25.5.2012   

ET

Euroopa Liidu Teataja

C 147/1

Euroopa Andmekaitseinspektori arvamus komisjoni ettepanekute kohta võtta vastu Euroopa Parlamendi ja nõukogu direktiiv finantsinstrumentide turgude kohta, millega tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu direktiiv 2004/39/EÜ ning Euroopa Parlamendi ja nõukogu määrus finantsinstrumentide turgude kohta ning millega muudetakse määrust (Euroopa turu infrastruktuuri määrus) börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta

2012/C 147/01

EUROOPA ANDMEKAITSEINSPEKTOR,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 16,

võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artikleid 7 ja 8,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1),

võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutuses ning selliste andmete vaba liikumise kohta, (2) eriti selle artikli 28 lõiget 2,

ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:

1.   SISSEJUHATUS

1.1.   Euroopa Andmekaitseinspektoriga konsulteerimine

1.

Käesolev arvamus kuulub Euroopa Andmekaitseinspektori neljast finantssektorit käsitlevast arvamusest koosnevasse paketti, mis kõik on vastu võetud samal päeval (3).

2.

20. oktoobril 2011 võttis komisjon vastu ettepaneku võtta vastu Euroopa Parlamendi ja nõukogu direktiiv finantsinstrumentide turgude kohta, millega tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu direktiiv 2004/39/EÜ (4) (edaspidi „direktiivi ettepanek”) ja ettepaneku võtta vastu Euroopa Parlamendi ja nõukogu määrus finantsinstrumentide turgude kohta ning millega muudetakse määrust (Euroopa turu infrastruktuuri määrus) börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (edaspidi „määruse ettepanek”) (mõlemale tekstile viidatakse edaspidi koos kui „ettepanekud”).

3.

Enne ettepanekute vastuvõtmist konsulteeriti Euroopa Andmekaitseinspektoriga mitteametlikult. Euroopa Andmekaitseinspektor nendib, et mitut tema märkust on ettepanekutes arvesse võetud.

1.2.   Ettepanekute eesmärk ja reguleerimisala

4.

2007. aasta novembris jõustunud finantsinstrumentide turgude direktiiv on ELi finantsturgude integratsiooni peamine tugisammas. See koosneb praegu raamdirektiivist (direktiiv 2004/39/EÜ), rakendusdirektiivist (direktiiv 2006/73/EÜ) ning rakendusmäärusest (määrus (EÜ) nr 1287/2006).

5.

Finantsinstrumentide turgude direktiivis on sätestatud pankadele ja investeerimisühingutele finantsinstrumentide valdkonnas investeerimisteenuste osutamise (nt maaklerlus, nõustamine, tehingute tegemine, portfelli valitsemine, emissioonide tagamine jne) ning turu korraldajatele reguleeritud turgude korraldamise õigusraamistik. Selles on sätestatud ka liikmesriikide pädevate asutuste volitused ja kohustused seoses kõnealuse tegevusega. Täpsemalt kaotati sellega liikmesriikide võimalus nõuda, et kogu kauplemine finantsinstrumentidega toimuks ainult kindlatel börsidel, ning tagati selliste tavapäraste börside ja alternatiivsete kauplemiskohtade üle-euroopaline konkurents.

6.

Enam kui kolme jõusoleku aasta jooksul on sellega saavutatud suurem konkurents finantsinstrumentidega kauplevate kohtade vahel ning investoritele suuremad teenuse osutajate ja kättesaadavate finantsinstrumentide valiku võimalused. Ent samas on ilmnenud ka probleeme. Näiteks ei ole suuremast konkurentsist tulenev kasu võrdselt jaotunud kõikide turuosaliste vahel ja see ei ole alati jõudnud lõplike jae- või hulgimüügitasandi investoriteni, erinevad finantsinstrumentide turgude direktiivi sätted on jäänud jalgu turu ja tehnika arengule ning finantskriis on toonud esile puudused teatud instrumentide reguleerimises.

7.

Finantsinstrumentide turgude direktiivi läbivaatamise eesmärk on kohandada ja ajakohastada kehtivaid eeskirju vastavalt turul toimuvatele muudatustele, mille hulka kuuluvad ka finantskriis ja tehnoloogiline areng, ning suurendada eeskirjade tõhusust.

1.3.   Euroopa Andmekaitseinspektori arvamuse eesmärk

8.

Ettepanekute mitu külge mõjutavad üksikisikute õigusi seoses nende isikuandmete töötlemisega. Need küljed on järgmised: 1) dokumentide säilitamise ja tehingutest teatamise kohustus, 2) pädevate asutuste volitused (sh õigus kontrollida ja õigus nõuda telefonikõnede salvestusi ja tõendeid andmete edastamise kohta), 3) sanktsioonide avaldamine, 4) rikkumistest teatamine ja eriti sätted rikkumisest teatamise kohta, 5) koostöö liikmesriikide pädevate asutuste ja ESMA vahel.

2.   ETTEPANEKUTE ANALÜÜS

2.1.   Andmekaitset käsitlevate õigusaktide kohaldatavus

9.

Ettepanekute mitmes põhjenduses (5) viidatakse põhiõiguste hartale, direktiivile 95/46/EÜ ja määrusele (EÜ) nr 45/2001. Viide kohaldatavatele andmekaitset käsitlevatele õigusaktidele tuleks aga lisada ka ettepanekute regulatiivosa artiklisse.

10.

Hea näide sellise sisulise sätte kohta on siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku (6) artiklis 22, milles on sõnaselgelt sätestatud, et üldreeglina kohaldatakse ettepaneku raames isikuandmete töötlemise suhtes direktiivi 95/46/EÜ ja määrust (EÜ) nr 45/2001. Euroopa Andmekaitseinspektor avaldas hiljuti arvamuse kõnealuse ettepaneku kohta, milles ta kiidab sellise üldise sätte igati heaks. Euroopa Andmekaitseinspektor soovitab aga muuta viide direktiivile 95/46/EÜ selgemaks, täpsustades, et selle sätteid kohaldatakse vastavalt siseriiklikele eeskirjadele, millega direktiivi 95/46/EÜ rakendatakse.

11.

Seetõttu soovitab Euroopa Andmekaitseinspektor lisada samasuguse sisulise sätte, nagu on siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku (7) artiklis 22, võttes arvesse tema soovitusi eelnimetatud ettepaneku kohta, (8) st rõhutada kehtivate andmekaitset käsitlevate õigusaktide kohaldatavust ja muuta viide direktiivile 95/46/EÜ selgemaks, täpsustades, et sätteid kohaldatakse vastavalt siseriiklikele eeskirjadele, millega rakendatakse direktiivi 46/95/EÜ.

12.

Samuti tuleks põhjendustes järjepidevalt kasutada sõnastust, et liikmesriigid „peavad” mitte lihtsalt „peaksid” austama asjaomaseid andmekaitset käsitlevaid õigusakte, sest viimatinimetatud on jõus ning kaalutlusõigust nende kohaldatavuse suhtes ei ole.

2.2.   Dokumentide säilitamise ja tehingutest teatamise kohustus

2.2.1.   Kohustus määruse ettepaneku alusel

13.

Määruse ettepaneku põhjenduses 27 ja artiklites 21–23 on kehtestatud põhimõte, mille järgi jälgivad pädevad asutused ESMA koordineerimisel investeerimisühingute tegevust, tagamaks, et need käituvad ausalt, õiglaselt ja professionaalselt ning turu ausameelsust edendaval viisil. Selleks et seda teha, peaks pädevatel asutustel olema võimalik tuvastada nii isik, kes võttis vastu investeerimisotsuse, kui ka isikud, kelle ülesanne oli see täide viia (põhjendus 28).

14.

Sellise järelevalvetegevuse rakendamiseks kohustatakse investeerimisühinguid artikliga 22 säilitama asjakohaseid andmeid kõikide nende poolt finantsinstrumentidega teostatud tehingute kohta vähemalt viie aasta jooksul pädevale asutusele kättesaadavana. Kõnealused andmed peavad sisaldama kogu teavet ja üksikasju, mis on vajalikud kliendi tuvastamiseks. Andmed finantsinstrumentidega teostatud tehingute kohta tuleb esitada pädevatele asutustele, et võimaldada neil tuvastada ja uurida võimalikke turu kuritarvitamise juhtumeid, jälgida turgude õiglast ja korrakohast toimimist ning investeerimisühingute tegevust. Ka ESMA-l on õigus nõuda juurdepääsu sellistele andmetele.

15.

Investeerimisühingud peavad edastama nende tehingute üksikasjad pädevatele asutustele nii kiiresti kui võimalik (artikkel 23). Kui tehingutega seotud kliendid on füüsilised isikud, kaasneb selliste toimingutega isikuandmete töötlemine direktiivi 95/46/EÜ ja määruse (EÜ) nr 45/2001 tähenduses ning võib-olla ka üldiste andmebaaside loomine.

16.

Mõjuhinnangus ei ole antud hinnangut tehinguaruandluse viieaastasele säilitamisperioodile. Nagu on sätestatud direktiivi 95/46/EÜ artikli 6 lõike 1 punktis e, ei tohiks isikuandmeid säilitada kauem, kui see on vajalik seoses eesmärgiga, milleks andmeid koguti. Selle nõude järgimiseks soovitab Euroopa Andmekaitseinspektor asendada viieaastane minimaalne säilitamisperiood maksimaalse säilitamisperioodiga. Valitud periood peaks olema andmete kogumise eesmärgist lähtuvalt vajalik ja proportsionaalne.

2.2.2.   Kohustus direktiivi ettepaneku alusel

17.

Direktiivi artikkel 16 sisaldab investeerimisühingute suhtes kohaldatavaid organisatsioonilisi nõudeid. Eeskätt peavad ühingud tagama oma teenuste ja tehingute andmete säilitamise, mis võimaldaks pädeval asutusel jälgida käesoleva direktiivi nõuete täitmist. Selliste andmete abil oleks võimalik kontrollida, kas investeerimisühing on täitnud kõik klientidega või potentsiaalsete klientidega seotud kohustused. Kuigi tekstis ei ole seda täpsustatud, võib eeldada, et sellised andmed sisaldavad klientide ja töötajate isikuandmeid.

18.

Komisjonile antakse artikli 16 lõikega 12 volitused võtta vastu delegeeritud õigusakte kõnealuses artiklis nimetatud konkreetsete organisatsiooniliste nõuete täpsustamiseks. Sellega seoses kutsub Euroopa Andmekaitseinspektor komisjoni üles temaga delegeeritud õigusaktide vastuvõtmise ajal konsulteerima. Igal juhul peaks selliste meetmete eesmärk olema investeerimisühingu talletatud isikuandmete säilitamise ja töötlemise minimeerimine. Nagu seoses määrusega on juba märgitud, peaks komisjon samuti väga põhjalikult kaaluma, milline säilitamisperiood sellistele andmetele kehtestada, et säilitamine oleks nõuetekohane ja proportsionaalne.

2.3.   Telefonivestluste või elektroonilise teabevahetuse salvestamise kohustus

19.

Kooskõlas direktiivi ettepanekuga salvestatakse telefonivestlused või elektrooniline teabevahetus.

20.

Tavaliselt sisaldab telefonivestluste või elektrooniline teabevahetuse salvestus suhtluspartnerite isikuandmeid isegi siis, kui need on seotud finantstehingute või kutsetegevusega. Elektroonilise teabevahetusega seotud andmed võivad hõlmata väga erinevaid isikuandmeid, sealhulgas liiklusandmeid, aga ka sisu. Peale selle viitab sõna „vestlus” kasutamine sellele, et salvestatakse teabevahetuse sisu.

21.

Isikuandmete suhtes direktiivi 95/46/EÜ ja määruse (EÜ) nr 45/2001 tähenduses kohaldatakse põhilisi andmekaitse-eeskirju ja eriti eesmärgi piiritlemise, vajalikkuse ja proportsionaalsuse põhimõtteid ning kohustust mitte hoida andmeid kauem, kui see on vajalik.

Eesmärgi piiritlemine

22.

Kooskõlas direktiivi 95/46/EÜ artikli 6 lõike 1 punktiga b peab isikuandmeid koguma täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ja neid ei tohi töödelda hiljem viisil, mis on vastuolus kõnealuste eesmärkidega.

23.

Direktiivi ettepaneku artikli 16 lõikes 7 ei määratleta sõnaselgelt telefonivestluste või elektroonilise teabevahetuse salvestamise eesmärki. Kuid direktiivi ettepaneku põhjenduses 42, artikli 16 lõikes 6, Euroopa Väärtpaberiturujärelevalve Komitee (CESR) nõuannetes ja mõjuhinnangus viidatakse mitmele eri eesmärgile.

24.

Direktiivi ettepaneku artikli 16 lõikes 6 on sätestatud, et investeerimisühing korraldab kõikide oma teenuste ja tehingute andmete säilitamise, „et võimaldada pädeval asutusel jälgida käesoleva direktiivi nõuete täitmist, ning eelkõige veenduda, et investeerimisühing on täitnud kõik klientidega või potentsiaalsete klientidega seotud kohustused”.

25.

Direktiivi ettepaneku põhjenduses 42 selgitatakse, et „kliendi korraldusi käsitlevate telefonivestluste või elektroonilise teabevahetuse salvestamine […] on õigustatud vahend investorite kaitse tugevdamiseks, turujärelevalve parandamiseks ning investeerimisühingute ja nende klientide õiguskindluse suurendamiseks”. Põhjenduses viidatakse ka Euroopa Väärtpaberiturujärelevalve Komitee 29. juulil 2010 avaldatud tehnilistele nõuannetele Euroopa Komisjonile, (9) milles käsitletakse selliste salvestuste tähtsust.

26.

Euroopa Väärtpaberiturujärelevalve Komitee nõuannetes rõhutatakse, et pädevate asutuste sõnul on vestluste salvestamine vajalik selleks, et i) tagada tõendite olemasolu investeerimisühingu ja tema klientide vahel tehingu tingimuste üle tekkinud vaidluste lahendamiseks, ii) aidata kaasa järelevalvetegevusele seoses äritegevuse eeskirjade täitmisega ja iii) aidata hoida ära ja avastada turu kuritarvitamist ning aidata kaasa selle valdkonna tugevdamisele. Salvestamine ei oleks ainult vahend, mis tagab ametivõimude järelevalve, vaid see „võib aidata” pädeval asutusel kontrollida, kuidas täidetakse näiteks finantsinstrumentide turgude direktiivi nõudeid, mis on seotud klientide ja võimalike klientide kohta käiva teabega, tehingute parima teostamisega või klientide korralduste käsitlemisega.

27.

Mõjuhinnangus selgitatakse, et „pädevad asutused vajavad sellist teavet (st telefonikõnede ja elektroonilise teabevahetuse salvestamist) selleks, et tagada turu puutumatus ja äritegevuse eeskirjade täitmine” (10).

28.

Direktiivi ettepaneku põhjenduses 42, artikli 16 lõikes 6, Euroopa Väärtpaberiturujärelevalve Komitee nõuannetes ja mõjuhinnangus viidatud eri eesmärke ei ole kirjeldatud loogiliselt ja järjekindlalt, pigem võib neid leida mitmest kohast ettepanekus ja lisadokumentides. Kooskõlas direktiivi 95/46/EÜ artikli 6 lõikega 1 peab andmeid koguma täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel. Seetõttu soovitab Euroopa Andmekaitseinspektor tungivalt seadusandjal määratleda direktiivi ettepaneku artikli 16 lõikes 7 selgelt ja täpselt telefonivestluste ja elektroonilise teabevahetuse salvestamise eesmärk.

Vajalikkus ja proportsionaalsus

29.

Kooskõlas direktiivi 95/46/EÜ artikli 6 lõike 1 punktiga c peavad isikuandmed olema piisavad, asjakohased ja ei tohi ületa selle otstarbe piire, mille tarvis neid kogutakse ja/või hiljem töödeldakse, st kogutud andmed peavad piirduma andmetega, mis on kohased taotletud otstarbe täitmiseks, ja andmeid, mida ei ole selle otstarbe täitmiseks vaja, ei tohi koguda.

30.

Artikli 16 lõikes 7 viidatakse telefonivestlustele või elektroonilisele teabevahetusele, mis hõlmavad vähemalt tehinguid, mis on sõlmitud oma arvel kauplemise käigus, ja kliendi korraldusi, kui kliendi nimel osutatakse korralduste vastuvõtmise ja edastamise teenuseid ning kliendi nimel täidetakse korraldusi.

31.

Esiteks ei selgitata artikli 16 lõikes 7, milliste telefonivestluste ja elektroonilise teabevahetuse salvestustele viidatakse (välja arvatud sõnaselgelt nimetatud tehingud). Euroopa Andmekaitseinspektor mõistab, et need hõlmavad teabevahetust, mis on seotud investeerimisühingu osutatud teenuste ja sooritatud tehingutega. Kuid see tuleks selgelt kindlaks määrata. Lisaks ei välista sõna „vähemalt” kasutamine muude telefonivestluste ja muu elektroonilise teabevahetuse salvestamist. Tegelikult tuleks selle sättega selgelt määratleda teabevahetus, mis salvestatakse, ning piiritleda see teabevahetusega, mis on vajalik salvestamise eesmärgi täitmiseks.

32.

Teiseks ei täpsustata sättes, mis liiki andmeid säilitatakse. Nagu juba mainitud, võivad elektroonilise teabevahetusega seotud andmed hõlmata suurt hulka isiklikku laadi teavet, nagu teavet edastava ja saava isiku andmed, ajalised andmed, kasutatud võrk, kasutaja geograafiline asukoht kaasaskantavate seadmete kasutamisel jne. See tähendab ka võimalikku juurdepääsu teabevahetuse sisule. Peale selle viitab mõiste „vestlus” sellele, et salvestatakse teabevahetuse sisu. Vastavalt proportsionaalsuse põhimõttele peavad telefonivestluste ja elektroonilise teabevahetuse salvestustes sisalduvad isikuandmed piirduma andmetega, mis on vajalikud selle otstarbe täitmiseks, milleks neid koguti.

33.

Näiteks kui teabevahetuse salvestamise eesmärk on säilitada tõendeid tehingute kohta, ei tundu olevat muud võimalust kui salvestada teabevahetuse sisu, et leida tõendeid tehingute kohta. Kuid teabevahetuse sisu salvestamine selleks, et aidata ära hoida ja avastada turu kuritarvitamist või jälgida üldiselt direktiivi ettepanekus sätestatud nõuete täitmist, oleks ülemäärane ja ebaproportsionaalne. Direktiivi ettepaneku artikli 71 lõike 2 punktis d, milles antakse pädevale asutusele õigus nõuda investeerimisühingult telefonivestluste ja andmeliiklusandmete salvestusi juhul, kui esineb põhjendatud kahtlus kavandatud direktiivi rikkumise suhtes, välistatakse sõnaselgelt teabevahetuse sisu. Samamoodi välistatakse sõnaselgelt teabevahetuse sisu siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku (11) artikli 17 lõike 2 punktis f, millega nähakse pädevatele asutustele ette samasugune uurimispädevus siseringitehingute või turuga manipuleerimise tõendamiseks.

34.

Seetõttu soovitab Euroopa Andmekaitseinspektor tungivalt täpsustada ettepaneku direktiivi artikli 16 lõikes 7, millist liiki telefonivestlusi ja elektroonilist teabevahetust ning milliseid vestluste ja teabevahetusega seotud andmete liike salvestatakse. Sellised andmed peavad olema piisavad, asjakohased ega tohi olla kõnealust otsarvet silmas pidades ülemäärased.

Andmete säilitamine periood

35.

Kooskõlas direktiivi 95/46/EÜ artikli 6 lõike 1 punktiga e tuleks isikuandmeid säilitada kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik seoses andmete kogumise eesmärkidega (12). Direktiivi ettepaneku artikli 16 lõikes 7 on säilitamisperioodiks märgitud kolm aastat. Mõjuhinnangus nenditakse, et mis tahes meede selles valdkonnas peaks järgima direktiivis 95/46/EÜ sätestatud andmekaitse-eeskirju. Kuid selles rõhutatakse, et säilitamisperioodi kehtestamisel peaks võtma arvesse kehtivaid ELi õigusakte selliste andmete säilitamise kohta, mis on koostatud või mida töödeldakse seoses üldsusele kättesaadava elektroonilise teabevahetusega raske kuritegevusega võitlemise eesmärgil. Mõjuhinnangus väidetakse, et seega peaks maksimaalne kolmeaastane periood vastama vajalikkuse ja proportsionaalsuse põhimõtetele, mis on vajalikud põhiõigusesse sekkumise õiguspärasuse tagamiseks (13).

36.

Euroopa Andmekaitseinspektori arvamuse kohaselt ei ole meetme kestuse vajalikkuse ja proportsionaalsuse analüüs piisav. Üheski telefonivestluste ja elektroonilise teabevahetuse salvestamise eri eesmärgis (mis on mõneti ebaselged), millele viidatakse artikli 16 lõikes 6, põhjenduses 42, mõjuhinnangus või Euroopa Väärtpaberiturujärelevalve Komitee nõuannetes, ei mainita raske kuritegevuse vastu võitlemist.

37.

Hindamine tuleb teostada kooskõlas direktiivi ettepaneku raames sätestatud salvestamise eesmärkidega. Näiteks kui eesmärk on „tagada, et on olemas tõendid investeerimisühingu ja tema klientide vahel tehingute tingimuste üle tekkinud vaidluste lahendamiseks”, (14) siis peaks mõju hindamisel mõtlema sellele, kui kaua peab andmeid säilitama seoses õiguste piiramise sättega, mille põhjal selliseid vaidlusi saab algatada.

38.

Seetõttu kutsub Euroopa Andmekaitseinspektor seadusandjat üles põhjalikult kaaluma, milline säilitamisperiood on vajalik telefonivestluste ja elektroonilise teabevahetuse salvestamise eesmärgil ettepaneku konkreetse reguleerimisala raames.

2.4.   Pädevate asutustele antavad volitused

39.

Direktiivi artiklis 71 on loetletud kõik pädevatele asutustele antavad järelevalve- ja uurimisvolitused.

40.

Artikli 71 lõikes 4 viidatakse direktiivile 95/46/EÜ, sätestades, et järelevalve- ja uurimisvolituste kasutamise käigus kogutud isikuandmeid töödeldakse, austades igal juhul põhiõigusi eraelu puutumatusele ja andmete kaitsele. Euroopa Andmekaitseinspektor on rahul kõnealuste sätetega, milles käsitletakse konkreetselt seost asutuste uurijarolli ning nende tegevusega seonduva isikuandmete töötlemise vahel.

2.4.1.   Õigus korraldada kohapealseid kontrolle

41.

Artikli 71 lõike 2 punktis c antakse pädevatele asutustele volitus korraldada kohapealseid kontrolle. Erinevalt siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepanekust (15) ei sisalda praegune säte ühtki viidet pädevate asutuste õigusele „siseneda dokumentide kaasavõtmiseks eraruumidesse”. Seda võib tõlgendada nii, et kontrolliõigus on piiratud investeerimisühingute ruumidega ega hõlma eraruume. Selguse mõttes soovitame tekstis piirangud sõnaselgelt täpsustada. Juhul kui komisjonil on siiski kavas lubada eraruumide kontrollimist, viitab Euroopa Andmekaitseinspektor märkusele, mille ta esitas oma arvamuses eelnimetatud ettepaneku kohta, (16) milles ta leidis, et arvestades kõnealuse volituse võimalikku sissetungivat iseloomu, oleks põhjendatud üldine nõue saada eelnevalt kohtu luba sõltumatult sellest, kas see on sätestatud siseriiklikes õigusaktides.

2.4.2.   Õigus nõuda telefonikõnede salvestusi ja tõendeid andmete edastamise kohta

42.

Direktiivi ettepaneku artikli 71 lõike 2 punktis d antakse pädevatele asutustele õigus „nõuda investeerimisühingutelt olemasolevaid telefonikõnede salvestusi ja tõendeid andmete edastamise kohta”. Selles täpsustakse, et taotlus peab põhinema „põhjendatud kahtlusel”, et sellised salvestused ja tõendid „võivad olla olulised selleks, et tõendada investeerimisühingu käesoleva direktiivi kohaste kohustuste rikkumist”. Salvestused ja tõendid ei tohi ühelgi juhul hõlmata „nendes edastatud teate sisu”. Euroopa Andmekaitseinspektor on rahul sellega, et tekstis on piiritletud pädevate asutuste volitused, sätestades salvestustele ja tõenditele juurdepääsu suhtes põhjendatud kahtluse olemasolu tingimuse ning välistades pädevate asutuste juurdepääsu teate sisule.

43.

Paraku ei ole direktiivi ettepanekus määratletud mõistet „telefonikõnede salvestused ja tõendid andmete edastamise kohta”. Direktiivis 2002/58/EÜ (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) viidatakse ainult liiklusandmetele, aga mitte „telefonikõnede salvestustele ja tõenditele andmete edastamise kohta”. Ütlematagi on selge, et nende mõistete täpne tähendus määrab uurimispädevuse võimaliku mõju asjaomaste isikute eraelu puutumatusele ja andmekaitsele. Euroopa Andmekaitseinspektor soovitab kasutada terminoloogiat, mis on juba kasutusel direktiivi 2002/58/EÜ mõiste „liiklusandmed” määratluses.

44.

Elektrooniliste sidevahendite kasutamisega seonduvad andmed võivad hõlmata suurt hulka isiklikku laadi teavet, nagu helistaja ja kõnele vastaja isik, helistamise aeg ja kõne kestus, kasutatud võrk, kasutaja geograafiline asukoht kaasaskantavate seadmete kasutamisel jne. Peale selle võivad mõned interneti ja e-posti kasutamisega seotud liiklusandmed (näiteks külastatud veebisaitide nimekiri) paljastada olulisi üksikasju teabe sisu kohta. Lisaks on liiklusandmete töötlemine vastuolus kirjavahetuse konfidentsiaalsusega. Seda arvesse võttes on direktiivis 2002/58/EÜ kehtestatud põhimõte, mille kohaselt tuleb liiklusandmed, mida side edastamiseks ei ole enam vaja, kustutada või muuta anonüümseks (17). Kooskõlas kõnealuse direktiivi artikli 15 lõikega 1 võivad liikmesriigid sätestada siseriiklikes õigusaktides erandeid konkreetsetel õiguspärastel eesmärkidel, kui need erandid on demokraatlikus ühiskonnas asjaomaste eesmärkide saavutamiseks vajalikud, otstarbekad ja proportsionaalsed (18).

45.

Euroopa Andmekaitseinspektor on seisukohal, et eesmärgid, mida komisjon reitinguagentuuride määruses taotleb, on õiguspärased. Ta mõistab vajadust algatuste järele, mis on suunatud finantsturgude järelevalve tugevdamisele, et hoida nende õiguspärasust ning kaitsta paremini investoreid ja majandust üldiselt. Kuid arvestades otseselt liiklusandmetega seotud uurimisvolituste võimalikku sekkuvat iseloomu, peavad need volitused vastama vajalikkuse ja proportsionaalsuse nõuetele, st piirduma sellega, mis on vajalik taotletud eesmärgi saavutamiseks, ega tohiks ületada selleks vajalikku (19). Sellest seisukohast on tähtis, et sätted oleksid selgelt sõnastatud, arvestades nende isiklikku ja olulist laadi, olukordi, milles neid kasutatakse, ja nende kasutamise tingimusi. Peale selle tuleks kuritarvitamise riski vältimiseks sätestada piisavad kaitsemeetmed.

46.

Asjaomaste telefonikõnede salvestused ja tõendid andmete edastamise kohta sisaldavad ilmselt isikuandmeid direktiivi 95/46/EÜ, direktiivi 2002/58/EÜ ja määruse (EÜ) nr 45/2001 tähenduses. Kui see on nii, tuleb tagada, et direktiivides ja määruses sätestatud isikuandmete õige ja õiguspärase töötlemise tingimused on täielikult täidetud.

47.

Euroopa Andmekaitseinspektor märgib, et artikli 71 lõikega 3 tehakse kohtu luba kohustuslikuks alati, kui seda nõutakse siseriiklikes õigusaktides. Ent Euroopa Andmekaitseinspektor leiab, et üldine nõue saada kohtu eelnev luba kõikidel juhtudel – sõltumatult sellest, kas seda nõutakse siseriiklikute õigusaktidega – oleks põhjendatud kõnealuse volituse võimalikku sekkuvat iseloomu arvestades ning ka et tagada õigusaktide ühtlustatud kohaldamine kõikides liikmesriikides. Ühtlasi tuleb arvesse võtta, et mitmesugustes liikmesriikide õigusaktides on sätestatud eritagatised kodu puutumatuse kaitsmiseks ebaproportsionaalse ja hoolikalt reguleerimata kontrollimise, läbiotsimise või arestimise eest, eriti kui seda teostavad haldusasutused.

48.

Peale selle soovitab Euroopa Andmekaitseinspektor kehtestada ESMA suhtes tingimuse, et ta võib nõuda telefonikõnede salvestusi ja tõendeid andmete edastamise kohta ametliku otsuse alusel, milles on kindlaks määratud nõude õiguslik alus ja eesmärk, millist teavet taotletakse, teabe esitamise aeg ning taotluse saaja õigus lasta otsus Euroopa Kohtul läbi vaadata.

49.

Väljend „olemasolevad telefonikõnede salvestused ja tõendid andmete edastamise kohta” ei tundu olevat piisavalt selge. Pole määratletud, mida tähendavad telefonikõnede salvestused ja tõendid andmete edastamise kohta, kuigi finantsinstrumentide turgude direktiivi ettepaneku artikli 71 lõike 2 punktis 2 on täpsustatud, et need on ainult „investeerimisühingute” salvestused ja tõendid. Investeerimisühingute andmete all mõeldakse ilmselt andmeid, millele viidatakse artikli 16 lõigetes 6 ja 7, mida on kommenteeritud eespool. See peaks tähendama, et tekst välistab andmed, mida hoiavad elektronsideteenuse osutajad, kes on sõlminud asjaomase investeerimisühinguga tarnelepingu. Selguse huvides soovitab Euroopa Andmekaitseinspektor täpsusemalt selgitada, millistele investeerimisühingu telefonikõnede salvestustele ja tõenditele andmete edastamise kohta viidatakse.

2.5.   Sanktsioonide ja muude meetmete kohustuslik avaldamine

2.5.1.   Sanktsioonide kohustuslik avaldamine

50.

Direktiivi ettepaneku artiklis 74 kohustatakse liikmesriike tagama, et pädevad asutused avaldavad mis tahes sanktsiooni või meetme, mis on kehtestatud määruse ettepaneku sätete või direktiivi ettepaneku rakendamiseks vastu võetud siseriiklike sätete rikkumise korral põhjendamatult viivitamata koos teabega rikkumise liigi ja laadi selle eest vastutatavate isikutega, välja arvatud juhul, kui selline avaldamine ohustaks tõsiselt finantsturge. Seda kohustust leevendatakse ainult juhul, kui avaldamine võib põhjustada asjaosalistele „ebaproportsionaalset kahju”, ja sellisel juhul avaldavad pädevad asutused sanktsioonid anonüümselt.

51.

Sanktsioonide avaldamine aitaks suurendada heidutavat mõju, sest tegelikud ja võimalikud toimepanijad ei julgeks maine olulise kahjustamise vältimiseks rikkumisi toime panna. Samuti suurendaks see läbipaistvust, sest turuosalised oleksid teadlikud sellest, et teatud isik on rikkumise toime pannud (20). Seda kohustust leevendatakse ainult juhul, kui avaldamine võib põhjustada asjaosalistele ebaproportsionaalset kahju, ja sellisel juhul avaldavad pädevad asutused sanktsioonid anonüümselt. Peale selle – kuigi mõjuhinnangus nenditakse, et sanktsioonide korra kehtestamine (kas minimaalse või täieliku ühtlustamise kaudu) avaldaks mõju põhiõigustele, mis on sätestatud ELi põhiõiguste harta (21) artiklites 7 (era- ja perekonnaelu austamine) ja 8 (isikuandmete kaitse) ning võimalik, et ka neile, mis on sätestatud artiklites 47 (õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele) ning 48 (süütuse presumptsioon ja kaitseõigus), ei uurita selles sanktsioonide avaldamise enda võimalikku mõju sellistele õigustele.

52.

Vastavalt artikli 75 lõike 2 punktile a on pädevatel asutustel muude karistusmeetmete kohaldamise seas juba õigus avaldada avalik teadaanne, milles on märgitud vastutav füüsiline või juriidiline isik ja rikkumise laad (22). Ei ole selge, kuidas saab avaldamise kohustust vastavalt artiklile 74 sobitada õigusega avaldada avalik teadaanne vastavalt artikli 75 lõike 2 punktile a. Avaliku teadaande avaldamise õiguse käsitlemine artikli 75 lõike 2 punktis a näitab, et avaldamine ise on tegelik karistus, mida tuleks hinnata iga juhtumi korral eraldi, arvestades artiklis 76 (23) sätestatud proportsionaalsuskriteeriume.

53.

Euroopa Andmekaitseinspektor ei ole kindel, et sanktsioonide kohustuslik avaldamine praeguse sõnastuse alusel vastab andmekaitseseaduse nõuetele, nagu Euroopa Kohus on selgitanud oma kohtuasjas Schecke tehtud otsuses (24). Ta on seisukohal, et meetme eesmärki, vajalikkust ja proportsionaalsust ei ole piisavalt tõendatud ning et igal juhul tuleb ette näha piisavad kaitsemeetmed seoses üksikisikute õiguste suhtes esinevate riskidega.

2.5.2.   Avaldamise vajalikkus ja proportsionaalsus

54.

Kohtuasjas Schecke tehtud otsuses tunnistas Euroopa Kohus kehtetuks nõukogu määruse ja komisjoni määruse sätted, millega nähti ette põllumajandustoetuste saajaid käsitleva teabe, sealhulgas toetusesaajate isiku ja saadud summade kohustuslik avaldamine. Kohus leidis, et sellise avaldamise näol on tegemist isikuandmete töötlemisega Euroopa Liidu põhiõiguste harta (edaspidi „harta”) artikli 8 lõike 2 mõistes ning seega harta artiklites 7 ja 8 tunnustatud õiguste riivega.

55.

Pärast seda, kui kohus oli leidnud, et „isikuandmete kaitse erandite ja piirangute puhul tuleb piirduda rangelt vajalikuga”, analüüsis kohus avaldamise eesmärki ja selle proportsionaalsust. Ta jõudis järeldusele, et kõnealusel juhul ei viita miski sellele, et nõukogu ja komisjon oleksid asjaomase õigusakti vastuvõtmisel vaaginud andmete avaldamise viisi, mis vastaks avaldamise eesmärgile, kuid riivaks samal ajal vähem toetusesaajaid.

56.

Direktiivi ettepaneku artikkel 74 tundub sisaldavat samu puudusi, mille Euroopa Kohus tõi esile kohtuasjas Schecke tehtud otsuses. Tuleb meeles pidada, et hindamaks isikuandmete avaldamist nõudva sätte vastavust andmekaitsenõuetele, on äärmiselt oluline omada selget ja kindlalt määratletud eesmärki, mida avaldamine teenib. Ainult selge ja kindlalt määratletud eesmärgi alusel saab hinnata, kas asjaomaste isikuandmete avaldamine on tegelikult vajalik ja proportsionaalne (25).

57.

Pärast ettepaneku ja selle lisadokumentidega (st mõju hindamise aruanne) tutvumist tundub Euroopa Andmekaitseinspektorile, et selle meetme eesmärki ja järelikult ka vajalikkust ei ole selgelt põhjendatud. Kui ettepaneku põhjendustes neid küsimusi ei mainita, siis mõju hindamise aruandes märgitakse lihtsalt, et „sanktsioonide avaldamine on oluline selleks, et tagada sanktsioonide hoiatav mõju neile, kelle suhtes neid kohaldatakse, ja on vajalik selleks, et tagada sanktsioonide hoiatav mõju üldsusele” (26). Selline üldine avaldus ei tundu olevat piisav kavandatud meetme vajalikkuse tõendamiseks. Tundub, et kui üldeesmärk on hoiatava mõju suurendamine, oleks komisjon pidanud selgitama eeskätt seda, miks ei oleks piisanud raskematest rahalistest karistustest (või muudest sanktsioonidest, mis ei võrdu näpuganäitamise ja häbistamisega).

58.

Peale selle ei ole mõju hindamise aruandes võetud piisavalt arvesse vähem sekkuvaid viise, nagu teabe avaldamise piiramine krediidiasutustega või avaldamise vajalikkuse kaalumine iga juhtumi korral eraldi. Just viimatinimetatud võimalus tundub esmapilgul olevat proportsionaalsem lahendus, eriti arvestades, et artikli 75 lõike 2 alapunkti a alusel on avaldamine ise karistus, mida tuleks hinnata iga juhtumi puhul eraldi, võttes arvesse kõiki asjakohaseid asjaolusid, nagu rikkumise raskus, vastutava isiku vastutuse ulatus, varasemad rikkumised, kolmandate isikute kahju jne (27).

59.

Euroopa Andmekaitseinspektori arvates teeb võimalus hinnata juhtumit konkreetsete olude põhjal sellise lahenduse proportsionaalsemaks ning seetõttu eelistatumaks valikuvõimaluseks kui kohustuslik avaldamine kõikide juhtumite korral. Näiteks võimaldaks selline kaalutlusõigus pädeval asutusel vältida avaldamist vähem tõsiste rikkumiste korral, kui rikkumine ei põhjustanud olulist kahju, asjaosaline on näidanud üles koostöövalmidust jne.

60.

Määruse ettepaneku artikli 35 lõikes 6 käsitletakse teate avaldamist ESMA veebisaidil mis tahes otsuse kohta piirata isiku võimet soetada kauba tuletisinstrumente või seda piirangut pikendada. Seetõttu tuleb avaldada nende isikute andmed, kelle läbirääkimisvõimet ESMA on piiranud, koos teabega kohaldatavate finantsinstrumentide kohta, asjakohaste kvantitatiivsete piirangute kohta, näiteks maksimaalne lepingute arv, mille isik või isikute klass võib sõlmida, ning meetme võtmise põhjused. Selle meetme jõustumine on seotud avaldamise endaga (artikli 35 lõige 7). Tuginedes direktiivi sätete põhjal kujunenud järeldustele, julgustab Euroopa Andmekaitseinspektor seadusandjat kaaluma, kas avaldamine on vajalik ja kas leidub vähem piiravaid meetmeid selliste juhtumite korral, millega on seotud füüsilised isikud.

2.5.3.   Piisavate kaitsemeetmete vajadus

61.

Direktiivi ettepanekus oleks tulnud ette näha piisavad kaitsemeetmed, et tagada õiglane tasakaal kaalul olevate eri huvide vahel. Esiteks on kaitsemeetmed vajalikud seoses süüdistatavate isikute õigusega vaidlustada otsus kohtus ja süütuse presumptsiooniga. Selle kohta oleks pidanud artikli 74 sõnastusse lisama konkreetse viite, millega kohustatakse pädevaid asutusi võtma asjakohased meetmed nii olukordades, kus otsus kaevatakse edasi, kui ka juhul, kui kohus otsuse tühistab (28).

62.

Teiseks peaks direktiivi ettepanekuga tagatama andmesubjektide õiguste ennetav austamine. Euroopa Andmekaitseinspektoril on hea meel, et ettepaneku lõppversiooniga nähakse ette võimalus välistada avaldamine juhul, kui see põhjustab ebaproportsionaalset kahju. Siiski peaks ennetav lähenemisviis tähendama, et andmesubjekte teavitatakse eelnevalt asjaolust, et nende karistusotsus avaldatakse, ja neil on kooskõlas direktiivi 95/46/EÜ artikliga 14 õigus esitada veenvatel ja õigustatud põhjustel vastuväiteid (29).

63.

Kolmandaks, kuigi direktiivi ettepanekus ei määrata kindlaks teabe avaldamise kandjat, võib eeldada, et enamikes liikmesriikides toimub avaldamine internetis. Internetis avaldamisega kaasnevad konkreetsed probleemid ja riskid, mis seonduvad eeskätt vajadusega tagada, et teavet ei hoitaks veebis kauem kui vaja ning andmeid ei saaks töödelda ega muuta. Väliste otsimootorite kasutamisega kaasneb ka risk, et teave võidakse võtta kontekstist välja ja levitada seda internetis ja mujal viisil, mida ei ole lihtne kontrollida (30).

64.

Eespool kirjeldatut arvestades on vaja kohustada liikmesriike tagama, et asjaomaste isikute isikuandmeid hoitakse veebis ainult mõistlikul ajavahemikul ja need kustutakse selle möödumisel süsteemselt (31). Peale selle tuleks liikmesriikidelt nõuda, et nad tagaksid piisavate turva- ja kaitsemeetmete kasutuselevõtu, eriti selleks, et kaitsta väliste otsimootorite kasutamisega seotud riskide eest (32).

2.5.4.   Järeldused avaldamise kohta

65.

Euroopa Andmekaitseinspektor on seisukohal, et sanktsioonide kohustuslikku avaldamist käsitlev säte selle praeguses sõnastuses ei ole kooskõlas põhiõigusega eraelu puutumatusele ja andmekaitsele. Seadusandja peaks tähelepanelikult hindama kavandatud süsteemi vajalikkust ning kontrollima, kas avaldamiskohustus ei lähe kaugemale taotletava avaliku huvi eesmärgi täitmiseks vajalikust ja kas sama eesmärgi saavutamiseks on vähem piiravamaid meetmeid. Sõltuvalt sellise proportsionaalsuse analüüsi tulemustest peaksid avaldamiskohustust igal juhul toetama piisavad kaitsemeetmed, millega tagatakse süütuse presumptsiooni järgimine, asjaomaste inimeste õigus esitada vastuväiteid, andmete turvalisus/täpsus ning nende kustutamine piisava aja möödumisel.

2.6.   Rikkumistest teatamine

66.

Direktiivi ettepaneku artiklis 77 käsitletakse rikkumistest teatamise mehhanisme, mida teatakse ka kui rikkumistest teavitamise süsteeme. Kuigi sellised süsteemid võivad olla tõhusaks järelevalvevahendiks, tekitavad nad olulisi küsimusi andmekaitse seisukohalt (33). Euroopa Andmekaitseinspektor on väga rahul sellega, et direktiivi ettepanek sisaldab konkreetseid kaitsemeetmeid, mida tuleb edasi arendada riiklikul tasandil ja mis hõlmavad rikkumiskahtlusest teatavate isikute kaitset ja isikuandmete kaitset üldisemalt. Mõju hinnangus on nimetatud rikkumistest teavitamise süsteeme seoses valikuvõimalustega kehtestada sanktsioonid põhiõiguste hindamiseks (34) ja juhitakse tähelepanu õigusaktide rakendamise vajadusele, et täita andmekaitsepõhimõtteid ja kriteeriume, mille määravad kindlaks andmekaitseasutuse. Euroopa Andmekaitseinspektor on kursis sellega, et direktiivis sätestatakse ainult liikmesriikide rakendatava süsteemi põhielemendid. Sellele vaatamata tahab ta juhtida tähelepanu järgmistele lisapunktidele.

67.

Nagu ka teistes arvamustes, (35) toob Euroopa Andmekaitseinspektor esile vajaduse lisada konkreetne viide vajadusele austada rikkumisest teavitaja ja informaatori isiku konfidentsiaalsust. Euroopa Andmekaitseinspektor rõhutab, et rikkumistest teavitajad on keerulises olukorras. Sellist teavet andvatele isikutele tuleb tagada, et nende isikut hoitakse konfidentsiaalsena, eriti seoses isikuga, kelle väidetavast rikkumisest teatatakse (36). Rikkumisest teavitava isiku konfidentsiaalsus tuleb tagada menetluse kõikidel etappidel, kui see ei ole vastuolus kohtumenetlusi reguleerivate riiklike eeskirjadega. Eriti võib isiku avalikustamise vajadus tekkida edasise uurimise käigus või selle tulemuste põhjal (ka sel juhul, kui on selgunud, et rikkumisest teavitaja esitas pahatahtlikult valeväiteid) algatatud järgneva kohtumenetluse käigus (37). Eelkirjeldatut arvestades soovitab Euroopa Andmekaitseinspektor lisada artikli 77 lõike 1 punkti b järgmine säte: „nende isiku konfidentsiaalsus tuleb tagada menetluse kõikides etappides, kui selle avalikustamist ei nõuta riiklikes õigusaktides edasise uurimise või järgneva kohtumenetluse kontekstis.”

68.

Peale selle rõhutab Euroopa Andmekaitseinspektor, et tähtis on kehtestada nõuetekohased eeskirjad eesmärgiga kaitsta süüdistavate juurdepääsuõigusi, mis on tihedalt seotud kaitseõigustega (38). Rikkumisteadete vastuvõtmise menetlused ja nende järelkontroll, millele viidatakse artikli 77 lõike 1 punktis a, peaksid tagama, et süüdistavate kaitseõigusi, nagu õigus olla informeeritud, õigus tutvuda uurimistoimikuga ja süütuse presumptsioon, austatakse piisavalt ning piiratakse ainult vajalikul määral (39). Sellega seoses soovitab Euroopa Andmekaitseinspektor lisada ka direktiivi ettepanekusse siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse vastuvõtmiseks tehtud komisjoni ettepaneku artikli 29 punkti d säte, millega nähakse ette, et liikmesriigid kehtestavad „asjakohased menetlused, et tagada süüdistatava isiku kaitseõigus ja tema õigus ärakuulamisele enne teda käsitleva otsuse vastuvõtmist ning õigus tõhusale õiguskaitsevahendile iga teda käsitleva otsuse või meetme puhul”.

69.

Ja lõpetuseks, seoses artikli 77 lõike 1 punktiga c on Euroopa Andmekaitseinspektoril hea meel näha, et selle sättega nõutakse liikmesriikidelt selliste isikuandmete kaitse tagamist, mis hõlmavad nii isikut, kes teatab rikkumisest, kui ka süüdistatavat, kooskõlas direktiivis 95/46/EÜ sätestatud põhimõtetega. Siiski soovitab ta välja jätta väljendi „kooskõlas sätestatud põhimõtetega”, et muuta viide direktiivile üldisemaks ja siduvamaks. Seoses vajadusega järgida andmekaitset käsitlevaid õigusakte süsteemide tegelikul rakendamisel soovib Euroopa Andmekaitseinspektor eriti rõhutada artikli 29 alusel asutatud andmekaitse töörühma soovitusi, mille ta esitas 2006. aastal arvamuses rikkumisest teavitamise kohta. Riiklike süsteemide rakendamisel peaksid asjaomased üksused muu hulgas arvestama vajadusega austada proportsionaalsuse põhimõtet, piirates võimaluste piires selliste isikute kategooriaid, kellel on õigus rikkumistest teavitada, nende inimeste kategooriaid, kellele võib süüdistuse esitada, ning rikkumisi, mille eest neid võib süüdistada; vajadusega eelistada tuvastatud ja konfidentsiaalseid teatamisi anonüümsetele; vajadusega kehtestada kord rikkumisest teataja isiku avaldamiseks juhul, kui rikkumisest teavitaja esitas pahatahtlikke väiteid; vajadusega pidada kinni rangetest andmete säilitamise perioodidest.

2.7.   Koostöö liikmesriikide pädevate asutuste ja ESMA vahel

2.7.1.   Koostöö direktiivi ettepaneku alusel

70.

Artiklis 83 sätestatakse koostöökohustus liikmesriikide pädevate asutuste ja ESMA vahel. Täpsemalt kohustatakse artikli 83 lõikes 5 pädevaid asutusi teavitama ESMAt ja teisi pädevaid asutusi järgmistest üksikasjadest: a) kõikidest taotlustest kõikidele isikutele, kes andsid teavet riskipositsiooni kohta eesmärgiga võtta meetmed selle vähendamiseks kooskõlas artikli 72 lõike 1 punktiga f ja b) isikute suhtes kehtestatud piirangutest seoses kaupade tuletisinstrumentide lepingute sõlmimisega kooskõlas artikli 72 lõike 1 punktiga g. Teavitamine hõlmab üksikasju isiku kohta, kelle suhtes meedet kohaldati, samuti piirangute ulatust, asjaomaste finantsinstrumentide liiki ja muud teavet.

71.

Peale selle on sätestatud, et liikmesriigi pädev asutus, kes saab eespool nimetatud teatise, „võib võtta artikli 72 lõike 1 punktide f või g kohaseid meetmeid, kui ta jõuab seisukohale, et kõnealused meetmed on vajalikud teise pädeva asutuse eesmärgi saavutamiseks.” Euroopa Andmekaitseinspektor juhib tähelepanu sellele, et sellist pädeva asutuse tehtavat otsust võib tõlgendada kui direktiivi 95/46/EÜ artiklis 15 kirjeldatud „automatiseeritud üksikotsust”: sellist tõlgendust võimaldab asjaolu, et artiklis 72 kohustatakse vastuvõtvat pädevat asutust kontrollima, kas kaalumisel oleva meetmega saab täita teise pädeva asutuse eesmärki. Seega ei nõuta teadet vastuvõtvalt liikmesriigi pädevalt asutuselt konkreetselt juhtumi asjaolude (ka mitte subjekti isikuandmete põhjal) iseseisvat analüüsi, selleks et kohaldada tema õigusi piiravat meedet. Direktiivi 95/46/EÜ artiklis 15 on sätestatud, et igale üksikisikule tuleb tagada õigus, et tema kohta ei tehta õiguslike tagajärgedega või märkimisväärse mõjuga otsuseid, mis toetuvad ainult selliste andmete automatiseeritud töötlemisele, mille eesmärk on anda hinnang andmesubjekti teatavatele isikuomadustele, näiteks tööviljakusele, krediidivõimelisusele, usaldusväärsusele, käitumisele jne. Käsitletavas kontekstis on asjakohane direktiivi 95/46/EÜ artikli 15 lõige 2, milles on sätestatud, et isiku kohta võib teha eelpool viidatud otsuse, kui otsus „on lubatud vastavalt seadusele” ja kehtestatud on meetmed andmesubjekti õigustatud huvide kaitsmiseks. Direktiivi rakendavad siseriiklikud õigusaktid kujutaksid endast õiguslikku alust erandi tegemiseks direktiivi 95/46/EÜ artikli 15 lõike 2 kohaldamisel, kuid konkreetseid kaitsemeetmeid andmesubjektide õigustatud huvide kaitsmiseks ei ole paraku kehtestatud.

72.

Seetõttu tundub, et direktiivi ettepaneku tekst seadustab automatiseeritud otsuse võimaluse, mis kahjustab lepingute sõlmimise võimet sellise asutuse puhul, kes ei asu liikmesriigis, kus sanktsiooni algselt kohaldati. Arvestades mõju, mida selline otsus võib avaldada selliste isikute õigustele, kelle kutsetegevus on seotud investeerimistegevusega, juhib Euroopa Andmekaitseinspektor tähelepanu sellele, et teksti tuleb lisada konkreetne viide õigusele esitada vastuväide automatiseeritud üksikotsuste suhtes vastavalt direktiivi 95/46/EÜ artiklile 15. Selles tuleks sõnaselgelt kehtestada kaitsemeetmed tagamaks, et andmesubjekte võib teavitada andmete edastamisest ning vastuvõtva pädeva asutuse algatatud protsessist sellise otsuse vastuvõtmiseks, et ta saaks tõhusalt kasutada oma õigust esitada vastuväide.

2.7.2.   Koostöö määruse ettepaneku alusel

73.

Määruse artikli 34 lõikes 2 on sätestatud, et kui ESMAt on teavitatud direktiivi artikli 83 lõike 5 alusel plaanitavatest meetmetest, talletab ESMA andmed vastava meetme kohta ning selle rakendamise põhjused ning koostab ja avaldab oma veebisaidil andmebaasi ülevaadetega direktiivi artikli 72 lõike 1 punktide f ja g alusel hetkel jõus olevatest meetmetest, „sealhulgas andmed kõnealuse isiku või isikute klassi kohta”.

74.

Sellise avaldamisega kaasneb edasine töötlemine, mis on seotud isikuandmetega. Sellisel juhul kehtivad samad tähelepanekud, mida käsitleti seoses sanktsioonide avaldamisega jaotises 2.5 eespool. Tundub, et mõjuhinnangus ei ole käsitletud sellise internetis avaldamise mõju põhiõigustele. Seetõttu julgustab Euroopa Andmekaitseinspektor seadusandjat kaaluma kõnealuse meetme vajalikkust ja proportsionaalsust.

2.8.   Teabevahetus kolmandate riikidega

75.

Euroopa Andmekaitseinspektor on rahul, et direktiivi ettepaneku artiklis 92 viidatakse direktiivile 95/46/EÜ, eriti IV peatükile ja määrusele (EÜ) nr 45/2001.

76.

Kuid arvestades sellise edastamisega kaasnevaid riske, soovitab Euroopa Andmekaitseinspektor lisada konkreetsed kaitsemeetmed, nagu iga juhtumi eraldi hindamine, teabe edastamise vajalikkuse tagamine, nõue saada pädevalt asutuselt eelnev sõnaselge luba andmete täiendavaks edastamiseks kolmandale riigile ja kolmanda riigi poolt ning isikuandmete piisava kaitsetaseme olemasolu isikuandmeid vastuvõtvas kolmandas riigis.

77.

Hea näite nõutekekohaseid kaitsemeetmeid hõlmavast sättest võib leida siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku artiklist 23 (40).

3.   JÄRELDUSED

78.

Euroopa Andmekaitseinspektor esitab järgmised soovitused:

lisada ettepanekutesse sisuline säte järgmises sõnastuses: „Seoses isikuandmete töötlemisega liikmesriikides käesoleva määruse raames kohaldavad pädevad asutused direktiivi 95/46/EÜ rakendavate riiklike eeskirjade sätteid. Töödeldes isikuandmeid käesoleva määruse raames, järgib ESMA määrust (EÜ) nr 45/2001”;

asendada määruse ettepaneku artiklis 22 viieaastane minimaalne säilitusperiood maksimaalse säilitusperioodiga;

täpsustada direktiivi ettepaneku artikli 16 lõikes 7 i) telefonivestluste ja elektroonilise teabevahetus salvestamise eesmärk ja ii) mis liiki telefonivestlustele ja elektroonilisele teabevahetusele viidatakse ning milliseid vestluste ja teabevahetusega seotud andmete liigid salvestatakse;

täpsustada direktiivi ettepaneku artikli 71 lõike 2 punktis c, et kontrolliõigus on piiratud investeerimisühingute ruumidega ega hõlma eraruume;

sätestada artikli 71 lõike 2 punktis d, milles käsitletakse õigust nõuda telefonikõnede salvestusi ja tõendeid andmete edastamise kohta, üldnõue saada õigusasutuse eelnev luba ning nõue koostada ametlik otsuse, milles täpsustatakse: i) õiguslik alus, ii) taotluse eesmärk, iii) millist teavet nõutakse, iv) teabe esitamiseks ettenähtud aeg ja v) taotluse saaja õigus lasta otsus Euroopa Kohtul läbi vaadata;

täpsemalt selgitada, millistele telefonivestluste salvestustele ja tõenditele andmete edastamise kohta artikli 71 lõike 2 punktis d viidatakse;

hinnata käesolevas ettepanekutes esitatud kahtlusi arvestades kavandatud sanktsioonide kohustusliku avaldamise süsteemi vajalikkust ja proportsionaalsust. Pidades silmas tulemusi, mis saadakse vajalikkuse ja proportsionaalsuse põhimõtte järgimise hindamisel, näha igal juhul ette piisavad kaitsemeetmed tagamaks, et austatakse süütuse presumptsiooni ja asjaomaste isikute õigust esitada vastuväiteid ning kindlustatakse andmete turvalisus/täpsus ja nende kustutamine pärast kohast ajavahemikku;

seoses artikli 77 lõikega 1, i) lisada alapunkti b säte järgmises sõnastuses: „nende isiku konfidentsiaalsus tuleb tagada menetluse kõikides etappides, kui selle avalikustamist ei nõuta riiklikes õigusaktides edasise uurimise või järgneva kohtumenetluse kontekstis”; ii) lisada alapunkt d, millega kohustatakse liikmesriike kehtestama „asjakohased menetlused, et tagada süüdistatava isiku kaitseõigus ja tema õigus ärakuulamisele enne teda käsitleva otsuse vastuvõtmist ning õigus tõhusale õiguskaitsevahendile iga teda käsitleva otsuse või meetme puhul”; iii) jätta sätte alapunktist c välja väljend „kooskõlas sätestatud põhimõtetega”.

Brüssel, 10. veebruar 2012

Euroopa andmekaitseinspektori asetäitja

Giovanni BUTTARELLI

(1)  EÜT L 281, 23.11.1995, lk 31.

(2)  EÜT L 8, 12.1.2001, lk 1.

(3)  Euroopa Andmekaitseinspektori 10. veebruari 2012. aasta arvamused pangandusalaste õigusaktide läbivaatamist, reitinguagentuure, finantsinstrumentide turge (finantsinstrumentide turgude direktiiv ja määrus) ning turu kuritarvitamist reguleeriva õigusaktide paketi kohta.

(4)  ELT L 145, 30.4.2004, lk 1.

(5)  Vt määruse ettepaneku põhjendused 20, 30 ja 45 ning direktiivi ettepaneku põhjendused 41, 43, 69 ja 103.

(6)  KOM(2011) 651.

(7)  Komisjoni ettepanek: Euroopa Parlamendi ja nõukogu määrus siseringitehingute ja turuga manipuleerimise (turu kuritarvitamise) kohta, KOM(2011) 651.

(8)  Vt Euroopa Andmekaitseinspektori 10. veebruari 2012. aasta arvamus komisjoni ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus siseringitehingute ja turuga manipuleerimise kohta, KOM(2011) 651.

(9)  CESR Technical Advice to the European Commission in the Context of the MiFID Review and Responses to the European Commission Request for Additional Information, 29. juuli 2010, CESR/10-417, lk 7, http://www.esma.europa.eu/system/files/10_417.pdf

(10)  Mõjuhinnang, lk 150.

(11)  KOM(2011) 651 (lõplik).

(12)  Direktiivi 95/46/EÜ artikli 6 lõige 1 punkt e.

(13)  Mõjuhinnang, lk 150.

(14)  Vt CESRi uuring, millele viidatakse punktis 26.

(15)  KOM(2011) 651.

(16)  Vt hiljutine Euroopa Andmekaitseinspektori 10. veebruari 2012. aasta arvamus komisjoni ettepaneku kohta võtta vastu Euroopa Parlamendi ja nõukogu määrus siseringitehingute ja turuga manipuleerimise kohta.

(17)  Vt direktiivi 2002/58/EÜ artikli 6 lõige 1 (EÜT L 201, 31.7.2002, lk 37).

(18)  Direktiivi 2002/58/EÜ artikli 15 lõikes 1 on sätestatud, et selline piirang peab „olema vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi 95/46/EÜ artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (st riigi julgeolekut), riigikaitset, avalikku korda, kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel”.

(19)  Vt näiteks Euroopa Kohtu otsus liidetud kohtuasjades C-92/09 ja C-93/09: Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09) v. Land Hessen, kohtulahendite kogumikus veel avaldamata, punkt 74.

(20)  Vt mõju hindamise aruanne, lk 42 jj.

(21)  Vt ka lk 43 – valikuvõimaluse „minimaalne ühtlustamine” mõju hinnang põhiõigustele: „Valikuvõimalus sekkub ELi põhiõiguste harta artiklisse 7 (era- ja perekonnaelu austamine) ja artiklisse 8 (isikuandmete kaitse) ning teatud juhtudel ka artiklisse 47 (õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele) ning artiklisse 48 (süütuse presumptsioon ja kaitseõigus. Valikuvõimalusega nähakse ette selliste õiguste piiramine seaduses, austades samas nende õiguste sisu. Selliste õiguste piiramine on vajalik üldise huvi eesmärgi saavutamiseks tagada finantsinstrumentide turgude direktiivi eeskirjade täitmine, et tagada õiglane ja korrakohane kauplemine ja investorite kaitse. Et kehtestatavad haldusmeetmed ja sanktsioonid oleksid seaduslikud, peavad need olema proportsionaalsed rikkumise raskuse suhtes, austama mitmekordse kohtumõistmise ja karistamise keeldu, süütuse presumptsiooni, kaitseõigust ning õigust tõhusale õiguskaitsele ja õiglasele kohtulikule arutamisele igas olukorras […]”.

(22)  Vt Euroopa Andmekaitseinspektori hiljutine 10. veebruari 2012. aasta arvamus ettepanekute kohta võtta vastu direktiiv, mis käsitleb krediidiasutuste tegevuse alustamise tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, ning määrus krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta.

(23)  „Liikmesriigid tagavad, et haldussanktsiooni või -meetme laadi ja rahalise haldussanktsiooni suuruse kindlaksmääramisel võtavad pädevad asutused arvesse kõiki asjakohaseid asjaolusid, sealhulgas: a) rikkumise raskus ja kestus; b) vastutava füüsilise või juriidilise isiku vastutuse ulatus; c) vastutava füüsilise või juriidilise isiku finantsseisundi tugevus, nagu osutab vastutava juriidilise isiku kogukäive või vastutava füüsilise isiku aastane sissetulek; d) vastutava füüsilise või juriidilise isiku saadud kasu või välditud kahju suurus, kui seda saab kindlaks määrata; e) kolmandate isikute kahju, mis tulenes rikkumisest, kui seda on võimalik kindlaks määrata; f) vastutava füüsilise või juriidilise isiku ja pädeva asutuse koostöö tase; g) vastutava füüsilise või juriidilise isiku varasemad rikkumised.”

(24)  Euroopa Kohtu otsus liidetud kohtuasjades C-92/09 ja C-93/09: Schecke, punktid 56–64.

(25)  Selle kohta vt ka Euroopa Andmekaitseinspektori 15. aprilli 2011. aasta arvamus liidu aastaeelarve suhtes kohaldatavate finantseeskirjade kohta (ELT C 215, 21.7.2011, lk 13).

(26)  Vt allmärkus 11 eespool.

(27)  St kooskõlas direktiivi ettepaneku artikliga 74, millega sätestatakse sanktsioonide kehtestamise kriteeriumid.

(28)  Näiteks võiks riiklikud asutused kaaluda järgmisi meetmeid: lükata avaldamine edasi kaebuse tagasilükkamiseni või – nagu on soovitatud mõju hindamise aruandes – märkida selgelt, et otsust saab veel edasi kaevata ning isiku suhtes kehtib kuni lõpliku otsuseni süütuse presumptsioon, avaldada parandus juhul, kui kohus tühistab otsuse.

(29)  Vt Euroopa Andmekaitseinspektori 10. aprilli 2007. aasta arvamus ühise põllumajanduspoliitika rahastamise kohta (ELT C 134, 16.6.2007, lk 1).

(30)  Vt sellega seoses Itaalia andmekaitseasutuse avaldatud dokument „Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination”, kättesaadav Itaalia andmekaitseasutuse veebisaidil: http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707

(31)  Need probleemid on seotud ka üldisema õigusega olla unustatud, mille lisamist uude isikuandmete kaitse õigusraamistikku praegu arutatakse.

(32)  Sellised meetmed ja kaitseabinõud võivad hõlmata näiteks andmete indekseerimise välistamist väliste otsimootorite abil.

(33)  Artikli 29 alusel asutatud andmekaitse töörühm avaldas 2006. aastal selliste süsteemide kohta oma arvamuse, milles käsitletakse selle tegevuse andmekaitsega seonduvaid külgi: arvamus 1/2006, mis käsitleb ELi andmekaitse eeskirjade kohaldamist asutusesiseste väärkäitumisest teatamise mehhanismide suhtes raamatupidamise, raamatupidamise siseauditi, auditi, altkäemaksu vastu võitlemise, pangandus- ja finantskuritegude valdkonnas (töörühma arvamus rikkumistest teatamise kohta). Arvamus on kättesaadav artikli 29 alusel asutatud andmekaitse töörühma veebisaidil: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(34)  Vt mõjuhinnang lk 137–148: „„Rikkumistest teatamise süsteemide” kasutuselevõtt tõstatab küsimusi seoses isikuandmete kaitse (ELi põhiõiguste harta artikkel 8 ja ELi toimimise lepingu artikkel 16) ning süütuse presumptsiooni ja kaitseõigusega (ELi põhiõiguste harta artikkel 48. Seetõttu peaks mis tahes rikkumisest teatamise süsteemide rakendamine lähtuma andmekaitsepõhimõtetest ja kriteeriumidest, mille määravad kindlaks ELi andmekaitseasutused, ning neile vastama ning tagama kaitsemeetmed vastavalt põhiõiguste hartale.”

(35)  Vt nt 15. aprilli 2011. aasta Euroopa Liidu aastaeelarve suhtes kohaldatavaid finantseeskirju käsitlev arvamus ja 1. juuni 2011. aasta OLAFi juurdlusi käsitlev arvamus, mõlemad kättesaadavad aadressil http://www.edps.europa.eu

(36)  Rikkumisest teataja isiku konfidentsiaalsuse hoidmise olulisust rõhutas Euroopa Andmekaitseinspektor juba Euroopa Ombudsmanile 30. juulil 2010 saadetud kirjas seoses juhtumiga 2010-0458, mis on kättesaadav Euroopa Andmekaitseinspektori veebisaidil (http://www.edps.europa.eu). Vt ka Euroopa Andmekaitseinspektori 23. juuni 2006 eelkontrolli kohta esitatud arvamused seoses OLAFi sisejuurdlustega (juhtum 2005-0418) ja 4. oktoobri 2007. aasta arvamus OLAFi välisjuurdluste kohta (juhtumid 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).

(37)  Vt 15. aprilli 2011, aasta arvamus liidu aastaeelarve suhtes kohaldatavate finantseeskirjade kohta, mis on kättesaadav veebisaidil http://www.edps.europa.eu

(38)  Selle kohta vt Euroopa Andmekaitseinspektori suunised isikuandmete töötlemise kohta Euroopa institutsioonide ja asutuste haldusuurimistes ja distsiplinaarmenetlustes, milles tuuakse välja tihe side andmesubjektide juurdepääsuõiguse ja süüdistatavate isikute kaitseõiguse vahel (vt lk 8 ja 9): http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

(39)  Vt artikli 29 alusel asutatud andmekaitse töörühma arvamus rikkumistest teatamise kohta, lk 13–14.

(40)  Siseringitehinguid ja turuga manipuleerimist käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku (KOM(2011) 651) artiklis 23 on sätestatud järgmine:

„1.   Liikmesriigi pädev asutus võib edastada isikuandmeid kolmandale riigile tingimusel, et direktiivi 95/46/EÜ, eelkõige selle artikli 25 või 26 nõuded on täidetud, ning üksnes igat juhtumit eraldi kaaludes. Liikmesriigi pädev asutus tagab, et isikuandmete edastamine on käesoleva määruse kohaldamiseks vajalik. Pädev asutus tagab, et kolmas riik edastab andmed teisele kolmandale riigile üksnes tema sõnaselgel kirjalikul loal ja järgides liikmesriigi pädeva asutuse kehtestatud tingimusi. Isikuandmeid võib edastada üksnes sellisele kolmandale riigile, kus on tagatud piisaval tasemel isikuandmete kaitse.

2.   Liikmesriigi pädev asutus edastab teise liikmesriigi pädevalt asutuselt saadud teabe kolmanda riigi pädevale asutusele üksnes juhul, kui asjaomase liikmesriigi pädev asutus on saanud selleks teabe edastanud pädeva asutuse sõnaselge nõusoleku ja kui teave avaldatakse ainult sellel eesmärgil, milleks kõnealune pädev asutus nõusoleku andis.

3.   Kui koostöökokkuleppega nähakse ette isikuandmete vahetus, peab see toimuma kooskõlas direktiiviga 95/46/EÜ.”