Resumé af udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes websted www.edps.europa.eu)

(2021/C 229/04)

EDPS fremhæver, at beskyttelsen af personoplysninger ikke udgør en hindring for innovation og især for udviklingen af nye teknologier i den finansielle sektor. Samtidig minder han om, at foranstaltninger vedtaget på EU-plan vedrørende innovative teknologier, der omfatter behandling af personoplysninger, skal overholde de generelle principper om nødvendighed og proportionalitet. Da der ikke findes et fuldt overblik over disse nye teknologiers indvirkning på vores samfund, mener EDPS desuden, at forsigtighedsprincippet bør følges.

EDPS bemærker, at de meta- eller transaktionsdata, der er gemt i DLT’en, afhængigt af konfigurationen heraf kan betragtes som personoplysninger, hvis de vedrører en identificeret eller identificerbar fysisk person. Derfor skal de dataansvarlige omhyggeligt analysere og dokumentere DLT’ens konfiguration for at afgøre, om den indebærer behandling af personoplysninger, og om aktiviteterne som følge deraf er underlagt databeskyttelsesforpligtelserne.

EDPS fremhæver, at teknologien bag nogle digitale ledgers, især dem, der er offentlige og ikke kræver tilladelse, rejser vigtige spørgsmål med hensyn til dens kompatibilitet med databeskyttelseskravene.

EDPS er af den opfattelse, at det bør drøftes, hvorvidt DLT-systemer generelt er kompatible med databeskyttelsesrammen, inden forslaget træder i kraft.

EDPS bemærker, at i tilfælde af DLT’er, der indeholder personoplysninger i kæden, vil behandlingsaktiviteterne i forbindelse hermed sandsynligvis opfylde kriterierne for klassificering af behandlingsaktiviteten som høj risiko. Derfor skal den dataansvarlige inden behandlingen af personoplysninger foretage en konsekvensanalyse vedrørende databeskyttelse for de påtænkte behandlingsaktiviteter. Desuden kan der kræves forudgående godkendelse fra den kompetente databeskyttelsesmyndighed.

EDPS anbefaler, at forslaget som en del af ansøgningen om at drive en DLT-markedsinfrastruktur anmoder om relevante oplysninger og, hvor det er relevant, de centrale oplysninger vedrørende de planlagte behandlingsaktiviteter. Desuden anbefaler han, at operatører af DLT-markedsinfrastrukturer bør offentliggøre databeskyttelseserklæringen på samme sted som deres driftsoplysninger, som det kræves i forslaget.

EDPS fremhæver, at IT- og cyberordninger, der er planlagt i forslaget om drift af DLT-markedsinfrastrukturer, også skal efterleve forpligtelserne i artikel 22 og 32 i GDPR. (1)

Med hensyn til DLT-markedsinfrastrukturoperatørers rapportering af driftsmæssige problemer anbefaler EDPS endelig, at der i en betragtning mindes om, at operatøren i tilfælde af brud på persondatasikkerheden også skal underrette den kompetente databeskyttelsesmyndighed herom i overensstemmelse med artikel 33 i GDPR og, hvor det er relevant, de registrerede i overensstemmelse med artikel 34 i GDPR.

3. BAGGRUND

Europa-Kommissionen vedtog den 24. september 2020 sit forslag til Europa-Parlamentets og Rådets forordning om en pilotordning for markedsinfrastrukturer baseret på distributed ledger-teknologi (COM (2020)594 final) (»forslaget«). Forslaget opstiller harmoniserede krav i forbindelse med specifikke markedsdeltageres, dvs. investeringsselskaber, markedsoperatører eller værdipapircentraler, ansøgning om og tilladelse til at drive digital ledger-teknologimarkedsinfrastrukturer (»DLT-markedsinfrastruktur«) i et overvåget miljø med anvendelse af specifikke undtagelser fra efterlevelse af finansforordningerne. Forslaget har navnlig følgende fire mål: skabe juridisk sikkerhed for kryptoaktiver, sikre finansiel stabilitet, beskytte forbrugere og investorer og muliggøre innovation vedrørende brugen af blockchain, distributed ledger-teknologi og kryptoaktiver.

Dette forslag er en del af en pakke, der inkluderer et forslag til forordning om opbygning af markeder for kryptoaktiver (2) (»MICA-forordningen«), et forslag til digital operationel modstandsdygtighed (3) (»DORA-forordningen«) og et forslag om at tydeliggøre eller ændre visse relaterede EU-regler for finansielle tjenester (4). EDPS forventer også at blive hørt om pakkens øvrige forordninger i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725.

Den 26. februar 2021 anmodede Europa-Kommissionen Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) om at afgive udtalelse om forslaget i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725. Disse kommentarer er begrænset til de bestemmelser i forslaget, der er relevante set fra et databeskyttelsesperspektiv.

5. KONKLUSIONER

På baggrund af ovenstående

—	minder EDPS om, at beskyttelsen af personoplysninger ikke udgør en hindring for innovation og især for udviklingen af nye teknologier, navnlig i den finansielle sektor.

—

understreger EDPS, at teknologien bag nogle digitale ledgers, især dem, der er offentlige og ikke kræver tilladelse, rejser afgørende begrebsmæssige spørgsmål med hensyn til databeskyttelseskrav; EDPS anbefaler derfor, at den mulige måde til at sikre kompatibilitet mellem DLT-systemer og databeskyttelsesrammen drøftes, inden forslaget træder i kraft.

—	understreger EDPS, at de kryptoaktiver, der handles i DLT-markedsinfrastrukturerne omfattet af forslaget, kun bør være dem, der bruger en DLT-konfiguration, der overholder databeskyttelsesrammen.

—

foreslår EDPS, at operatøren som en del af de oplysninger, der kræves ved dennes ansøgning om at drive en DLT-markedsinfrastruktur, hvor det er relevant, også medtager listen over de forventede behandlingsaktiviteter, der omfatter personoplysninger, fordelingen af roller og ansvarsområder for hver operatør i henhold til GDPR inden for DLT-markedsinfrastrukturen samt de forventede hovedrisici og afbødningsstrategier, hvad angår databeskyttelse

—	fremhæver EDPS, at IT- og cyberordninger, der er omhandlet i forslaget, til drift af DLT-markedsinfrastrukturer også skal efterleve forpligtelserne i artikel 22 og 32 i GDPR.

—

anbefaler EDPS, med hensyn til DLT-markedsinfrastrukturoperatørers rapportering af driftsmæssige problemer, at der i en betragtning mindes om, at operatøren i tilfælde af brud på persondatasikkerheden også skal underrette den kompetente databeskyttelsesmyndighed herom i overensstemmelse med artikel 33 i GDPR og, hvor det er relevant, de registrerede i overensstemmelse med artikel 34 i GDPR.

Bruxelles, den 23. april 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EFT L 119 af 4.5.2016, s. 1).

(2) Forslag til Europa-Parlamentets og Rådets forordning om markeder for kryptoaktiver og om ændring af direktiv (EU) 2019/1937, COM/2020/593 final. Kan findes på EUR-Lex - 52020PC0593 - DA - EUR-Lex (europa.eu)

(3) Forslag til Europa-Parlamentets og Rådets forordning om om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 og (EU) nr. 909/2014, COM/2020/595 final, der kan findes på EUR-Lex - 52020PC0595 - DA - EUR-Lex (europa.eu)

(4) Forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2006/43/EF, 2009/65/EF, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341, COM/2020/596 final. Kan findes på EUR-Lex - 52020PC0596 - DA - EUR-Lex (europa.eu)