20.7.2023   

DA

Den Europæiske Unions Tidende

C 255/4


Resumé af udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til et til Europa-Parlamentets og Rådets direktiv om indskudsbeskyttelse, grænseoverskridende samarbejde og gennemsigtighed

(2023/C 255/04)

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på EDPS' websted https://edps.europa.eu)

Den 18. april 2023 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2014/49/EU for så vidt angår omfanget af indskudsbeskyttelse, anvendelse af midler fra indskudsgarantiordninger, grænseoverskridende samarbejde og gennemsigtighed.

Forslaget har til formål at forbedre beskyttelsen af indskydere i tilfælde af bankkrak i Unionen og samtidig beskytte Unionens og dens medlemsstaters vigtige finansielle interesser.

Disse mål skal i følge forslaget nås ved at give indskydere et solidt beskyttelsesniveau, øge konvergensen i forbindelse med anvendelsen af midler fra indskudsgarantiordninger og forbedre det nationale grænseoverskridende samarbejde mellem indskudsgarantiordninger og mellem sidstnævnte og deltagende kreditinstitutter og finansielle efterretningsenheder (FIU). Dette indebærer en tilpasning af direktiv 2014/49/EU til de eksisterende og kommende EU-regler om bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT).

Denne udtalelse fra EDPS er fremsat på grundlag af en høring fra Europa-Kommissionen af 19. april 2023 i henhold til artikel 42, stk. 1, i EUDPR. EDPS anbefaler, at der tilføjes en henvisning til denne høring i forslagets betragtninger.

Forslaget vil indebære deling af personoplysninger om indskydere eller andre personer i forbindelse med mistanke om hvidvask af penge eller finansiering af terrorisme mellem FIU'er, udpegede myndigheder og indskudsgarantiordninger. Denne udtalelse tager hensyn til de risici for registreredes grundlæggende rettigheder og frihedsrettigheder, der kan opstå som følge af disse dataudvekslinger, og fremsætter anbefalinger i forbindelse med de forskellige scenarier for dataudveksling i forslaget. I den forbindelse fremsætter EDPS en række anbefalinger.

EDPS anbefaler især, at man definerer de kategorier af oplysninger, der skal være genstand for behandling, de berørte registrerede samt klart fastlægger formålene med behandlingen.

Desuden vil EDPS gerne henlede Kommissionens opmærksomhed på behovet for at høre EDPS inden vedtagelsen af delegerede retsakter, der validerer udkast til reguleringsmæssige tekniske standarder udarbejdet af Den Europæiske Banktilsynsmyndighed (EBA), som vil indebære behandling af personoplysninger.

1.   INDLEDNING

1.

Den 18. april 2023 udsendte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets direktiv om ændring af direktiv 2014/49/EU for så vidt angår omfanget af indskudsbeskyttelse, anvendelse af midler fra indskudsgarantiordninger, grænseoverskridende samarbejde og gennemsigtighed (1) (»forslaget«).

2.

Ifølge Europa-Kommissionens konsekvensanalyse har direktivet om indskudsgarantiordninger (»DGSD«) (2) i det store og hele formået effektivt at øge beskyttelsen af indskydere i hele EU, hvilket er et vigtigt mål for bankunionen. Konsekvensanalysen afslører dog, at beskyttelsesforanstaltningerne i forbindelse med indskudsgarantiordningerne fortsat anvendes forskelligt, når det kommer til de nationale indskudsgarantiordninger, hvilket både understreger behovet for harmoniserede regler for at imødegå forskelle, der har negative konsekvenser for indskydere, og for at præcisere dækningen hvad angår visse typer af indskydere (3). Formålet med forslaget er derfor at forbedre rammerne for indskyderbeskyttelse for at sikre en sammenhængende anvendelse af reglerne og mere lige vilkår, samtidig med at den finansielle stabilitet beskyttes og indskydernes tillid styrkes. Dette indebærer en præcisering af indskyderbeskyttelsens anvendelsesområde, afklaring af divergerende fortolkninger af betingelserne for anvendelse af midler fra indskudsgarantiordninger i Unionen samt en forbedring af den operationelle effektivitet, det grænseoverskridende samarbejde og effektiviteten i den måde, indskudsgarantiordningerne fungerer på (4).

3.

Med henblik på at nå disse mål og yderligere præcisere kravene i direktivet om indskudsgarantiordninger (5) indeholder forslaget bestemmelser, der vil kræve, at kreditinstitutter, indskudsgarantiordninger og udpegede myndigheder (6) behandler personoplysninger vedrørende indskydere, som er fysiske personer, eller potentielt repræsentanter for indskydere, som er juridiske personer. Det drejer sig navnlig om følgende:

a.

Kreditinstitutterne kender måske ikke de kunder, der har ret til tilbagebetaling af indskud på kundekonti, eller kan ikke kontrollere og registrere individuelle data om disse kunder (7). Derfor vil en ny artikel 8b, der indføres med forslaget, gøre det muligt for kreditinstitutter at vurdere, om kunders indskud er dækket af indskudsgarantiordninger, ved at give dem mulighed for at indsamle visse personoplysninger om deres kunder. De kategorier af personoplysninger, der skal behandles til dette formål, vil blive præciseret i udkastet til reguleringsmæssige tekniske standarder, som udarbejdes af Den Europæiske Banktilsynsmyndighed (EBA), og som redegør for de tekniske detaljer vedrørende identifikation af kunder med henblik på tilbagebetaling i overensstemmelse med artikel 8 i direktivet om indskudsgarantiordninger.

b.

Når indskydere tilbagebetales af indskudsgarantiordninger, kan der opstå situationer, hvor der er mistanke om hvidvask af penge. Europa-Kommissionen foreslår derfor, at tilbagebetalingen til indskydere fra indskudsgarantiordninger bør tilbageholdes, når der modtages underretning om, at en finansiel efterretningsenhed (FIU) har suspenderet en transaktion eller en bank- eller betalingskonto i overensstemmelse med de gældende regler om bekæmpelse af hvidvask af penge (AML) (8). En ny artikel 8c, stk. 1, i forslaget vil forpligte myndigheder, der er udpeget på medlemsstatsniveau som administratorer af en indskudsgarantiordning, til at underrette indskudsgarantiordningen i det omfang, det er strengt nødvendigt, om information modtaget fra finansielle tilsynsmyndigheder vedrørende resultatet af due diligence-procedurer, der gennemføres i forbindelse med kunder, jf. AML-ordningen. I henhold til stk. 3 i samme artikel skal FIU'er desuden underrette indskudsgarantiordningerne om deres beslutning om at gribe ind over for en indskyder i henhold til reglerne om bekæmpelse af hvidvask af penge som ændret ved forslaget til et nyt direktiv om bekæmpelse af hvidvask af penge (»forslag til sjette hvidvaskdirektiv«) (9). Hvis indskudsgarantiordningerne modtager en sådan meddelelse, vil de i henhold til artikel 8c, stk. 3, i forslaget være forpligtet til at suspendere tilbagebetalingen til indskyderen i samme periode som den foranstaltning, der er pålagt af den finansielle efterretningsenhed.

c.

Den nye artikel 16a i forslaget vil erstatte den nuværende artikel 4, stk. 8, og artikel 14, stk. 4, i direktivet om indskudsgarantiordninger, som i øjeblikket giver indskudsgarantiordninger ret til efter anmodning at modtage alle de oplysninger fra deres medlemmer, der er nødvendige for at forberede en tilbagebetaling til indskydere, herunder såkaldte »mærkninger« (10), og dele dem med indskudsgarantiordninger i andre medlemsstater.

4.

Denne udtalelse fra EDPS er fremsat på grundlag af en høring fra Europa-Kommissionen af 19. april 2023 i henhold til artikel 42, stk. 1, i EUDPR. EDPS anbefaler at tilføje en henvisning til denne høring i forslagets betragtninger.

6.   KONKLUSIONER

27.

På baggrund af ovenstående fremsætter EDPS følgende henstillinger:

(1)

at der i en betragtning tilføjes en henvisning til det forhold, at de enheder, der er omfattet af forslaget, bør overholde GDPR – og, hvis det er relevant, EUDPR og LED – når de gennemfører deres forpligtelser i henhold til forslaget

(2)

at der tilføjes en betragtning, der nævner høringen af EDPS i henhold til artikel 42, stk. 1, i EUDPR og til denne udtalelse

(3)

at EDPS høres inden vedtagelsen af den delegerede retsakt, der validerer EBA's udkast til reguleringsmæssige tekniske standarder, som definerer de kategorier af personoplysninger, som indskudsgarantiordningerne ifølge loven har ret til at behandle i forbindelse med kundeidentifikation med henblik på tilbagebetaling af indskud, jf. artikel 8b i forslaget

(4)

at det vurderes, om henvisningen til overholdelse af Europa-Parlamentets og Rådets direktiv 96/9/EF af 11. marts 1996 om retlig beskyttelse af databaser (11) (»databasedirektivet«) i artikel 8c, stk. 1, er korrekt

(5)

at artikel 8c, stk. 1, i forslaget ændres for yderligere at sikre, at udvekslingen af personoplysninger mellem finansielle tilsynsmyndigheder og udpegede myndigheder og efterfølgende mellem sidstnævnte og indskudsgarantiordningerne begrænses til, hvad der er strengt nødvendigt for at gøre det muligt for indskudsgarantiordningerne at beslutte, om de bør suspendere tilbagebetalingen af indskud i tilfælde af mistanke om hvidvask af penge eller finansiering af terrorisme

(6)

at der i forslagets artikel 8c, stk. 2, medtages passende garantier for registreredes rettigheder og frihedsrettigheder, herunder definitionen af de kategorier af personoplysninger, der skal deles med eller indhentes af indskudsgarantiordningerne, de kilder, hvor sådanne personoplysninger bør indhentes, passende forpligtelser vedrørende formålsbegrænsning og en passende datalagringsperiode

(7)

at kategorierne af personoplysninger og de berørte registrerede i meddelelserne fra FIU'er til indskudsgarantiordninger i forslagets artikel 8c, stk. 3 præciseres, og at sådanne meddelelser kun vil finde sted i tilfælde af, at kundens eller den reelle ejers kreditinstitut går konkurs, hvilket kun bør omfatte foranstaltninger truffet over for indskydere i det omfang, at den hermed forbundne deling af personoplysninger er nødvendig og står i et rimeligt forhold til det påtænkte mål om at forhindre tilbagebetaling til indskydere, som FIU'er har grebet ind over for i henhold til forslaget til sjette hvidvaskdirektiv

(8)

at Kommissionen skal høre EDPS inden vedtagelsen af den delegerede retsakt, der validerer EBA's tekniske standarder, som definerer sådanne kategorier af personoplysninger, som kreditinstitutter skal dele med indskudsgarantiordninger med henblik på de formål, der er anført i forslagets artikel 16a.

Bruxelles, den 12. juni 2023.

Wojciech Rafał WIEWIÓROWSKI


(1)  COM(2023) 228 final.

(2)  Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 om indskudsgarantiordninger (EUT L 173 af 12.6.2014, s. 149).

(3)  SWD(2023) 226 final.

(4)  Jf. begrundelsen, s. 1 og 3.

(5)  Se EDPS' udtalelse om forslaget til Europa-Parlamentets og Rådets direktiv om indskudsgarantiordninger, afgivet den 9. september 2010, punkt. 7.

(6)  I henhold til artikel 2, stk. 18, i direktivet om indskudsgarantiordninger forstås ved »udpeget myndighed« et organ, som forvalter en indskudsgarantiordning i henhold til dette direktiv, eller, såfremt driften af indskudsgarantiordningen forvaltes af en privat enhed, en offentlig myndighed, der af den pågældende medlemsstat er udpeget til at føre tilsyn med denne ordning i medfør af dette direktiv.

(7)  Betragtning 14 i forslaget, der vedrører artikel 8b.

(8)  Betragtning 15 i forslaget, der vedrører artikel 8c.

(9)  Forslag til Europa-Parlamentets og Rådets direktiv om de mekanismer, medlemsstaterne skal indføre for at forebygge, at det finansielle system anvendes til hvidvask af penge eller finansiering af terrorisme, og om ophævelse af direktiv (EU) 2015/849, COM(2021) 423 final.

(10)  Udtalelse om forslaget til Europa-Parlamentets og Rådets direktiv om indskudsgarantiordninger (omarbejdning) af 9. september 2010, punkt 9.

(11)  EFT L 77 af 27.3.1996, s. 20.