This document is an excerpt from the EUR-Lex website
Document 52011XX0928(01)
Opinion of the European Data Protection Supervisor on the proposal for a Regulation of the European Parliament and of the Council establishing technical requirements for credit transfers and direct debits in euros and amending Regulation (EC) No 924/2009
Euroopa andmekaitseinspektori arvamus ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, millega kehtestatakse eurodes tehtavatele kreeditkorraldustele ja otsearveldustele tehnilised nõuded ja muudetakse määrust (EÜ) nr 924/2009
Euroopa andmekaitseinspektori arvamus ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, millega kehtestatakse eurodes tehtavatele kreeditkorraldustele ja otsearveldustele tehnilised nõuded ja muudetakse määrust (EÜ) nr 924/2009
ELT C 284, 28.9.2011, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
28.9.2011 |
ET |
Euroopa Liidu Teataja |
C 284/1 |
Euroopa andmekaitseinspektori arvamus ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus, millega kehtestatakse eurodes tehtavatele kreeditkorraldustele ja otsearveldustele tehnilised nõuded ja muudetakse määrust (EÜ) nr 924/2009
2011/C 284/01
EUROOPA ANDMEKAITSEINSPEKTOR,
võttes arvesse Euroopa Liidu toimimise lepingut, eelkõige selle artiklit 16,
võttes arvesse Euroopa Liidu põhiõiguste hartat, eelkõige selle artikleid 7 ja 8,
võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1),
võttes arvesse taotlust arvamuse esitamiseks kooskõlas Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määruse (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta) (2) artikli 28 lõikega 2,
ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:
1. SISSEJUHATUS
1. |
16. detsembril 2010 võttis komisjon vastu ettepaneku võtta vastu Euroopa Parlamendi ja nõukogu määrus, millega kehtestatakse eurodes tehtavatele kreeditkorraldustele ja otsearveldustele tehnilised nõuded ja muudetakse määrust (EÜ) nr 924/2009 (edaspidi „ettepanek”). |
1.1 Konsulteerimine Euroopa andmekaitseinspektoriga
2. |
Komisjon saatis ettepaneku Euroopa andmekaitseinspektorile 3. jaanuaril 2011. Euroopa andmekaitseinspektor käsitleb seda edastamist taotlusena nõustada ühenduse institutsioone ja asutusi, nagu on ette nähtud 18. detsembri 2000. aasta määruse (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta; edaspidi „määrus (EÜ) nr 45/2001”) artikli 28 lõikes 2. Euroopa andmekaitseinspektoril oli võimalus esitada komisjonile mitteametlikke märkusi ka varem, (3) enne ettepaneku vastuvõtmist. Euroopa andmekaitseinspektoril on hea meel menetluse avatuse üle, mis võimaldas juba varases etapis teksti andmekaitse seisukohalt parandada. Mõnda esitatud märkust on ettepanekus arvesse võetud. Euroopa andmekaitseinspektori tunneks heameelt selge viite üle sellisele konsulteerimisele ettepaneku preambulis. |
1.2 SEPA ja õigusraamistik
3. |
Euroopa Majandusühenduse asutamisest alates on järk-järgult liigutud integreerituma Euroopa finantsturu suunas. Maksete valdkonnas on kõige ilmsemad meetmed olnud ühisraha euro kasutuselevõtt 1999. aastal ning euro rahatähtede ja müntide ringlusse laskmine 2002. aastal. |
4. |
Väikesesummalisi mittesularahalisi euromakseid (kuni 50 000 eurot) on Euroopa Liidu piires siiani aga käideldud ja töödeldud väga erinevalt. Selle tulemusel on välismaksete teenustasud Euroopa Liidus keskmiselt suuremad kui riigisiseste maksete teenustasud. Eurodes tehtavaid välismakseid käsitlevas Euroopa määruses ((EÜ) nr 2560/2001) on muu hulgas sätestatud, et eurodes tehtavate välismaksete eest võetavad teenustasud Euroopa Liidus ei tohi olla suuremad kui vastavate riigisiseste eurodes tehtavate maksete teenustasud. Vastusena nimetatud määrusele moodustas Euroopa pangandussektor 2002. aastal makseküsimusi koordineeriva ja otsustava organi – Euroopa Maksenõukogu – ning algatas ühtse euromaksete piirkonna (Single Euro Payments Area – SEPA) projekti. 2009. aastal asendati määrus (EÜ) nr 2560/2001 määrusega (EÜ) nr 924/2009 ja laiendati ühesuuruste teenustasude põhimõtet ka otsearveldustele, mida hakati piiriüleselt kasutama alates novembrist 2009. |
5. |
Peale selle on direktiiv 2007/64/EÜ (nn makseteenuste direktiiv) suunatud maksetega seotud riiklike õigusaktide ühtlustamisele Euroopa Liidus. Selle eesmärk on kehtestada ühetaolised makseteenuste tingimused ja õigused ning muuta välismaksed sama lihtsaks, tõhusaks ja turvaliseks kui liikmesriigi piires tehtavad riigisisesed maksed. Ühtlasi püütakse makseteenuste direktiiviga tõhustada konkurentsi, avades maksete turud uutele makseteenuste pakkujatele. |
6. |
SEPA eesmärk on luua eurodes tehtavate jaemaksete ühtne turg, kõrvaldades ühisraha kehtestamisele eelnevast ajast pärinevad tehnilised, õiguslikud ja turuga seotud tõkked. Pärast SEPA lõpetamist ei erine eurodes tehtavad riigisisesed maksed välismaksetest: need on kõik sisemaksed. Peale eurotsooni hõlmab SEPA ka nii kogu Euroopa Liitu kui ka Islandit, Liechtensteini, Monacot, Norrat ja Šveitsi. See tähendab, et ka väljaspool eurotsooni saab euromaksete tegemiseks vastu võtta SEPA standardid ja tavad. |
7. |
Ettepanekut kohaldatakse kreeditkorralduste ja otsearvelduste suhtes. Kreeditkorraldus on makse, mille algatab maksja, kui annab oma pangale vastavad juhised. Vastavalt nendele kannab pank raha makse saaja panka. See võib toimuda mitme vahendaja kaudu. Otsearvelduse korral annab maksja makse saajale eelneva loa võtta tema pangakontolt raha. Seega annab maksja oma pangale volitused kanda raha makse saaja pangakontole. Sageli kasutatakse otsearveldusi korduvate maksete, näiteks kommunaalmaksete tegemiseks, ent neid võib kasutada ka ühekordseteks makseteks. Sellisel juhul annab maksja ühekordse maksetehingu tegemise loa. |
1.3 SEPA ja Euroopa Liidu andmekaitsesüsteem
8. |
SEPA kehtestamise ja väljatöötamise jaoks on vaja mitut andmetöötlustoimingut: tehingute sujuvaks toimimiseks peab vahendama nimesid, kontonumbreid, lepingute sisu otse maksjate ja makse saajate vahel ning kaudselt nende makseteenuse pakkujate vahel. Selleks on ettepanekus ka koostalitlusvõimet käsitlev artikkel, millega toetatakse riigisisestele ja piiriülestele tehingutele standardeeskirjade koostamist ning milles on selgesti öeldud, et tehnilised tõkked ei takista kreeditkorralduste ja otsearvelduste töötlemist. Mitmesuguste ettepanekuga hõlmatud tegevuses osalevate ettevõtjate suhtes kohaldatakse mitmesuguseid riiklikke õigusakte, millega rakendatakse direktiiv 95/46/EÜ. |
9. |
Euroopa andmekaitseinspektor rõhutab, et maksjate ja makse saajate isikuandmete vahetamine ja töötlemine ning nende vahetamine mitmesuguste makseteenuse pakkujatega peab vastama vajalikkuse, proportsionaalsuse ja otstarbe piiramise põhimõtetele. Vastavalt direktiivi 95/46/EÜ artiklitele 16 ja 17 peab andmete edastamine vahendajatele olema kooskõlas ka töötlemise konfidentsiaalsuse ja turvalisuse põhimõtetega. |
10. |
Ettepanekuga kehtestatakse uus roll riiklikele ametiasutustele, kes on pädevad kontrollima määruse täitmist ja tagama, et selle täitmiseks võetakse kõik vajalikud meetmed. Kuigi kõnealune roll on ülioluline, et tagada SEPA tõhus rakendamine, võib see hõlmata ka ametiasutuste ulatuslikku õigust isikuandmeid edasi töödelda. Ka selles küsimuses peab riiklike pädevate asutuste juurdepääs isikuandmetele olema kooskõlas vajalikkuse, proportsionaalsuse ja otstarbe piiramise põhimõtetega. |
11. |
Kuigi ettepanekuga ei peaks kehtestama liiga üksikasjalikke sätteid andmekaitse põhimõtete järgimise kohta, mis on tagatud direktiivi 95/46/EÜ riiklike rakendusaktide kohaldatavusega kõikide töötlemistoimingute suhtes, soovitab Euroopa andmekaitseinspektor teha teksti teatavad seda selgitavad parandused. |
2. KONKREETSED MÄRKUSED
2.1 Põhjendus 26
12. |
Euroopa andmekaitseinspektor tunneb heameelt direktiivi 95/46/EÜ märkimise üle ettepaneku põhjenduses 26. Kajastamaks aga asjaolu, et direktiivi rakendatakse mitmesuguste riiklike õigusaktidega, ning rõhutamaks, et kõiki andmetöötlemistoiminguid peab tegema kooskõlas rakenduseeskirjadega, võiks põhjenduse teksti muuta järgmiselt: „Mis tahes käesoleva määruse alusel toimuv isikuandmete töötlemine peab olema kooskõlas asjakohaste riiklike õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ.” |
2.2 Artiklid 6, 8, 9 ja 10: riiklike pädevate asutuste volitused
13. |
Ettepaneku artiklis 6 on kehtestatud keeld võtta mitmepoolset vahendustasu (4) otsearveldustehingu eest või muud samaväärse eesmärgi või mõjuga tasu. Peale selle võib otsearveldustehingute korral, mida makseteenuse pakkujal ei ole võimalik nõuetekohaselt teha (tehingud, mis lükatakse tagasi, mille tegemisest keeldutakse, mis saadetakse tagasi või pööratakse tagasi; nn R-tehingud), kohaldada mitmepoolsete vahendustasude võtmise üksnes mitme tingimuse täitmisel. |
14. |
Ettepaneku artiklis 8 on kehtestatud kreeditkorraldust kasutava maksja ning otsearveldust kasutava makse saaja kohustused. Maksja ei tohi keelduda tegemast kreeditkorraldust maksekontole, mis on avatud teises liikmesriigis asuva makseteenuse pakkuja juures, kellele on juurdepääs (5) vastavalt artiklis 3 esitatud nõudele. Makse saaja, kes saab raha oma maksekontole teistelt maksekontodelt, mis on avatud samas liikmesriigis asuva makseteenuse pakkuja juures, ei tohi keelduda otsearvelduse saamisest maksekontodelt, mis on avatud teises liikmesriigis asuva makseteenuse pakkuja juures. |
15. |
Ettepaneku artikli 9 kohaselt peavad liikmesriigid määrama pädevad asutused, kes vastutavad määruse täitmise eest. Kõnealustel pädevatel asutustel on oma ülesannete täitmiseks kõik vajalikud volitused ning nad kontrollivad määruse täitmist ja võtavad kõik vajalikud meetmed, et tagada selle täitmine. Peale selle on artikli 9 lõikes 3 sätestatud, et kui määruses käsitletud küsimustega tegeleb liikmesriigi territooriumil mitu pädevat asutust, tagab liikmesriik nende asutuste tiheda koostöö, et nad saaksid ülesandeid tõhusalt täita. Artiklis 10 on sätestatud liikmesriikide kohustus kehtestada eeskirjad määruse rikkumise korral kohaldatavate karistuste kohta ja tagada nende rakendamine. Karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad. |
16. |
Kõnealuste artiklite põhjal on riiklikel asutustel õigus kontrollida ettepanekuga kehtestatud kohustuste võimalikke rikkumisi ning kohaldada karistusi, sealhulgas artiklites 6 ja 8 sätestatud kohustustega seotud karistusi. Andmekaitse seisukohast võib sel õigusel olla ulatuslik mõju isikute eraelu puutumatusele: ametiasutustel võib olla üldine juurdepääs teabele mis tahes isikutevahelise rahalise tehingu (kreeditkorralduse või otsearvelduse) kohta, et kontrollida, kas mitmepoolseid vahendustasusid võetakse ebaseaduslikult või esineb keeldumisi, rikkudes artiklites 6 ja 8 sätestatud kohustusi. Nimetatud õigus hõlmab isikuandmete töötlemist (asjaomaste füüsiliste isikute nimed, pangakontode numbrid ning saadavad või ülekantavad summad). |
17. |
Kuigi isikuandmete mis tahes töötlemine peab olema kooskõlas direktiivi 95/46/EÜ riiklike rakenduseeskirjadega, soovib Euroopa andmekaitseinspektor rõhutada, et kõnealust kontrollimiskohustust tuleks juba ettepanekus hinnata direktiivis 95/46/EÜ (artikli 6 lõike 1 punkt c) sätestatud proportsionaalsuse ja vajalikkuse põhimõtte seisukohast. Sellega seoses oleks Euroopa andmekaitseinspektori arvates proportsionaalsem kehtestada süsteem, mille kohaselt pädevad asutused töötlevad isikuandmeid ainult iga juhtumi põhjal eraldi, arvestades eelkõige artikleid 6 ja 8. See tähendab, et asutus sekkub – ja seega töötleb teatud maksja ja/või makse saaja isikuandmeid – peamiselt siis, kui selleks on konkreetne põhjus, näiteks kui maksja või makse saaja esitab kaebuse artikli 6 või 8 rikkumise kohta või suunatud omaalgatusliku uurimise korral, mille aluseks võib olla kolmanda isiku esitatud teave. |
18. |
Nõuetele vastavuse kontrollimise tõhususe tagaks süsteem, mis võimaldab kaebuse esitajal esitada kaebuse või kolmandal isikul esitada teavet, millele järgneb asutuse kiire reaktsioon, näiteks tehakse teisele poolele korraldus järgida artiklites 6 ja 8 sätestatud kohustusi. Ettepaneku artiklis 11 on juba kehtestatud eeskirjad asjakohase ja tõhusa kohtuväliste kaebuste lahendamise ja kahju hüvitamise menetluse kohta, et lahendada makseteenuse kasutajate ja makseteenuse pakkujate vahelisi vaidlusi (sellega on hõlmatud artikkel 6). Et soodustada artikli 8 kohaste kohustuste täitmist, andmata riiklikele asutustele ulatuslikku üldist juurdepääsu isikuandmetele, soovitab Euroopa andmekaitseinspektor laiendada artikli 11 sätteid ka maksjate ja makse saajate vahelistele vaidlustele. |
19. |
Ühtlasi märgib Euroopa andmekaitseinspektor, et kontrollitegevus võib hõlmata eri liikmesriikide pädevate riiklike asutuste vahelist isikuandmete edastamist nende artikli 9 lõikes 3 nimetatud tiheda koostöö raames. Arvestades ulatuslikke õigusi, mis on riiklikele pädevatele asutustele määruse täitmise kontrollimiseks antud (ja isegi artiklitega 6 ja 8 seotud eespool soovitatud piirangute kehtestamisel), soovitab Euroopa andmekaitseinspektor tekstis selge sõnaga märkida, et mis tahes nendevaheline isikuandmete edastamine peab olema kooskõlas andmekaitse asjakohaste põhimõtetega. Eelkõige ei tohiks selliseid andmeid edastada massiliselt, vaid üksnes konkreetsete juhtumite korral, kus kahtlustatakse juba esmapilgul määruse võimalikku rikkumist. Seepärast tuleks artikli 9 lõikele 3 lisada järgmine lause: „Sellise tiheda koostöö raames edastatakse isikuandmeid pädevate asutuste vahel ainult iga juhtumi põhjal eraldi, kui on põhjendatud kahtlus määruse rikkumise kohta, ning järgides vajalikkuse, proportsionaalsuse ja otstarbe piiramise põhimõtteid.” |
2.3 Lisa
20. |
Ettepaneku lisas on kehtestatud tehnilised nõuded, mida kreeditkorralduste ja otsearvelduste korral tuleb ettepaneku artikli 5 kohaselt järgida. Nende nõuete kehtestamise eesmärk on saavutada identifitseerimise ja edastamise ühtlustatud vorming, et tagada liikmesriikide vahel kreeditkorraldus- ja otsearveldustehingute koostalitlusvõime. |
21. |
Sellega seoses töötlevad vahendajad (makseteenuse pakkujad) isikuandmeid mitmes olukorras (6):
|
22. |
Kuigi mis tahes isikuandmete töötlemine peab olema kooskõlas asjakohaste riiklike õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ, on ettepaneku eelnõus vaid eespool punktis a kirjeldatud olukorra puhul märgitud, et edastamine toimub „kooskõlas direktiivi 95/46/EÜ rakendavates riiklikes õigusaktides sätestatud kohustustega”. Et vältida väärtõlgendamist, soovitab Euroopa andmekaitseinspektor lisada viite direktiivile ka artikli 3 punktidesse b ja g. Teise võimalusena, kui eespool märgitud soovituse kohaselt muudetakse põhjenduse 26 teksti, võib artikli 2 punkti b sõnastus välistada vajaduse viidata direktiivile 95/46/EÜ. |
3. JÄRELDUS
23. |
Euroopa andmekaitseinspektori tunneb heameelt selle üle, et ettepanekus on konkreetselt viidatud direktiivile 95/46/EÜ. Et selgitada andmekaitse põhimõtete kohaldatavust ettepanekuga hõlmatud töötlemistoimingute suhtes, soovitab ta aga tekstis teha mõne väikse muudatuse. Eelkõige:
|
Brüssel, 23. juuni 2011
Euroopa andmekaitseinspektori asetäitja
Giovanni BUTTARELLI
(1) EÜT L 281, 23.11.1995, lk 31 (edaspidi „direktiiv 95/46/EÜ”).
(3) Septembris 2010.
(4) Otsearvelduse korral on mitmepoolne vahendustasu summa, mille saaja makseteenuse pakkuja maksab maksja makseteenuse pakkujale.
(5) Selle nõude eesmärk on tagada, et igale makseteenuse pakkujale, kellele on kreeditkorralduseks või otsearvelduseks juurdepääs riigisisesel tasandil, oleks juurdepääs ka sellisteks tehinguteks, mis on algatatud teistes liikmesriikides asuvate makseteenuse pakkujate vahendusel (ettepaneku artikkel 3).
(6) Nime ja IBANi tunnusnumbri edastab kreeditkorralduse puhul makse saaja otse maksjale ning otsearvelduse puhul maksja otse makse saajale. Mõlemal juhul tuleneb töötlemise õiguspärasus asjaolust, et asjaomane andmesubjekt edastab ise vabatahtlikult oma andmed.
(7) Selline teave võib sisaldada maksja nime, aadressi, telefoninumbrit ja mis tahes muud teavet seoses lepinguga, mille alusel ülekanne toimub.