a og 36b).

31.

Det skal også bemærkes, at Kommissionen i ovennævnte artikel 37 tillægges beføjelse til at vedtage ændringer, der giver Kommissionen mulighed for at ændre bilagene til forordningen, der indeholder nærmere bestemmelser om de krav til arkiveringspraksis, som kreditvurderingsbureauerne er underlagt, og dermed indirekte den beføjelse, i henhold til hvilken ESMA gives adgang til oplysninger om telefonsamtaler og datatrafik. I henhold til artikel 290 i TEUF kan Kommissionen i en lovgivningsmæssig retsakt få delegeret beføjelse til at vedtage almengyldige ikkelovgivningsmæssige retsakter, der udbygger eller ændrer visse ikkevæsentlige bestemmelser i den lovgivningsmæssige retsakt. Efter den tilsynsførendes opfattelse kan den præcise afgrænsning af beføjelsen med hensyn til adgang til datatrafik ikke anses for en ikkevæsentlig bestemmelse i forordningen. Den materielle afgrænsning af beføjelsen bør derfor anføres nærmere direkte i forordningens tekst og ikke udskydes til fremtidige delegerede retsakter.

32.

Den tilsynsførende kan forstå, at formålet med artikel 23c, stk. 1, litra e), ikke er at tillade ESMA at få adgang til datatrafik direkte fra telekommunikationsudbydere. Dette synes at være en naturlig konklusion, specielt i betragtning af at der i forslaget på ingen måde henvises til de data, der opbevares af telekommunikationsudbydere, eller til de krav, der er fastsat i e-databeskyttelsesdirektivet, jf. ovenstående punkt 36 (28). Af hensyn til klarheden anbefaler den tilsynsførende derfor, at en sådan konklusion ekspliciteres yderligere i artikel 23c i forordningen om kreditvurderingsbureauer ved udtrykkeligt at udelukke datatrafik, der opbevares af telekommunikationsudbydere.

33.

Hvis det imidlertid overvejes at give adgang til datatrafik direkte fra telekommunikationsudbydere, nærer den tilsynsførende stærk tvivl om, hvorvidt en sådan rettighed er nødvendig og forholdsmæssig, og anbefaler derfor, at denne rettighed udtrykkeligt udelukkes.

34.

I artikel 23c, stk. 1, litra e), anføres ikke de omstændigheder og betingelser, under hvilke der kan kræves adgang. Den indeholder heller ikke vigtige proceduremæssige garantier eller andre garantier mod risikoen for misbrug. Den tilsynsførende fremsætter nedenfor en række konkrete forslag på dette område.

35.

I henhold til artikel 23c, stk. 1, kan ESMA kræve adgang til oplysninger om telefonsamtaler og datatrafik for at kunne varetage de opgaver, som er omhandlet i forordningen om kreditvurderingsbureauer. Ifølge den tilsynsførende bør omstændighederne og betingelserne, under hvilke en sådan beføjelse kan udøves, defineres klarere. Den tilsynsførende anbefaler, at adgangen til oplysninger om telefonsamtaler og datatrafik begrænses til specifikt klarlagte og alvorlige overtrædelser af den foreslåede forordning og til sager, hvor der foreligger en begrundet mistanke (der bør understøttes af konkrete oprindelige beviser) om, at der er begået en overtrædelse. En sådan begrænsning er også specielt vigtig med henblik på at undgå, at adgangsbeføjelsen anvendes med henblik på »fiskeekspeditioner« eller dataminering eller forskellige andre formål.

36.

Den tilsynsførende anbefaler endvidere, at der indføres krav om, at ESMA skal anmode om oplysninger om telefonsamtaler og datatrafik ved en formel afgørelse, der indeholder oplysninger om retsgrundlaget for og formålet med anmodningen, og om, hvilke oplysninger der ønskes udleveret og den frist, inden for hvilken oplysningerne ønskes udleveret, samt adressatens ret til få afgørelsen prøvet ved Domstolen.

37.

I henhold til artikel 8a om oplysninger om strukturerede finansielle instrumenter i det aktuelle forslag til forordning om ændring af forordningen om kreditvurderingsbureauer (29) skal udstederen af et struktureret finansielt instrument samt dets initiativtager og sponsor offentliggøre oplysninger om kreditkvaliteten og resultaterne for de enkelte aktiver, der er underliggende til det strukturerede finansielle instrument, securitiseringstransaktionens struktur, pengestrømme og eventuel sikkerhedsstillelse til støtte for en securitiseringseksponering samt oplysninger, der er nødvendige for at gennemføre omfattende og informerede stresstest på pengestrømmene og sikkerhedsstillelsesværdierne til støtte for de underliggende eksponeringer. Forpligtelsen til at fremlægge oplysninger finder ikke anvendelse, såfremt videregivelse af sådanne oplysninger vil være i strid med lovgivningen om beskyttelse af fortrolige informationskilder eller behandling af personoplysninger.

38.

Denne artikel er rettet mod udstederen af et struktureret finansielt instrument samt dets initiativtager og sponsor. Den tilsynsførende glæder sig over bestemmelsen i artikel 8a i det aktuelle forslag til forordning om ændring af forordningen om kreditvurderingsbureauer om, at forpligtelsen til at fremlægge oplysninger ikke finder anvendelse, såfremt videregivelse af sådanne oplysninger vil være i strid med lovgivningen om beskyttelse af fortrolige informationskilder eller behandling af personoplysninger.

39.

Efter den tilsynsførendes opfattelse er understregningen af garantierne i lovgivningen om behandling af personoplysninger et skridt i den rigtige retning, men i overensstemmelse med ovenstående anbefalinger bør der henvises klart og udtrykkeligt til de nationale bestemmelser til gennemførelse af direktiv 95/46/EF i en substansbestemmelse i forordningen om kreditvurderingsbureauer.

40.

I henhold til artikel 36d i forordningen om kreditvurderingsbureauer skal ESMA offentliggøre, hvilke bøder og tvangsbøder der er pålagt, medmindre en sådan offentliggørelse vil være til alvorlig skade for de finansielle markeder eller forvolde de involverede parter uforholdsmæssig stor skade.

41.

I henhold til artikel 36b og artikel 23b, stk. 1, kan personer, der er involveret i kreditvurderingsaktiviteter, eller personer, der på anden vis har en tæt og væsentlig forbindelse til eller er forbundet med kreditvurderingsbureauer eller kreditvurderingsaktiviteter, pålægges tvangsbøder.

42.

Forordningen om kreditvurderingsbureauer giver således ESMA beføjelse til at pålægge ikke blot kreditinstitutioner, men også de enkeltpersoner, der i realiteten er ansvarlige for bruddet, sanktioner. I samme forbindelse skal ESMA i henhold til artikel 36d offentliggøre alle tvangsbøder, der pålægges for brud på bestemmelserne i den foreslåede forordning.

43.

Offentliggørelsen af sanktioner vil bidrage til at øge den afskrækkende virkning, da lovovertrædere og potentielle lovovertrædere vil blive afskrækket fra at begå lovovertrædelser for at undgå betydelig skade af omdømme. Det vil ligeledes øge gennemsigtigheden, da markedsoperatører vil blive gjort opmærksomme på, at en bestemt person har begået en overtrædelse. Denne forpligtelse lempes kun, når offentliggørelsen vil forvolde de involverede parter uforholdsmæssig stor skade, og i så fald offentliggør de kompetente myndigheder sanktionerne anonymt.

44.

Den tilsynsførende er ikke overbevist om, at den obligatoriske offentliggørelse af sanktioner i sin nuværende form lever op til kravene i databeskyttelseslovgivningen som præciseret af Domstolen i Schecke-dommen (31). Den tilsynsførende er af den opfattelse, at foranstaltningens formål, nødvendighed og proportionalitet ikke er tilstrækkelig klarlagt, og at der under alle omstændigheder bør tilvejebringes passende garantier mod risikoen for krænkelse af enkeltpersoners rettigheder.

45.

I Schecke-dommen annullerede Domstolen bestemmelserne i en rådsforordning og en kommissionsforordning om obligatorisk offentliggørelse af oplysninger om modtagerne af landbrugsstøtte, herunder om støttemodtagernes identitet og støttebeløbet. Domstolen fastslog, at den pågældende offentliggørelse udgjorde behandling af personoplysninger omfattet af artikel 8, stk. 2, i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«) og således et indgreb i rettighederne fastsat i chartrets artikel 7 og 8.

46.

Domstolen fastslog, at »undtagelser fra og begrænsninger af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige« og vurderede herefter offentliggørelsens formål og proportionalitet. Den konkluderede, at intet tydede på, at Rådet og Kommissionen ved vedtagelsen af den pågældende lovgivning havde taget i betragtning, hvilken fremgangsmåde til offentliggørelse af oplysningerne, der ville være forenelig med formålet med en sådan offentliggørelse og samtidig ville være mindre indgribende over for disse modtagere.

47.

Artikel 36d i forordningen om kreditvurderingsbureauer har tilsyneladende de samme mangler, som Domstolen har påpeget i Schecke-dommen. Det skal erindres, at det ved vurderingen af, om en bestemmelse om obligatorisk offentliggørelse af personoplysninger er i overensstemmelse med databeskyttelseskravene, er afgørende, at der er et klart og veldefineret formål med den påtænkte offentliggørelse Det kan kun vurderes, om offentliggørelsen af personoplysninger rent faktisk er nødvendig og proportional, hvis der er et klart og veldefineret formål med offentliggørelsen (32).

48.

Den tilsynsførende mener derfor, at foranstaltningens formål, og således nødvendighed, ikke er klarlagt. Disse spørgsmål berøres ikke i betragtningerne i forordningen om kreditvurderingsbureauer. Hvis det overordnede formål er at øge den afskrækkende virkning, burde Kommissionen have forklaret, hvorfor det f.eks. ikke ville have været tilstrækkeligt at anvende hårdere finansielle sanktioner (eller andre sanktioner ud over »naming and shaming«).

49.

Man burde have overvejet mindre indgribende metoder som f.eks. at begrænse offentliggørelsen til kreditvurderingsbureauer eller træffe afgørelse om offentliggørelse fra sag til sag. Den sidste mulighed synes umiddelbart at være en bedre løsning.

50.

Efter den tilsynsførendes opfattelse er det en bedre løsning, idet det er muligt at vurdere sagen under hensyn til de særlige forhold, og denne løsning er derfor at foretrække frem for obligatorisk offentliggørelse af alle sager. Denne skønsbeføjelse vil f.eks. give ESMA mulighed for at undlade offentliggørelse af mindre alvorlige overtrædelser, hvor overtrædelsen ikke forvoldte alvorlig skade, og hvor den pågældende har været samarbejdsvillig.

51.

Forordningen om kreditvurderingsbureauer burde have omfattet tilstrækkelige garantier for at sikre en rimelig balance mellem de forskellige berørte interesser. For det første skal der være garantier vedrørende de berørte personers ret til at få en afgørelse prøvet og uskyldsformodningen. Der burde have været indføjet en specifik bestemmelse i artikel 36d, som forpligtede ESMA til at træffe passende foranstaltninger i de tilfælde, hvor afgørelsen indbringes og efterfølgende annulleres af en domstol (33).

52.

For det andet bør forordningen om kreditvurderingsbureauer sikre en proaktiv tilgang til beskyttelsen af den registreredes rettigheder. Den tilsynsførende glæder sig over, at forordningen om kreditvurderingsbureauer giver mulighed for at undlade offentliggørelse, såfremt offentliggørelse ville forvolde uforholdsmæssig stor skade. En proaktiv tilgang bør imidlertid indebære, at de registrerede forhåndsunderrettes om den påtænkte offentliggørelse af afgørelsen om pålæg af tvangsbøder og om, at de har ret til at gøre indsigelse af vægtige legitime grunde i medfør af artikel 14 i direktiv 95/46/EF (34).

53.

For det tredje er det tænkeligt, at offentliggørelsen vil ske på internettet, selv om det ikke præciseres i forordningen om kreditvurderingsbureauer, hvilket medium der skal anvendes til at offentliggøre oplysningerne. Offentliggørelse på internettet indebærer en række specifikke problemer og risici, og det skal navnlig sikres, at oplysningerne ikke opbevares online i et længere tidsrum end nødvendigt, og at oplysningerne ikke kan manipuleres eller ændres. Anvendelsen af eksterne søgemaskiner indebærer også den risiko, at oplysningerne kan tages ud af sammenhængen og kanaliseres gennem og uden for internettet på måder, der ikke så let lader sig kontrollere (35).

54.

I lyset af ovenstående er det nødvendigt at pålægge ESMA at sikre, at de pågældende personers personoplysninger kun opbevares online i et rimeligt tidsrum, hvorefter de systematisk slettes (36). Der skal desuden stilles krav til medlemsstaterne om at sikre, at der indføres tilstrækkelige sikkerhedsforanstaltninger og garantier, navnlig for at beskytte mod risiciene forbundet med anvendelsen af eksterne søgemaskiner (37).

55.

Det er den tilsynsførendes opfattelse, at bestemmelsen om obligatorisk offentliggørelse af tvangsbøder — i sin nuværende form — ikke er i overensstemmelse med den grundlæggende ret til privatlivets fred og databeskyttelse. Lovgiveren bør nøje vurdere nødvendigheden af det foreslåede system og undersøge, om kravet om offentliggørelse går ud over, hvad der er nødvendigt for at nå det pågældende mål af almen interesse, og om det samme mål ikke kan nås med mindre restriktive foranstaltninger. Uanset resultatet af denne proportionalitetstest skal kravet om offentliggørelse under alle omstændigheder ledsages af tilstrækkelige garantier, der sikrer, at princippet om uskyldsformodning og de pågældende personers ret til at gøre indsigelse respekteres, og at oplysningerne er sikre/nøjagtige og slettes efter et passende tidsrum.

56.

Den tilsynsførende anbefaler følgende: