|
15.6.2021 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
C 229/13 |
Συνοπτική παρουσίαση της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την πρόταση για ένα πιλοτικό καθεστώς για τις υποδομές της αγοράς που βασίζονται σε τεχνολογία κατανεμημένου καθολικού
(Το πλήρες κείμενο της παρούσας γνωμοδότησης είναι διαθέσιμο στην αγγλική, γαλλική και γερμανική γλώσσα στον δικτυακό τόπο του ΕΕΠΔ www.edps.europa.eu)
(2021/C 229/04)
Στις 24 Σεπτεμβρίου 2020, η Ευρωπαϊκή Επιτροπή ενέκρινε την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με ένα πιλοτικό καθεστώς για τις υποδομές της αγοράς που βασίζονται σε τεχνολογία κατανεμημένου καθολικού (COM(2020)594 τελικό). Η πρόταση θεσπίζει εναρμονισμένες απαιτήσεις για ορισμένους συμμετέχοντες στην αγορά σχετικά με την υποβολή αίτησης και τη λήψη άδειας λειτουργίας υποδομών της αγοράς τεχνολογίας κατανεμημένου καθολικού («DLT»).
Ο ΕΕΠΔ επισημαίνει ότι η προστασία των δεδομένων προσωπικού χαρακτήρα δεν αποτελεί εμπόδιο στην καινοτομία και, ιδίως, στην ανάπτυξη νέων τεχνολογιών στον χρηματοπιστωτικό τομέα. Ταυτόχρονα, υπενθυμίζει ότι τα μέτρα που έχουν ληφθεί σε επίπεδο ΕΕ σχετικά με τις καινοτόμες τεχνολογίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει να συμμορφώνονται με τις γενικές αρχές της αναγκαιότητας και της αναλογικότητας. Επιπλέον, με δεδομένο ότι δεν υπάρχει πλήρης εικόνα του αντικτύπου αυτών των νέων τεχνολογιών στην κοινωνία μας, ο ΕΕΠΔ θεωρεί ότι πρέπει να ακολουθηθεί η αρχή της προφύλαξης.
Ο ΕΕΠΔ σημειώνει ότι, ανάλογα με τη διαμόρφωση της τεχνολογίας DLT, τα μεταδεδομένα ή τα δεδομένα για τις συναλλαγές που αποθηκεύονται σε αυτήν, μπορούν να θεωρηθούν δεδομένα προσωπικού χαρακτήρα, εάν αφορούν αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο. Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας πρέπει να αναλύουν και να τεκμηριώνουν προσεκτικά τη διαμόρφωση της τεχνολογίας DLT, ώστε να διαπιστώνουν εάν πραγματοποιείται επεξεργασία δεδομένων προσωπικού χαρακτήρα και, συνεπώς, οι λειτουργίες υπόκεινται στις υποχρεώσεις της προστασίας δεδομένων.
Ο ΕΕΠΔ επισημαίνει ότι η τεχνολογία ορισμένων κατανεμημένων καθολικών, ιδίως αυτών που είναι δημόσια και δεν διαθέτουν άδεια, εγείρει κρίσιμα ερωτήματα σχετικά με τη συμβατότητά της με τις απαιτήσεις προστασίας δεδομένων.
Ο ΕΕΠΔ θεωρεί ότι πριν από την έναρξη ισχύος της πρότασης θα πρέπει να διενεργηθεί συζήτηση σχετικά με τη συμβατότητα των συστημάτων DLT εν γένει με το πλαίσιο προστασίας δεδομένων.
Ο ΕΕΠΔ επισημαίνει ότι εάν η τεχνολογία DLT περιλαμβάνει δεδομένα προσωπικού χαρακτήρα που αποθηκεύονται εντός της αλυσίδας συστοιχιών, οι λειτουργίες επεξεργασίας αυτών των δεδομένων κατά πάσα πιθανότητα θα πληρούν τα κριτήρια χαρακτηρισμού της λειτουργίας επεξεργασίας ως υψηλού κινδύνου. Ως εκ τούτου, ο υπεύθυνος επεξεργασίας θα πρέπει πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα να διενεργεί εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων για τις προβλεπόμενες λειτουργίες επεξεργασίας. Επίσης, ενδέχεται να απαιτηθεί προηγούμενη έγκριση από την αρμόδια αρχή προστασίας δεδομένων.
Ο ΕΕΠΔ συνιστά η πρόταση να ζητά, στο πλαίσιο της αίτησης λειτουργίας υποδομών της αγοράς που βασίζονται σε τεχνολογία DLT, κατά περίπτωση, τις βασικές πληροφορίες σχετικά με τις προβλεπόμενες διαδικασίες επεξεργασίας. Επιπλέον, προτείνει οι διαχειριστές υποδομών της αγοράς DLT να δημοσιεύουν τη δήλωση περί ιδιωτικότητας στο ίδιο σημείο με τις πληροφορίες λειτουργίας τους, όπως απαιτείται από την πρόταση.
Ο ΕΕΠΔ τονίζει ότι οι ρυθμίσεις ΤΠ και κυβερνοχώρου που προβλέπονται στην πρόταση για τη λειτουργία υποδομών της αγοράς DLT πρέπει επίσης να συμμορφώνονται με τις υποχρεώσεις που ορίζονται στα άρθρα 22 και 32 του ΓΚΠΔ. (1)
Τέλος, σχετικά με την αναφορά θεμάτων λειτουργίας από τους διαχειριστές υποδομών της αγοράς DLT, ο ΕΕΠΔ προτείνει να συμπεριληφθεί σε αιτιολογική σκέψη υπενθύμιση ότι σε περίπτωση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να κοινοποιούνται επίσης από τον διαχειριστή στην αρμόδια αρχή προστασίας δεδομένων, σύμφωνα με το άρθρο 33 του ΓΚΠΔ και, κατά περίπτωση, στα υποκείμενα των δεδομένων, σύμφωνα με το άρθρο 34 του ΓΚΠΔ.
3. ΙΣΤΟΡΙΚΟ
|
1. |
Στις 24 Σεπτεμβρίου 2020, η Ευρωπαϊκή Επιτροπή ενέκρινε την πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με ένα πιλοτικό καθεστώς για τις υποδομές της αγοράς που βασίζονται σε τεχνολογία κατανεμημένου καθολικού (COM(2020)594 τελικό) (η «πρόταση»). Η πρόταση ορίζει εναρμονισμένες απαιτήσεις για συγκεκριμένους συμμετέχοντες στην αγορά, δηλαδή επιχειρήσεις επενδύσεων, ιαχειριστές αγοράς ή κεντρικά αποθετήρια τίτλων, σχετικά με την υποβολή αίτησης και τη λήψη άδειας λειτουργίας υποδομών της αγοράς τεχνολογίας κατανεμημένου καθολικού («υποδομή αγοράς DLT») σε περιβάλλον εποπτείας με την εφαρμογή συγκεκριμένων εξαιρέσεων από τη συμμόρφωση με τους δημοσιονομικούς κανονισμούς. Συγκεκριμένα, η πρόταση έχει τέσσερις στόχους: ασφάλεια δικαίου για τα κρυπτοπεριουσιακά στοιχεία, διασφάλιση της χρηματοπιστωτικής σταθερότητας, προστασία των καταναλωτών και των επενδυτών και παροχή της δυνατότητας στην καινοτομία να κάνει χρήση της τεχνολογίας αλυσίδας συστοιχιών (blockchain), της τεχνολογίας κατανεμημένου καθολικού («DLT») και των κρυπτοπεριουσιακών στοιχείων. |
|
2. |
Η παρούσα πρόταση αποτελεί μέρος μιας δέσμης μέτρων που περιλαμβάνει πρόταση κανονισμού για τη δημιουργία αγορών κρυπτοπεριουσιακών στοιχείων (2) («κανονισμός MICA»), πρόταση σχετικά την ψηφιακή επιχειρησιακή ανθεκτικότητα (3) («κανονισμός DORA») και πρόταση για την αποσαφήνιση ή την τροποποίηση ορισμένων συναφών κανόνων της ΕΕ για τις χρηματοπιστωτικές υπηρεσίες (4). Ο ΕΕΠΔ αναμένει να ζητηθεί η γνώμη του και για άλλους κανονισμούς που περιλαμβάνονται στη δέσμη μέτρων σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725. |
|
3. |
Στις 26 Φεβρουαρίου 2021, η Ευρωπαϊκή Επιτροπή ζήτησε από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ο «ΕΕΠΔ») να εκδώσει γνωμοδότηση για την πρόταση, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725. Αυτά τα σχόλια περιορίζονται στις διατάξεις της πρότασης που θεωρούνται συναφή από την άποψη της προστασίας δεδομένων. |
5. ΣΥΜΠΕΡΑΣΜΑΤΑ
Δεδομένων των ανωτέρω, ο ΕΕΠΔ:
|
— |
υπενθυμίζει ότι η προστασία των δεδομένων προσωπικού χαρακτήρα δεν αποτελεί εμπόδιο στην καινοτομία και, ιδίως, στην ανάπτυξη νέων τεχνολογιών στον χρηματοπιστωτικό τομέα· |
|
— |
επισημαίνει ότι η τεχνολογία ορισμένων κατανεμημένων καθολικών, ιδίως αυτών που είναι δημόσια και δεν διαθέτουν άδεια, εγείρει κρίσιμα ερωτήματα σχετικά με τις απαιτήσεις προστασίας δεδομένων· ως εκ τούτου, προτείνει η συζήτηση σχετικά με τον πιθανό τρόπο διασφάλισης της συμβατότητας των συστημάτων DLT με το πλαίσιο προστασίας δεδομένων να διενεργηθεί πριν από την έναρξη ισχύος της πρότασης· |
|
— |
τονίζει ότι τα κρυπτοπεριουσιακά στοιχεία που αποτελούν αντικείμενο διαπραγμάτευσης στις υποδομές αγοράς DLT και καλύπτονται από την πρόταση θα πρέπει να είναι μόνο όσα χρησιμοποιούν διαμόρφωση DLT που συμμορφώνεται με το πλαίσιο προστασίας δεδομένων· |
|
— |
προτείνει να συμπεριληφθεί επίσης, στο πλαίσιο των πληροφοριών που απαιτούνται από τον διαχειριστή για την αίτηση λειτουργίας υποδομής της αγοράς DLT, κατά περίπτωση, ο κατάλογος των προβλεπόμενων λειτουργιών επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η κατανομή των ρόλων και των αρμοδιοτήτων κάθε διαχειριστή σύμφωνα με τον ΓΚΠΔ εντός της υποδομής της αγοράς DLT, καθώς και οι βασικοί κίνδυνοι που προβλέπονται και οι στρατηγικές μετριασμού σχετικά με την προστασία δεδομένων· |
|
— |
υπογραμμίζει ότι οι ρυθμίσεις ΤΠ και κυβερνοχώρου που προβλέπονται στην πρόταση για τη λειτουργία υποδομών της αγοράς DLT πρέπει επίσης να συμμορφώνονται με τις υποχρεώσεις που ορίζονται στα άρθρα 22 και 32 του ΓΚΠΔ· |
|
— |
προτείνει να συμπεριληφθεί σε αιτιολογική σκέψη, στο πλαίσιο της αναφοράς θεμάτων λειτουργίας από τους διαχειριστές υποδομών της αγοράς DLT, υπενθύμιση ότι σε περίπτωση παραβιάσεων δεδομένων προσωπικού χαρακτήρα, θα πρέπει να κοινοποιούνται επίσης από τον διαχειριστή στην αρμόδια αρχή προστασίας δεδομένων, σύμφωνα με το άρθρο 33 του ΓΚΠΔ και, κατά περίπτωση, στα υποκείμενα των δεδομένων, σύμφωνα με το άρθρο 34 του ΓΚΠΔ. |
Βρυξέλλες, 23 Απριλίου 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(2) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις αγορές κρυπτοστοιχείων και για την τροποποίηση της οδηγίας (ΕΕ) 2019/1937, COM/2020/593 τελικό. Ανατρέξτε στον σύνδεσμο EUR-Lex - 52020PC0593 - EL - EUR-Lex (europa.eu)
(3) Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014 και (ΕΕ) αριθ. 909/2014, ανατρέξτε στον σύνδεσμο EUR-Lex - 52020PC0595 - EL - EUR-Lex (europa.eu)
(4) Πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την τροποποίηση των οδηγιών 2006/43/ΕΚ, 2009/65/ΕΚ, 2009/138/ΕΕ, 2011/61/ΕΕ, ΕΕ/2013/36, 2014/65/ΕΕ, (ΕΕ) 2015/2366 και ΕΕ/2016/2341, COM/2020/596 τελικό. Ανατρέξτε στον σύνδεσμο EUR-Lex - 52020PC0596 - EL - EUR-Lex (europa.eu)