|
2021.6.15. |
HU |
Az Európai Unió Hivatalos Lapja |
C 229/16 |
Az európai adatvédelmi biztos véleményének összefoglalója a pénzügyi ágazat digitális működési rezilienciájáról és az 1060/2009/EK rendelet, a 648/2012/EU rendelet, a 600/2014/EU rendelet, valamint a 909/2014/EU rendelet módosításáról szóló rendeletre vonatkozó javaslatról
(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: www.edps.europa.eu)
(2021/C 229/05)
Az Európai Bizottság 2020. szeptember 24-én elfogadta a pénzügyi ágazat digitális működési rezilienciájáról és az 1060/2009/EK rendelet, a 648/2012/EU rendelet, a 600/2014/EU rendelet, valamint a 909/2014/EU rendelet módosításáról szóló rendeletre vonatkozó javaslatot (a továbbiakban: javaslat). A javaslat átfogó keretet hoz létre az uniós pénzügyi szervezetek digitális működési rezilienciájára vonatkozóan öt kulcsterület – az IKT-kockázatkezelés (II. fejezet), a biztonsági események kezelése, osztályozása és bejelentése (III. fejezet), a digitális működési reziliencia tesztelése (IV. fejezet), a harmadik féltől eredő kockázatok kezelése és a kulcsfontosságú IKT-szolgáltatók szabályozása (V. fejezet), valamint az információmegosztás (VI. fejezet) – alapján.
Az európai adatvédelmi biztos üdvözli a javaslat célkitűzéseit, és úgy véli, hogy az Európai Unió pénzügyi piacának stabilitása szempontjából alapvető fontosságú, hogy a pénzügyi intézmények megbízható, átfogó és jól dokumentált IKT-kockázatkezelési keretrendszerrel számoljanak.
Az európai adatvédelmi biztos kiemeli annak biztosításának fontosságát, hogy a pénzügyi szervezetek működésével összefüggésben minden adatkezelési művelet az általános adatvédelmi rendelet 6. cikkében meghatározott jogalapok valamelyikén alapuljon (1). Az európai adatvédelmi biztos hangsúlyozza továbbá, hogy a pénzügyi szervezetek számára fontos, hogy digitális működési rezilienciájuk keretébe olyan masszív adatvédelmi kormányzási mechanizmust építsenek be, amely egyértelműen meghatározza az adatkezelő és az adatfeldolgozó feladat- és felelősségi köreit, valamint az elvégzendő adatkezelési tevékenységeket.
Ami a harmadik országban letelepedett, harmadik félnek minősülő IKT-szolgáltatók részére történő nemzetközi adattovábbítást illeti, az európai adatvédelmi biztos emlékeztet arra, hogy a személyes adatok nemzetközi továbbításának minden esetben meg kell felelnie az általános adatvédelmi rendelet V. fejezetében foglalt, az Európai Unió Bíróságának ítélkezési gyakorlatában, többek között a Schrems II ítéletben értelmezett követelményeknek.
Az információk és a kiberfenyegetésekkel kapcsolatos adatok pénzügyi szervezetek közötti megosztására vonatkozó megállapodásokat illetően az európai adatvédelmi biztos hangsúlyozza, hogy a személyes adatok védelme nem akadályozza az információk pénzügyi ágazatbeli megosztását. Ellenkezőleg, az adatvédelmi követelményeket olyan alapvető követelménynek kell tekinteni, amelynek eleget kell tenni az egyéneket megillető jogok védelmének biztosítása érdekében. Ezzel összefüggésben az európai adatvédelmi biztos ösztönzi, hogy a pénzügyi ágazatban is fogadjanak el magatartási kódexeket az általános adatvédelmi rendelet 40. cikkével összhangban, különösen a fő érdekelt felek személyesadat-kezeléssel kapcsolatos feladatainak egyértelmű meghatározása, valamint a tisztességes és átlátható adatkezelés biztosítása érdekében.
A közigazgatási szankciók nyilvánosságra hozatalát illetően az európai adatvédelmi biztos azt javasolja, hogy az illetékes hatóság mérlegelési szempontjai között szerepeljen az egyének személyes adatainak védelmére jelentett kockázat is. Az európai adatvédelmi biztos emlékeztet továbbá arra, hogy a korlátozott tárolhatóság elve megköveteli, hogy a személyes adatokat csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tárolják.
Az európai adatvédelmi biztos az adatvédelmi incidensek bejelentését illetően kiemeli, hogy a javaslat (42) preambulumbekezdésének megfogalmazása nem egyeztethető össze az általános adatvédelmi rendelet 33. cikkével. Az európai adatvédelmi biztos ezért azt javasolja, hogy a javaslat (42) preambulumbekezdéséből töröljék az adatvédelmi hatóságokra való hivatkozást, valamint hogy némileg módosítsák a javaslat 17. cikkét a jelen véleményben foglalt ajánlásokkal összhangban.
1. HÁTTÉR
|
1. |
Az Európai Bizottság 2020. szeptember 24-én elfogadta a pénzügyi ágazat digitális működési rezilienciájáról és az 1060/2009/EK rendelet, a 648/2012/EU rendelet, a 600/2014/EU rendelet, valamint a 909/2014/EU rendelet módosításáról szóló rendeletre vonatkozó javaslatot (a továbbiakban: javaslat). A javaslat átfogó keretet hoz létre az uniós pénzügyi szervezetek digitális működési rezilienciájára vonatkozóan öt kulcsterület – az IKT-kockázatkezelés (II. fejezet), a biztonsági események kezelése, osztályozása és bejelentése (III. fejezet), a digitális működési reziliencia tesztelése (IV. fejezet), a harmadik féltől eredő kockázatok kezelése és a kulcsfontosságú IKT-szolgáltatók szabályozása (V. fejezet), valamint az információmegosztás (VI. fejezet) – alapján. |
|
2. |
E javaslat egy csomag részét képezi, amely magában foglal egy, a kriptoeszközök piacainak kialakítására vonatkozó rendeletjavaslatot (2) (a továbbiakban: a kriptoeszközök piacairól szóló rendelet), egy, a DLT-n alapuló piaci infrastruktúrák kísérleti rendszerére vonatkozó javaslatot (3) és egy, bizonyos kapcsolódó pénzügyi szolgáltatásokra vonatkozó uniós szabályok pontosítására és módosítására vonatkozó javaslatot (4). Az európai adatvédelmi biztos a DLT-n alapuló piaci infrastruktúrák kísérleti rendszerére vonatkozó javaslatról folytatott konzultációt követően 2021. április 23-án nyilvánított véleményt e javaslatról (5). Az Európai Parlament és a Tanács (EU) 2018/1725 (6) rendelet 42. cikkének (1) bekezdésével összhangban 2021. április 29-én a kriptoeszközök piacairól szóló rendeletről is konzultáltak az európai adatvédelmi biztossal, aki e rendeletről is véleményt nyilvánít majd. |
|
3. |
2021. március 15-én az Európai Bizottság az (EU) 2018/1725 rendelet 42. cikke (1) bekezdésének megfelelően felkérte az európai adatvédelmi biztost, hogy adjon véleményt a javaslatról. Ezek az észrevételek a javaslat adatvédelmi szempontból releváns rendelkezéseire szorítkoznak. |
4. KÖVETKEZTETÉSEK
A fentiekre tekintettel az európai adatvédelmi biztos:
|
— |
Kiemeli annak biztosításának fontosságát, hogy a pénzügyi szervezetek működésével összefüggésben minden adatkezelési művelet az általános adatvédelmi rendelet 6. cikkében meghatározott jogalapok valamelyikén alapuljon, és a pénzügyi szervezetek által megfontolandó lehetséges jogalapként az általános adatvédelmi rendelet 6. cikke (1) bekezdésének c), e) és f) pontját jelöli meg. |
|
— |
Az európai adatvédelmi biztos hangsúlyozza, hogy a pénzügyi szervezetek számára fontos, hogy olyan masszív adatvédelmi kormányzási mechanizmust építsenek be digitális működési rezilienciájuk keretébe, amely egyértelműen meghatározza az adatkezelő és az adatfeldolgozó feladat- és felelősségi köreit, valamint az elvégzendő adatkezelési tevékenységeket. |
|
— |
Az európai adatvédelmi biztos emlékeztet arra, hogy a személyes adatok pénzügyi szervezetek általi, egy harmadik országban letelepedett, harmadik félnek minősülő IKT-szolgáltató részére történő nemzetközi továbbításának minden esetben meg kell felelnie az általános adatvédelmi rendelet V. fejezetében foglalt követelményeknek, és ezen adattovábbításra megfelelő garanciáknak kell vonatkozniuk az adatvédelmi kerettel és az Európai Unió Bíróságának ítélkezési gyakorlatával, különösen a Schrems II ítélettel összhangban. Az ilyen pénzügyi szervezetek igénybe vehetik az általános szerződési feltételeket, mivel ez tűnik a legmegfelelőbb adattovábbítási eszköznek. |
|
— |
Az európai adatvédelmi biztos hangsúlyozza, hogy a személyes adatok védelme nem akadályozza az információk pénzügyi ágazatbeli megosztását. Ellenkezőleg, az adatvédelmi követelményeket olyan alapvető követelménynek kell tekinteni, amelynek eleget kell tenni az egyéneket megillető jogok védelmének a pénzügyi szervezetek digitális működési rezilienciájának keretében történő biztosítása érdekében. |
|
— |
Az európai adatvédelmi biztos ösztönzi, hogy a pénzügyi ágazatban is fogadjanak el magatartási kódexeket az általános adatvédelmi rendelet 40. cikkével összhangban, különösen a fő érdekelt felek személyesadat-kezeléssel kapcsolatos feladatainak egyértelmű meghatározása, valamint a tisztességes és átlátható adatkezelés biztosítása érdekében. |
|
— |
A közigazgatási szankciók nyilvánosságra hozatalát illetően az európai adatvédelmi biztos azt javasolja, hogy az illetékes hatóság mérlegelési szempontjai között szerepeljen az egyének személyes adatainak védelmére jelentett kockázat is. |
|
— |
A korlátozott tárolhatóság elvével összhangban az európai adatvédelmi biztos azt javasolja a pénzügyi szervezetek számára, hogy fogadjanak el intézkedéseket annak biztosítására, hogy a közigazgatási szankciókra vonatkozó információkat öt év elteltével vagy – ha azokra már nincs szükség – azt megelőzően törlik honlapjukról. |
|
— |
Az európai adatvédelmi biztos kiemeli, hogy a javaslat (42) preambulumbekezdésének megfogalmazása nem egyeztethető össze az általános adatvédelmi rendelet 33. cikkével. Az európai adatvédelmi biztos ezért azt javasolja, hogy a javaslat (42) preambulumbekezdéséből töröljék az adatvédelmi hatóságokra való hivatkozást, valamint hogy úgy módosítsák a javaslat 17. cikkét, hogy az hivatkozzon az adatvédelmi incidensek érintett adatvédelmi hatóságoknak történő bejelentésére vonatkozó kötelezettségre. |
|
— |
Az európai adatvédelmi biztos a javaslat 23. cikke (2) bekezdésének módosítását javasolja annak biztosítása érdekében, hogy az IKT-rendszerek tesztelését, termékfejlesztését vagy kutatását ne lehessen elvégezni az ügyfelek személyes adatait tartalmazó éles rendszereken. |
Brüsszel, 2021. május 10.
Wojciech Rafał WIEWIÓROWSKI
(1) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).
(2) A kriptoeszközök piacairól és az (EU) 2019/1937 irányelv módosításáról szóló európai parlamenti és tanácsi rendeletre vonatkozó javaslat, COM(2020) 593 final. Elérhető: EUR-Lex - 52020PC0593 - HU - EUR-Lex (europa.eu)
(3) A megosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről szóló európai parlamenti és tanácsi rendeletre vonatkozó javaslat COM(2020) 594 final, elérhető: EUR-Lex - 52020PC0594 - HU - EUR-Lex (europa.eu)
(4) A 2006/43/EK irányelv, a 2009/65/EK irányelv, a 2009/138/EK irányelv, a 2011/61/EU irányelv, a 2013/36/EU irányelv, a 2014/65/EU irányelv, az (EU) 2015/2366 irányelv és az (EU) 2016/2341 irányelv módosításáról szóló európai parlamenti és tanácsi irányelvre vonatkozó javaslat, COM(2020) 596 final. Elérhető: EUR-Lex - 52020PC0596 - HU - EUR-Lex (europa.eu)
(5) A megosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszerére vonatkozó javaslatról szóló 6/2021. sz. vélemény, elérhető: 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)
(6) Az Európai Parlament és a Tanács (EU) 2018/1727 rendelete (2018. november 14.) az Európai Unió Büntető Igazságügyi Együttműködési Ügynökségéről (Eurojust) és a 2002/187/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről (HL L 295., 2018.11.21., 138. o.).