15.5.2012   

HU

Az Európai Unió Hivatalos Lapja

C 139/6

1.

Ez a vélemény az európai adatvédelmi biztos pénzügyi ágazatra vonatkozó, egy napon elfogadott négy véleményéből álló csomag részét képezi.

2.

2011. november 15-én a Bizottság javaslatot (3) fogadott el a hitelminősítő intézetekről szóló 1060/2009/EK rendelet módosításáról (a továbbiakban: a hitelminősítő intézetekről szóló rendelet). Ezt a javaslatot egyeztetés céljából 2011. november 18-án elküldték az európai adatvédelmi biztosnak.

3.

Az európai adatvédelmi biztos üdvözli, hogy a Bizottság egyeztetett vele, valamint javasolja, hogy az elfogadott eszköz preambuluma hivatkozzon erre a véleményre.

4.

Az európai adatvédelmi biztos ugyanakkor sajnálattal veszi tudomásul, hogy a Bizottság hivatalosan sem a hitelminősítő intézetekről szóló, 2010. december 7-én hatályba lépett eredeti rendelet előkészítése során, sem az említett rendelet közelmúltbeli módosítását (4) illetően nem egyeztetett vele.

5.

Az európai adatvédelmi biztos ezért úgy véli, helyénvaló és hasznos, ha ebben a véleményében foglalkozik a hitelminősítő intézetekről szóló hatályos rendeletet érintő kérdésekkel. Először is hangsúlyozza a hitelminősítő intézetekről szóló rendelet lehetséges adatvédelmi hatásait. Másodszor, az e véleményben közölt elemzés közvetlenül releváns a hasonló rendelkezéseket tartalmazó meglévő jogszabályok, valamint a folyamatban lévő és a lehetséges jövőbeni javaslatok alkalmazása szempontjából, ideértve az európai adatvédelmi biztosnak a banki jogszabályok felülvizsgálatáról, a pénzügyi eszközök piacairól (MIFID/MIFIR) és a piaci visszaélésről szóló jogszabálycsomagra vonatkozó véleményeiben ismertetett javaslatokat is.

6.

A Bizottság szerint a hitelminősítő intézetek fontos szereplői a pénzügyi piacoknak, amelyeket megfelelő jogi keretek alá kell vonni. A hitelminősítő intézetekről szóló első rendelet 2010. december 7-én lépett hatályba. A rendelet alapján a hitelminősítő intézeteknek szigorú magatartási szabályoknak kell megfelelniük az esetleges összeférhetetlenségek kezelése, illetve a minősítések és a minősítési folyamat magas színvonalának és a megfelelő mértékű átláthatóságának biztosítása érdekében. A már meglévő hitelminősítő intézeteknek kérelmezniük kellett a nyilvántartásba vételüket, és 2010. szeptember 7-ig eleget kellett tenniük a rendelet követelményeinek.

7.

A hitelminősítő intézetekről szóló rendelet 2011. június 1-jén hatályba lépett módosításai (513/2011/EU rendelet) kizárólagos felügyeleti hatáskörökkel ruházta fel az EÉPH-t az EU-ban nyilvántartásba vett hitelminősítő intézetek tekintetében a nyilvántartásba vételük és európai szintű felügyeletük központosítása és egyszerűsítése érdekében.

8.

A mostani jogszabályjavaslat módosítja, de nem váltja fel a hitelminősítő intézetekről szóló rendeletet. A javasolt felülvizsgálat fő szakpolitikai célja, hogy kitérjen számos olyan, a hitelminősítő intézetekhez kapcsolódó kérdésre, valamint a minősítések felhasználására, amelyeket a hitelminősítő intézetekről szóló hatályos rendelet nem szabályoz kellőképpen.

9.

Noha a hitelminősítő intézetekről szóló rendelet rendelkezéseinek többsége a hitelminősítő intézetek tevékenységeinek folytatásához és azok felügyeletéhez kapcsolódik, a jogi keret végrehajtása és alkalmazása bizonyos esetekben érintheti az egyének személyes adataik feldolgozásához fűződő jogait.

10.

A hitelminősítő intézetekről szóló rendelet engedélyezi az EÉPH, az illetékes hatóságok, az ágazati illetékes hatóságok és esetlegesen harmadik országok közötti információcserét (5). Ezek az információk akár magánszemélyekre, például a hitelminősítési tevékenységekben részt vevő, illetve a hitelminősítő intézetekhez vagy a hitelminősítési tevékenységekhez más módon szorosan és nagymértékben kapcsolódó vagy kötődő személyekre is vonatkozhatnak. Ezek a rendelkezések az érintett személyek szempontjából adatvédelmi következményekkel járhatnak.

11.

A fentiekre tekintettel ez a vélemény elsősorban a hitelminősítő intézetekről szóló rendelet alábbi, magánélet- és adatvédelmi szempontjaival foglalkozik: 1. az adatvédelmi jogszabályok alkalmazhatósága; 2. adattovábbítás harmadik országoknak; 3. hozzáférés a telefon- és adatforgalmi nyilvántartásokhoz; valamint 4. a strukturált pénzügyi eszközökre és az időszakos kényszerítő bírságokra vonatkozó közzétételi követelmények.

12.

A hitelminősítő intézetekről szóló rendelet számos preambuluma (7) megemlíti az Alapjogi Chartát, a 95/46/EK irányelvet és a 45/2001/EK rendeletet. Az alkalmazandó adatvédelmi jogszabályokra ugyanakkor a hitelminősítő intézetekről szóló rendelet valamely érdemi cikkében is kellene hivatkozni.

13.

Jó példa ilyen érdemi rendelkezésre a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (8) 22. cikke, amely általános szabályként kifejezetten előírja, hogy a személyes adatoknak a javaslat keretei között végzett feldolgozása tekintetében a 95/46/EK irányelvet és a 45/2001/EK rendeletet kell alkalmazni. Az európai adatvédelmi biztos a mai napon véleményt adott ki erről a javaslatról, amelyben különösen üdvözli ezt az átfogó jellegű rendelkezést. Azt javasolja ugyanakkor, hogy egyértelműen hivatkozzanak a 95/46/EK irányelvre annak meghatározásával, hogy a rendelkezések az említett irányelvet végrehajtó nemzeti szabályokkal összhangban alkalmazandók.

14.

Ez például a személyes adatok cseréjére vonatkozó különböző rendelkezések vonatkozásában bír jelentőséggel. Ezek a rendelkezések teljes mértékben jogszerűek, azonban az adatvédelmi jogszabályokkal összhangban kell alkalmazni őket. Különösen kerülni kell annak a veszélyét, hogy e rendelkezéseket úgy értelmezzék, mint amelyek mindenféle személyes adat cseréjét általánosan engedélyezik. Ennek kockázatát jelentősen csökkentené az adatvédelmi jogszabályokra való hivatkozás, többek között az érdemi rendelkezésekben (9).

15.

Az európai adatvédelmi biztos ezért javasolja, hogy a szövegbe illesszenek be a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat (10) 22. cikkében lévőhöz hasonló érdemi rendelkezést, az e javaslathoz fűzött észrevételeire (11) is figyelemmel, azaz hangsúlyozva az adatvédelmi jogszabályok alkalmazandóságát és – annak meghatározásával, hogy a rendelkezések a 95/46/EK irányelvet végrehajtó nemzeti szabályokkal összhangban alkalmazandók – egyértelműen hivatkozva a 95/46/EK irányelvre.

16.

Az európai adatvédelmi biztos tudomásul veszi a hitelminősítő intézetekről szóló rendelet 34. cikke (3) bekezdésében a személyes adatok harmadik országok részére történő továbbításával összefüggésben tett, a 45/2001/EK rendeletre való hivatkozást.

17.

Az ilyen továbbításokból eredő kockázatokra figyelemmel azonban az európai adatvédelmi biztos a bennfentes kereskedelemről és a piaci manipulációról szóló európai parlamenti és tanácsi rendeletre irányuló javaslat 23. cikkében foglaltakhoz hasonlóan egyedi biztosítékok nyújtását javasolja. Az európai adatvédelmi biztos az e javaslatról szóló véleményében üdvözli az olyan megfelelő biztosítékokat tartalmazó rendelkezés alkalmazását, mint például az eseti jellegű mérlegelés, amely szavatolja az adattovábbítás szükségességét, valamint azt, hogy a személyes adatokat fogadó harmadik ország biztosítja az ilyen adatok megfelelő szintű védelmét.

18.

A 23c. cikk (1) bekezdésének e) pontja úgy rendelkezik, hogy az EÉPH az e rendelet szerinti feladatai ellátása érdekében bármilyen szükséges vizsgálatot elvégezhet. E célból az EÉPH tisztviselői és az EÉPH által felhatalmazott más személyek jogosultak kikérni a telefon- és adatforgalmi nyilvántartásokat. A tág értelmű szövegezés miatt számos kétség merül fel a rendelkezés tárgyi és személyi hatályával kapcsolatban. A hitelminősítő intézetekről szóló rendelet ezenfelül – amennyiben a nemzeti szabályok szerint erre szükség van – előzetes igazságügyi hatósági engedélyt ír elő ahhoz, hogy az EÉPH hozzáférést kérhessen a telefon- és adatforgalmi nyilvántartásokhoz (14).

19.

A rendeletjavaslatban nem határozták meg a „telefon- és adatforgalmi nyilvántartások” fogalmát. A 2002/58/EK irányelv (a 2009/136/EK irányelvvel történt módosítást követően „elektronikus hírközlési adatvédelmi irányelv”) csak „forgalmi adatokat” említ, „telefon- és adatforgalmi nyilvántartásokat” nem. Nyilvánvaló, hogy e fogalmak pontos jelentésétől függ, milyen hatást gyakorolhat a vizsgálati jogkör az érintett személyek magánéletének és adatainak védelmére. Az európai adatvédelmi biztos javasolja a „forgalmi adatoknak” a 2002/58/EK irányelvben szereplő fogalommeghatározásában már bevezetett terminológia alkalmazását.

20.

Az elektronikus kommunikációs eszközök használatával kapcsolatos adatok igen sok személyes adatot továbbíthatnak; ilyen pl. a hívó és a hívást fogadó fél személyazonossága, a hívás ideje és tartama, a híváshoz használt hálózat, hordozható eszköz esetén a felhasználó földrajzi helye stb. Az internet- és e-mail használatra vonatkozó egyes forgalmi adatok (például a felkeresett weboldalak listája) ezenfelül fontos részleteket fedhetnek fel a kommunikáció tartalmáról. A forgalmi adatok feldolgozása továbbá sérti a levéltitkot. A fentiekre való tekintettel a 2002/58/EK irányelv rögzítette azt az elvet, hogy a forgalmi adatokat törölni kell vagy anonimmá kell tenni, ha a közlés továbbításához ezek már nem szükségesek (15). Az említett irányelv 15. cikkének (1) bekezdése szerint a tagállamok nemzeti jogszabályaikban konkrét jogszerű célokból eltérhetnek ettől a szabálytól, de a korlátozásnak egy demokratikus társadalomban szükségesnek, megfelelőnek és arányosnak kell lennie e célok elérése érdekében (16).

21.

Az európai adatvédelmi biztos tudomásul veszi, hogy a Bizottság által a hitelminősítő intézetekről szóló rendeletben megjelölt célok jogszerűek. Megérti, hogy szükség van olyan kezdeményezésekre, amelyek célja a pénzügyi piacok felügyeletének erősítése, e piacok szilárdságának megőrzése, valamint a befektetők és a gazdaság egészének fokozottabb védelme érdekében. A forgalmi adatokra közvetlenül vonatkozó vizsgálati hatásköröknek azonban – tekintettel potenciálisan betolakodó jellegükre – meg kell felelniük a szükségesség és arányosság követelményének, azaz arra kell korlátozódniuk, ami a megjelölt cél eléréséhez megfelelő, és nem terjedhetnek túl a cél eléréséhez szükséges mértéken (17). Ezt figyelembe véve tehát alapvető fontosságú, hogy a rendelkezések személyi és tárgyi hatályát, valamint alkalmazhatóságának körülményeit és feltételeit egyértelműen fogalmazzák meg. Ezenfelül megfelelő garanciákat kell nyújtani a visszaélés veszélyével szemben.

22.

A 23c. cikk felhatalmazza az EÉPH-t, hogy a hitelminősítési tevékenységekben részt vevő, illetve a hitelminősítő intézetekhez vagy a hitelminősítési tevékenységekhez más módon szorosan és nagymértékben kapcsolódó vagy kötődő személyekkel kapcsolatban vizsgálatot végezzen. A 23b. cikk szerint az EÉPH arra is felkérheti ezeket a természetes személyeket, hogy az általa szükségesnek ítélt információkat a rendelkezésére bocsássák.

23.

Ezekből a rendelkezésekből egyértelműen következik, hogy a hitelminősítő intézetekről szóló rendelet keretében személyes adatok feldolgozására kerül sor. Valószínűnek látszik – vagy legalábbis nem zárható ki –, hogy a telefon- és adatforgalom szóban forgó nyilvántartásai a 95/46/EK irányelv és a 45/2001/EK rendelet, valamint a vonatkozó mértékig a 2002/58/EK irányelv értelmében személyes adatnak minősülő adatokat, azaz azonosított vagy azonosítható természetes személyek telefon- és adatforgalmára vonatkozó adatokat (18) tartalmaznak. Amennyiben ez a helyzet, biztosítani kell, hogy a személyes adatok tisztességes és jogszerű feldolgozásának az irányelvekben és a rendeletben rögzített feltételei teljes mértékben teljesüljenek.

24.

Az európai adatvédelmi biztos tudomásul veszi, hogy a 23c. cikk (5) bekezdése kötelezővé teszi az igazságügyi hatósági engedélyt, amikor az említett engedélyt a nemzeti jogszabályok kötelezően előírják. Az európai adatvédelmi biztos véleménye szerint azonban – tekintettel a szóban forgó hatáskör potenciálisan betolakodó jellegére és a rendelet mint megfelelő jogi eszköz alkalmazására – az előzetes igazságügyi hatósági engedélyre vonatkozó általános követelmény minden esetben indokolt lenne. Figyelembe kell venni továbbá, hogy számos tagállami jogszabály ír elő a magánlakás sérthetetlenségére vonatkozó különleges biztosítékokat az aránytalan és nem körültekintően szabályozott vizsgálatokkal, házkutatásokkal vagy lefoglalásokkal szemben, különösen, ha ezeket igazgatási jellegű intézmények hajtják végre.

25.

A fenti 2.1. szakaszban foglaltak szerint a felügyelő hatóságok azon hatásköre, hogy telefon- és adatforgalmi nyilvántartásokhoz kérhetnek hozzáférést, nem újdonság az európai jogalkotásban, mivel a pénzügyi szektorral kapcsolatos különféle jelenlegi irányelvek és rendeletek már ma is előírnak ilyen hatáskört. Konkrétan, a piaci visszaélésekről szóló irányelv (19), a pénzügyi eszközök piacairól szóló irányelv (20) és az ÁÉKBV-irányelv (21) is hasonló szövegű rendelkezést tartalmaz. Ugyanez igaz a Bizottság által a közelmúltban elfogadott számos javaslatra, mégpedig az alternatívbefektetésialap-kezelőkről szóló irányelvjavaslatra (22), a short ügyletekről és a hitel-nemteljesítési csereügyletekkel kapcsolatos egyes szempontokról szóló rendeletre (23) és az energiapiacok integritásáról és átláthatóságáról szóló rendeletre (24).

26.

Ami a fent említett jelenlegi és tervezett jogalkotási eszközöket illeti, különbséget kell tenni a nemzeti hatóságoknak adott vizsgálati hatáskör és az uniós hatóságoknak biztosított ilyen hatáskör között. A tagállamokat számos eszköz kötelezi arra, hogy a nemzeti joggal összhangban hatáskört biztosítsanak nemzeti hatóságaiknak a telefon- és forgalmiadat-nyilvántartások bekérésére (25). E kötelezettség tényleges végrehajtása tehát mindenképpen a nemzeti jogszabályoktól függ, többek között a 95/46/EK irányelv és a 2002/58/EK irányelv végrehajtásáról szóló és más nemzeti jogszabályoktól, amelyek a nemzeti felügyeleti és vizsgálati hatóságokra vonatkozóan további eljárásjogi biztosítékokat tartalmaznak.

27.

A hitelminősítő intézetekről szóló rendelet, illetve az uniós hatóságokat a telefon- és adatforgalmi nyilvántartások kikérésére feljogosító más jogalkotási eszközök nem tartalmaznak ilyen feltételt. Ezért ezekben az esetekben még fontosabb, hogy magában a jogalkotási eszközben pontosan meghatározzák e hatáskör személyi és tárgyi hatályát, valamint a hatáskör alkalmazhatóságának körülményeit és feltételeit, és megfelelő garanciákat léptessenek életbe a visszaélés ellen.

28.

A rendelet 23c. cikke (1) bekezdésének e) pontja értelmében az EÉPH jogosult a telefon- és adatforgalmi nyilvántartások kikérésére. Ahogy az alábbiakban bővebben is olvasható, a rendelkezés hatóköre, de különösen a „telefon- és adatforgalmi nyilvántartások” fogalom pontos jelentése nem egyértelmű.

29.

A „telefon- és adatforgalmi nyilvántartások” fogalom meghatározása nem teljesen egyértelmű; pontosításra szorul. A rendelkezés vonatkozhat a telefon- és adatforgalom azon nyilvántartásaira, amelyeket a hitelminősítő intézetek tevékenységük folyamán kötelesek megőrizni. A rendelet azonban nem határozza meg, hogy a hitelminősítő intézetek kötelesek-e összegyűjteni a telefon- és forgalmi adatokat, és ha igen, melyeket (26). Ha tehát a rendelkezés a hitelminősítő intézetek által vezetett nyilvántartásokra vonatkozik, mindenképpen pontosan meg kell határozni a kötelezően megőrizendő és az EÉPH által kikérhető telefon- és adatforgalom kategóriáit. Az arányosság elvével összhangban ezeknek az adatoknak helyesnek és lényegesnek kell lenniük, és nem haladhatják meg a feldolgozás felügyeleti célját (27).

30.

Ebben a konkrét esetben további pontosításra van szükség, tekintettel azokra a súlyos bírságokra és időszakos kényszerítő bírságokra, amelyekkel a hitelminősítő intézetek és más személyek (például a természetes személyek az időszakos kényszerítő bírság tekintetében) a rendelet megsértése miatt sújthatók (vö. 36a. és 36b. cikk).

31.

Meg kell jegyezni azt is, hogy a fent említett 37. cikk felhatalmazza a Bizottságot, hogy olyan módosításokat fogadjon el, amelyek alapján módosíthatja a rendelet mellékleteit. A mellékletek tartalmazzák a hitelminősítő intézetek számára előírt részletes nyilvántartás-vezetési követelményeket, tehát közvetetten az EÉPH által a telefon- és adatforgalmi nyilvántartásokhoz biztosított hozzáférési jogkörre vonatkozó részletes követelményeket is. Az EUMSZ 290. cikke kimondja, hogy a jogalkotási aktusokban felhatalmazás adható a Bizottság részére olyan általános hatályú nem jogalkotási aktusok elfogadására, amelyek a jogalkotási aktusok egyes nem alapvető rendelkezéseit kiegészítik, illetve módosítják. Az európai adatvédelmi biztos szerint a forgalmi adatokhoz való hozzáférésre irányuló hatáskör pontos terjedelme nem tekinthető a rendelet nem alapvető rendelkezésének. A tárgyi hatályt tehát közvetlenül a rendelet szövegében kell meghatározni, nem szabad felhatalmazáson alapuló jövőbeli jogi aktusokra hagyni.

32.

Az európai adatvédelmi biztos megérti, hogy a 23c. cikk (1) bekezdése e) pontjának nem az a célja, hogy engedélyezze, hogy az EÉPH közvetlenül a távközlési szolgáltatóktól szerezzen hozzáférést a forgalmi adatokhoz. Ez azért is tűnik logikus következtetésnek, mert a rendelet egyáltalán nem említi a távközlési szolgáltatók által tárolt adatokat vagy az elektronikus hírközlési adatvédelmi irányelvben rögzített követelményeket, ahogy erről a fenti (36) bekezdés is említést tesz (28). Az egyértelműség kedvéért tehát az európai adatvédelmi biztos ajánlja, hogy ezt a következtetést még világosabban rögzítsék a hitelminősítő intézetekről szóló rendelet 23c. cikkében, kifejezetten kizárva a távközlési szolgáltatók által tárolt adatokat.

33.

Amennyiben azonban a javasolt hozzáférési jog a közvetlenül a távközlési szolgáltatóktól származó forgalmi adatokra is vonatkozna, az európai adatvédelmi biztosnak komoly kétségei vannak az ilyen jog szükségességét és arányosságát illetően, és ezért annak kifejezett kizárását javasolja.

34.

A 23c. cikk (1) bekezdésének e) pontja nem határozza meg azokat a körülményeket és feltételeket, amelyek fennállása esetén a hozzáférés kérhető. Fontos eljárásjogi garanciákról sem rendelkezik a visszaélés veszélyével szemben. A következő pontokban az európai adatvédelmi biztos konkrét javaslatokat tesz ezzel kapcsolatban.

35.

A 23c. cikk (1) bekezdése szerint az EÉPH a hitelminősítő intézetekről szóló rendelet szerinti feladatai ellátása érdekében hozzáférést kérhet a telefon- és adatforgalmi nyilvántartásokhoz. Az európai adatvédelmi biztos szerint egyértelműbben meg kellene határozni az e hatáskör gyakorlásához szükséges körülményeket és feltételeket. Az európai adatvédelmi biztos azt ajánlja, hogy a telefon- és adatforgalmi nyilvántartásokhoz való hozzáférést korlátozzák a rendeletjavaslat konkrétan meghatározott, súlyos megsértésének eseteire és olyan esetekre, amikor fennáll a jogsértés elkövetésének alapos gyanúja (amit konkrét bizonyítékokkal kell alátámasztani). Ez a korlátozás különösen azért fontos, hogy elkerüljük, hogy a hozzáférési hatáskör adathalászatra, adatbányászatra vagy egyéb célokra is felhasználható legyen.

36.

Az európai adatvédelmi biztos továbbá azt ajánlja, hogy az EÉPH telefon- és adatforgalom-kérésével kapcsolatos követelményre vonatkozóan hivatalos határozat meghozatalát írják elő, amely megjelöli a kérés jogalapját és célját, azt, hogy a kérés milyen adatokra irányul, az adatok átadására vonatkozó határidőt és a címzett jogát, hogy a Bíróságtól kérje a határozat felülvizsgálatát.

37.

A hitelminősítő intézetekről szóló rendelet módosítására irányuló jelenlegi javaslatban (29) a strukturált pénzügyi eszközökről adott információkról szóló javasolt 8a. cikk kimondja, hogy a strukturált pénzügyi eszközök kibocsátói, kezdeményezői és szponzorai közzéteszik a strukturált pénzügyi eszköz alapul szolgáló egyedi eszközeinek hitelminőségéről és teljesítményéről, az értékpapírosítási tranzakció struktúrájáról, a cash flow-król, valamint az értékpapírosítási kitettséget támogató bármely biztosítékról szóló információt, továbbá minden olyan információt, amely a cash flow-kra és az alapul szolgáló eszközöket támogató biztosítékok értékére vonatkozó, átfogó és megalapozott stresszteszt elvégzéséhez szükséges. Az információk közzétételére vonatkozó kötelezettség nem terjed ki olyan információk nyújtására, amelyek megsértenék az információs források bizalmasságának védelmét vagy a személyes adatok feldolgozását szabályozó törvényi rendelkezéseket.

38.

Ez a cikk a strukturált pénzügyi eszköz kibocsátójára, kezdeményezőjére és szponzorára vonatkozik. Az európai adatvédelmi biztos üdvözli, hogy a hitelminősítő intézetekről szóló rendelet módosítására irányuló jelenlegi javaslatban a javasolt 8a. cikk úgy szól, hogy az információk közzétételére vonatkozó kötelezettség nem terjed ki olyan információk nyújtására, amelyek megsértenék az információs források bizalmasságának védelmét vagy a személyes adatok feldolgozását szabályozó törvényi rendelkezéseket.

39.

Az európai adatvédelmi biztos véleménye szerint a személyes adatok feldolgozását szabályozó törvényi biztosítékok ilyen jellegű hangsúlyozása a helyes irányba mutató lépés, a fenti ajánlásokkal összhangban azonban a hitelminősítő intézetekről szóló rendelet valamely érdemi cikkében egyértelműen és kifejezetten hivatkozni kellene a 95/46/EK irányelvet végrehajtó nemzeti szabályokra.

40.

A hitelminősítő intézetekről szóló rendelet 36d. cikke kimondja, hogy az EÉPH nyilvánosságra hoz minden kiszabott időszakos kényszerítő bírságot, kivéve ha az ilyen nyilvánosságra hozatal súlyosan veszélyeztetné a pénzügyi piacokat vagy aránytalan károkat okozna az érintett feleknek.

41.

A 36b. cikk és a 23b. cikk (1) bekezdése szerint a hitelminősítési tevékenységekben részt vevő, illetve a hitelminősítő intézetekhez vagy a hitelminősítési tevékenységekhez más módon szorosan és nagymértékben kapcsolódó vagy kötődő személyekre időszakos kényszerítő bírság szabható ki.

42.

A hitelminősítő intézetekről szóló rendelet ezáltal felhatalmazza az EÉPH-t arra, hogy a hitelminősítő intézeteken kívül a jogsértésért érdemben felelős egyéneket is szankciókkal sújthassa. Hasonlóképpen, a 36d. cikk kötelezi az EÉPH-t, hogy nyilvánosságra hozzon minden, a rendeletjavaslat megsértéséért kiszabott időszakos kényszerítő bírságot.

43.

A szankciók közzététele fokozott visszatartó erővel bírna, mivel a tényleges és potenciális bűnelkövetők a hírnevüket érő jelentős károk elkerülése érdekében tartózkodnának a bűncselekmények elkövetésétől. Az átláthatóságot is növelné, mivel a piaci szereplők tisztában lennének azzal, hogy egy adott személy jogsértést követett el. Ez a kötelezettség csak akkor enyhíthető, ha a közzététel aránytalan kárt okoz az érintett feleknek, amely esetben az illetékes hatóságok anonim módon teszik közzé a szankciókat.

44.

Az európai adatvédelmi biztos nincs meggyőződve arról, hogy a szankciók kötelező közzététele a jelenlegi formájában megfelel a Bíróság által a Schecke-ügyben hozott ítélet (31) szerinti adatvédelmi jogi követelményeknek. Úgy véli, hogy az intézkedés célja, szükségessége és arányossága nem kellően megalapozott, és hogy az egyének jogait érintő kockázatokkal szemben valamennyi eset tekintetében megfelelő biztosítékokról kell rendelkezni.

45.

A Bíróság a Schecke-ítéletben megsemmisítette egy tanácsi és egy bizottsági rendelet azon rendelkezéseit, amelyek előírták a mezőgazdasági támogatások kedvezményezettjeire vonatkozó információk közzétételét, beleértve a kedvezményezettek személyazonosságát és a kapott összegeket. A Bíróság kimondta, hogy az említett közzététel az Európai Unió Alapjogi Chartája (a továbbiakban: a Charta) 8. cikke (2) bekezdésének hatálya alá tartozó személyesadat-kezelésnek minősül, és ezért sérti a Charta 7. és 8. cikkében elismert jogokat.

46.

Miután a Bíróság úgy értékelte, hogy „a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk”, a közzététel célját és arányosságát is megvizsgálta. Megállapította, hogy az adott esetben semmi nem utalt arra, hogy a Tanács és a Bizottság az érintett jogszabályok elfogadása során figyelembe vette az információk közzétételének olyan módozatait, amelyek megfelelnek e közzététel céljának, és egyben kevésbé sértik az érintett kedvezményezettek jogait.

47.

A hitelminősítő intézetekről szóló rendelet 36d. cikkét a jelek szerint ugyanazok a hiányosságok befolyásolták, mint amelyekre a Bíróság a Schecke-ügyben hozott ítéletében rámutatott. Szem előtt kell tartani, hogy személyes adatok nyilvánosságra hozatalát előíró rendelkezések adatvédelmi követelményeknek való megfelelésének értékelésekor elengedhetetlen, hogy a tervezett közzététel egyértelmű és jól meghatározott célt szolgáljon. Csak egyértelmű és jól meghatározott cél esetén mérhető fel, hogy valóban szükséges és arányos-e a szóban forgó személyes adatok közzététele (32).

48.

Az európai adatvédelmi biztos ezért úgy véli, hogy az intézkedés célja, és ennélfogva annak szükségessége nem egyértelműen megalapozott. A hitelminősítő intézetekről szóló rendelet preambulumbekezdései nem térnek ki ezekre a kérdésekre. Amennyiben az átfogó cél a visszatartó erő növelése, a Bizottságnak a jelek szerint például meg kellett volna indokolnia, miért ne lenne elegendő a súlyosabb pénzügyi bírság (vagy más, megnevezésnek és megbélyegzésnek nem minősülő szankció).

49.

Ezenfelül mérlegelni kellett volna kevésbé beavatkozó módszereket is, úgymint a közzététel korlátozása a hitelminősítő intézetekre, illetve eseti jellegű határozathozatal a közzétételi ügyekben. Első pillantásra különösen az utóbbi lehetőség tűnik arányosabb megoldásnak.

50.

Az európai adatvédelmi biztos szerint ugyanakkor az eset egyedi körülmények alapján történő mérlegelésének lehetősége miatt ez a megoldás arányosabb, és ezért azt az általános kötelező közzététellel szemben előnyben kell részesíteni. Ez a mérlegelési jogkör többek között lehetővé tenné, hogy az EÉPH kisebb vétség esetén, amikor a jogsértés nem okozott súlyos kárt, vagy ha az érintett együttműködő volt stb., ne éljen a közzététellel.

51.

A hitelminősítő intézetekről szóló rendeletnek megfelelő biztosítékokról kellett volna rendelkeznie a különböző érdekek közötti méltányos egyensúly megteremtése érdekében. Először is, biztosítékokra van szükség az érintett személyek fellebbezési joga, valamint az ártatlanság vélelméhez való joga tekintetében. A 36d. cikk szövegében erre vonatkozóan konkrét megfogalmazásra lett volna szükség, kötelezve az EÉPH-t arra, hogy megtegye a megfelelő intézkedéseket a határozatok elleni fellebbezéssel járó helyzetekben, és akkor is, ha a bíróság megsemmisíti a határozatot (33).

52.

Másodszor, a hitelminősítő intézetekről szóló rendeletnek biztosítania kell, hogy proaktív módon gondoskodjanak az érintettek jogainak védelméről. Az európai adatvédelmi biztos méltányolja, hogy a hitelminősítő intézetekről szóló rendelet lehetőséget ad a közzététel kizárására akkor, ha az aránytalan kárt okozna. A proaktív megközelítésnek ugyanakkor azt kellene jelentenie, hogy az érintetteket előzetesen tájékoztatják a rájuk időszakos kényszerítő bírságot kiszabó határozat közzétételéről, valamint hogy lényeges jogos érdek alapján megilleti őket a 95/46/EK irányelv 14. cikke szerinti tiltakozási jog (34).

53.

Harmadszor, jóllehet a hitelminősítő intézetekről szóló rendelet nem nevezi meg az információk közzétételének módját, a gyakorlatban feltételezhető, hogy internetes közzétételre kerül majd sor. Az internetes közzététel sajátos problémákat és kockázatokat vet fel, és különösen fontos annak biztosítása, hogy az információkat csak a szükséges ideig őrizzék meg online, és hogy az adatokat ne manipulálják vagy módosítsák. A külső keresőmotorok használata továbbá azzal a veszéllyel jár, hogy az információt kontextusból kiemelve nehezen ellenőrizhető módokon terjesztik az interneten és azon kívül (35).

54.

A fentiekre tekintettel kötelezni kell az EÉPH-t annak biztosítására, hogy az érintettek személyes adatait csak ésszerű ideig őrizzék meg online, és azt követően következetesen töröljék azokat (36). Ezenfelül elő kell írni, hogy a tagállamok gondoskodjanak megfelelő biztonsági intézkedésekről és biztosítékokról, különösen a külső keresőmotorok használatából eredő kockázatokkal szembeni védelem érdekében (37).

55.

Az európai adatvédelmi biztos úgy véli, hogy az időszakos kényszerítő bírságok kötelező közzétételére vonatkozó rendelkezés – a jelenlegi formájában – nem tartja tiszteletben a magánélethez és a személyes adatok védelméhez való alapvető jogot. A jogalkotónak körültekintően meg kell vizsgálnia a javasolt rendszer szükségességét, és ellenőriznie kell, hogy a közzétételi kötelezettség nem lépi-e túl a közérdekű cél eléréséhez szükséges mértéket, és hogy ugyanez a cél nem érhető-e el kevésbé korlátozó intézkedésekkel. Ezen arányossági vizsgálat eredményétől függően a közzétételi kötelezettséget minden esetben megfelelő biztosítékokkal kell kiegészíteni az ártatlanság vélelme és az érintett személyek tiltakozáshoz való joga tiszteletben tartásának, az adatok biztonságának/pontosságának és a megfelelő idő után történő törlésének biztosítása érdekében.

56.

Az európai adatvédelmi biztos a következő ajánlásokat teszi: