This document is an excerpt from the EUR-Lex website
Document 52021XX0615(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Pilot Regime for Market Infrastructures based on Distributed Ledger Technology (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/04
Sažetak mišljenja Europskog nadzornika za zaštitu podataka o prijedlogu pilot-režima za tržišne infrastrukture temeljene na tehnologiji decentraliziranog vođenja evidencije transakcija (Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na internetskim stranicama Europskog nadzornika za zaštitu podataka www.edps.europa.eu) 2021/C 229/04
Sažetak mišljenja Europskog nadzornika za zaštitu podataka o prijedlogu pilot-režima za tržišne infrastrukture temeljene na tehnologiji decentraliziranog vođenja evidencije transakcija (Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na internetskim stranicama Europskog nadzornika za zaštitu podataka www.edps.europa.eu) 2021/C 229/04
SL C 229, 15.6.2021, p. 13–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
15.6.2021 |
HR |
Službeni list Europske unije |
C 229/13 |
Sažetak mišljenja Europskog nadzornika za zaštitu podataka o prijedlogu pilot-režima za tržišne infrastrukture temeljene na tehnologiji decentraliziranog vođenja evidencije transakcija
(Cjeloviti tekst ovog mišljenja dostupan je na engleskom, francuskom i njemačkom jeziku na internetskim stranicama Europskog nadzornika za zaštitu podataka www.edps.europa.eu)
(2021/C 229/04)
Dana 24. rujna 2020. Europska komisija donijela je Prijedlog uredbe Europskog parlamenta i Vijeća o pilot-režimu za tržišne infrastrukture temeljene na tehnologiji decentraliziranog vođenja evidencije transakcija (COM(2020)594 final). Prijedlogom su utvrđeni usklađeni zahtjevi prema kojima određeni sudionici na tržištu moraju zatražiti i dobiti odobrenje za upravljanje tržišnim infrastrukturama temeljenima na tehnologiji decentraliziranog vođenja evidencije transakcija (engl. digital ledger technology (DLT)).
Europski nadzornik za zaštitu podataka ističe da zaštita osobnih podataka nije prepreka inovacijama, a osobito razvoju novih tehnologija u financijskom sektoru. Istodobno podsjeća na to da mjere donesene na razini EU-a u pogledu inovativnih tehnologija koje obuhvaćaju obradu osobnih podataka moraju biti usklađene s općim načelima nužnosti i proporcionalnosti. Nadalje, s obzirom na činjenicu da ne postoji potpuni uvid u način na koji te nove tehnologije utječu na naše društvo, Europski nadzornik za zaštitu podataka smatra da valja slijediti pristup koji se temelji na načelu predostrožnosti.
Europski nadzornik za zaštitu podataka napominje da se, ovisno o konfiguraciji DLT-a, metapodatci ili podatci o transakcijama pohranjeni u toj tehnologiji mogu smatrati osobnim podatcima ako se odnose na fizičku osobu čiji je identitet utvrđen ili se može utvrditi. Prema tome, voditelji obrade podataka moraju pažljivo analizirati i dokumentirati konfiguraciju DLT-a kako bi utvrdili obrađuju li se njime osobni podatci, a time i podliježu li aktivnosti obvezama u pogledu zaštite podataka.
Europski nadzornik za zaštitu podataka ističe da tehnologija na kojoj se temelje neki oblici decentraliziranog vođenja evidencije transakcija, osobito oni koji su javni i ne zahtijevaju odobrenje, stvara pitanja od ključne važnosti u pogledu spojivosti sa zahtjevima za zaštitu podataka.
Europski nadzornik za zaštitu podataka smatra da se rasprava o spojivosti sustavâ DLT-a općenito s okvirom zaštite podataka treba održati prije nego što Prijedlog stupi na snagu.
Europski nadzornik za zaštitu podataka primjećuje da će, u slučaju DLT-a koji sadržavaju on-chain osobne podatke, aktivnosti obrade povezane s njima vjerojatno ispunjavati zahtjeve za razvrstavanje aktivnosti obrade kao visokorizične. Stoga voditelj obrade prije obrade osobnih podataka mora provesti procjenu učinka predviđenih aktivnosti obrade na zaštitu podataka. Nadalje, možda će biti potrebno prethodno odobrenje nadležnog tijela za zaštitu podataka.
Europski nadzornik za zaštitu podataka preporučuje da se, gdje je to primjenjivo, u Prijedlog uvrsti zahtjev za pružanje temeljnih informacija u pogledu predviđenih aktivnosti obrade u okviru zahtjeva za upravljanje informacijama povezanima s tržišnom infrastrukturom DLT. Nadalje, preporučuje da operateri tržišnih infrastruktura DLT objave obavijest o zaštiti privatnosti na istom mjestu kao i informacije o upravljanju propisane Prijedlogom.
Europski nadzornik za zaštitu podataka ističe da IT i kibermehanizmi koji su predviđeni Prijedlogom za upravljanje tržišnim infrastrukturama DLT također moraju biti u skladu s obvezama utvrđenima u člancima 22. i 32. GDPR-a. (1)
Konačno, u kontekstu prijava koje operateri tržišnih infrastruktura DLT podnose o operativnim problemima, Europski nadzornik za zaštitu podataka preporučuje da se u uvodnoj izjavi podsjeti na to da, u slučaju povreda osobnih podataka, operater o tim povredama mora obavijestiti i nadležno tijelo za zaštitu podataka, u skladu s člankom 33. GDPR-a te, ako je to primjenjivo, ispitanike, u skladu s člankom 34. GDPR-a.
3. KONTEKST
|
1. |
Dana 24. rujna 2020. Europska komisija donijela je Prijedlog uredbe Europskog parlamenta i Vijeća o pilot-režimu za tržišne infrastrukture temeljene na tehnologiji decentraliziranog vođenja evidencije transakcija (COM(2020)594 final) („Prijedlog”). Prijedlogom su utvrđeni usklađeni zahtjevi prema kojima određeni sudionici na tržištu, odnosno investicijska društva, tržišni operateri ili središnji depozitoriji vrijednosnih papira, moraju zatražiti i dobiti odobrenje za upravljanje tržišnim infrastrukturama temeljenima na tehnologiji decentraliziranog vođenja evidencije transakcija („tržišna infrastruktura DLT”) u okruženju koje se nadzire, uz primjenu određenih izuzeća od usklađenosti s financijskim propisima. Konkretno, Prijedlog ima četiri cilja: osigurati pravnu sigurnost za kriptoimovinu, osigurati financijsku stabilnost, zaštititi potrošače i ulagatelje te omogućiti inovacije u smjeru korištenja tehnologije lanca blokova (engl. blockchain), tehnologije decentraliziranog vođenja evidencije transakcija (DLT) i kriptoimovine. |
|
2. |
Ovaj je Prijedlog dio paketa koji obuhvaća prijedlog uredbe o tržištima kriptoimovine (2) („Uredba MICA”), prijedlog o digitalnoj operativnoj otpornosti (3) („Uredba DORA”) i prijedlog o pojašnjenju ili izmjeni određenih povezanih pravila EU-a o financijskim uslugama (4). Europski nadzornik za zaštitu podataka očekuje da će se s njime također provesti savjetovanje o ostalim propisima iz paketa u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725. |
|
3. |
Dana 26. veljače 2021. Europska komisija zatražila je od Europskog nadzornika za zaštitu podataka mišljenje o Prijedlogu, u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725. Ove su primjedbe ograničene na odredbe Prijedloga koje su relevantne iz perspektive zaštite podataka. |
5. ZAKLJUČCI
S obzirom na prethodno navedeno, Europski nadzornik za zaštitu podataka:
|
— |
podsjeća da zaštita osobnih podataka nije prepreka inovacijama, a osobito razvoju novih tehnologija u financijskom sektoru; |
|
— |
ističe da tehnologija na kojoj se temelje neki oblici decentraliziranog vođenja evidencije transakcija, osobito oni koji su javni i ne zahtijevaju odobrenje, stvara konceptualna pitanja od ključne važnosti u pogledu zahtjeva za zaštitu podataka; stoga preporučuje da se rasprava o mogućem načinu osiguranja spojivosti sustavâ DLT-a s okvirom zaštite podataka održi prije nego što prijedlog stupi na snagu; |
|
— |
naglašava da kriptoimovina kojom se trguje u tržišnim infrastrukturama DLT obuhvaćenima Prijedlogom treba biti samo ona koja koristi konfiguraciju DLT-a usklađenu s okvirom za zaštitu podataka; |
|
— |
predlaže da se, u okviru informacija koje se traže od operatera u kontekstu njegova zahtjeva za upravljanje tržišnom infrastrukturom DLT, gdje je to primjenjivo, također navodi popis predviđenih aktivnosti obrade koje obuhvaćaju osobne podatke, dodjela uloga i odgovornosti svakog operatera u skladu s GDPR-om u okviru tržišne infrastrukture DLT, kao i glavni predviđeni rizici i strategije ublaživanja rizika u pogledu zaštite podataka; |
|
— |
ističe da IT i kibermehanizmi predviđeni Prijedlogom za upravljanje tržišnim infrastrukturama DLT također moraju biti u skladu s obvezama utvrđenima člancima 22. i 32. GDPR-a; |
|
— |
preporučuje da se u uvodnoj izjavi, u kontekstu prijava koje operateri tržišnih infrastruktura DLT podnose o operativnim problemima, podsjeti na to da, u slučaju povreda osobnih podataka, operater o tim povredama također mora obavijestiti nadležno tijelo za zaštitu podataka, u skladu s člankom 33. GDPR-a te, ako je to primjenjivo, ispitanike, u skladu s člankom 34. GDPR-a. |
U Bruxellesu 23. travnja 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).
(2) Prijedlog uredbe o tržištima kriptoimovine i izmjeni Direktive (EU) 2019/1937, COM/2020/593 final. Dostupno na poveznici EUR-Lex - 52020PC0593 - HR - EUR-Lex (europa.eu)
(3) Prijedlog uredbe Europskog parlamenta i Vijeća o digitalnoj operativnoj otpornosti za financijski sektor i izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014 i (EU) br. 909/2014, COM/2020/595 final, dostupno na poveznici EUR-Lex - 52020PC0595 - HR - EUR-Lex (europa.eu)
(4) Prijedlog direktive Europskog parlamenta i Vijeća o izmjeni direktiva 2006/43/EZ, 2009/65/EZ, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 i EU/2016/2341, COM/2020/596 final. Dostupno na poveznici EUR-Lex - 52020PC0596 - HR - EUR-Lex (europa.eu)