23.9.2011   

HU

Az Európai Unió Hivatalos Lapja

C 279/20

1.

2010. december 8-án az Európai Bizottság elfogadta az energiapiacok integritásáról és átláthatóságáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatot (3) (a továbbiakban: a javaslat).

2.

A Bizottság nem egyeztetett az európai adatvédelmi biztossal, noha a 45/2001/EK rendelet 28. cikkének (2) bekezdése ezt előírta volna. Az európai adatvédelmi biztos az említett rendelet 41. cikkének (2) bekezdése alapján saját kezdeményezésre elfogadta ezt a véleményt. Az európai adatvédelmi biztos tisztában van azzal, hogy erre a tanácsadásra a jogalkotási folyamat késői szakaszában kerül sor. Mindazonáltal megfelelőnek és hasznosnak tartja e vélemény kiadását, tekintettel a javaslatnak a magánélet tiszteletben tartásához való jogra és a személyes adatok védelmére gyakorolt, esetlegesen jelentős hatására. A javaslat preambulumát ki kell egészíteni az erre a véleményre tett hivatkozással.

3.

A javaslat legfontosabb célja a piaci manipuláció és a bennfentes kereskedelem megakadályozása a nagykereskedelmi energiapiacokon (gáz- és villamosenergia-piacokon). Az energiatermelő vállalatok és az energiakereskedők számára a villamosenergia- és a földgáz-kereskedelem helyszínéül szolgáló nagykereskedelmi piacok integritása és átláthatósága kulcsfontosságú a fogyasztók által fizetett végső ár szempontjából.

4.

Ezért a javaslat célja, hogy uniós szinten átfogó szabályokat határozzon meg annak érdekében, hogy a kereskedők ne használhassanak fel bennfentes információkat saját javukra, és ne manipulálhassák a piacot azáltal, hogy az árakat mesterségesen magasabb szinten rögzítik annál, mint amelyet az energia rendelkezésre állása, előállítási költsége, tárolási vagy szállítási kapacitása indokolna. A javasolt szabályok különösen a következőket tiltják:

5.

Az említett tilalmak esetleges megsértésének feltárását célzó, európai szintű piacellenőrzésért az Energiaszabályozók Együttműködési Ügynöksége (a továbbiakban: az ACER) (4) felelős.

6.

A javaslat értelmében az ACER időben hozzáfér majd a nagykereskedelmi energiapiacokon bonyolított ügyletekre vonatkozó információkhoz. Ezek többek között az árra, az eladott mennyiségre és az érintett felekre vonatkozó információk. Ezeket az adatokat a nemzeti szabályozó hatóságokkal is megosztják, amelyek ezt követően felelősek a vélt visszaélések kivizsgálásáért. A határokon átívelő hatással járó ügyekben az ACER jogosult a kivizsgálások koordinálására. A tagállamok nemzeti szabályozó hatóságai végrehajtják a szankciókat.

7.

A javaslat számos más, közelmúltbeli jogalkotási javaslatot követve arra törekszik, hogy szigorítsa a meglévő pénzügyi felügyeleti intézkedéseket és javítsa az uniós szintű koordinációt és együttműködést, többek között a bennfentes kereskedelemről és a piaci manipulációról szóló irányelvet (5) és a pénzügyi eszközök piacairól szóló irányelvet (6). Az európai adatvédelmi biztos nemrég egy másik közelmúltbeli javaslat (7) tekintetében is észrevételeket tett.

8.

A javaslat több, a személyes adatok védelme szempontjából releváns rendelkezést tartalmaz:

9.

A javaslat azon a feltevésen alapul, hogy a piaci visszaélések észleléséhez i. hatékony piacellenőrzési rendszerre van szükség, amely időben és teljes körűen hozzáfér az egyes ügyletek adataihoz; továbbá ii. ennek uniós szintű ellenőrzést kell magában foglalnia. A rendeletjavaslat ezért előírja, hogy az ACER a nagykereskedelmi energiapiacokról jelentős mennyiségű adatot gyűjt, tekint át és bocsát mások (az érintett nemzeti és uniós hatóságok) rendelkezésére.

10.

A rendeletjavaslat különösen arra kötelezi a piaci szereplőket, hogy adják át az ACER részére a nagykereskedői energiatermékek piacán lebonyolított „ügyleteikre vonatkozó nyilvántartásukat”. Az ügyletekre vonatkozó nyilvántartásokon túlmenően a javaslat azt is előírja a piaci szereplők számára, hogy tájékoztassák az ACER-t „a villamos energia vagy földgáz előállítására, tárolására, fogyasztására, átvitelére vagy szállítására szolgáló létesítmények kapacitásaira vonatkozó” információkról.

11.

Az adatszolgáltatás formátumáról, tartalmáról és határidőiről a Bizottság felhatalmazáson alapuló jogi aktusai fognak rendelkezni.

12.

Tekintettel arra, hogy a javaslat teljes egészében felhatalmazáson alapuló jogi aktusokra hagyja az említett ellenőrzés és jelentéstétel keretében összegyűjtendő információk tartalmának meghatározását, nem zárható ki személyes adatok – azaz azonosított vagy azonosítható természetes személyre vonatkozó bármely információ (8) – érintettsége. A hatályos uniós jogszabályok értelmében ez csak akkor lehetséges, ha a konkrét cél szempontjából szükséges és arányos (9). A rendeletjavaslatnak ezért egyértelműen meg kell határoznia, hogy az ügyletekre vonatkozó nyilvántartások és a kapacitásra vonatkozó információk, amelyeket ellenőrzési célokra gyűjtenek, tartalmazhatnak-e és milyen mértékben tartalmazhatnak személyes adatokat (10).

13.

Személyesadat-feldolgozásra vonatkozó rendelkezés esetén egyedi garanciák – például az információk célhoz kötöttségére, megőrzési idejére és lehetséges címzettjeire vonatkozó garanciák – is előírhatók. Ezeket az adatvédelmi garanciákat – tekintve, hogy alapvető fontosságúak – ezért inkább közvetlenül a rendeletjavaslat szövegében, mintsem felhatalmazáson alapuló jogi aktusokban kell kifejteni.

14.

Ha azonban nem várható személyesadat-feldolgozás (vagy ilyen adatfeldolgozás csak kivételesen fordulna elő és csak olyan ritka esetekre korlátozódna, amelyekben egy energia-nagykereskedő esetleg inkább magánszemély, mint jogi személy), ezt a javaslatban egyértelműen – legalább egy preambulumbekezdésben – ki kell fejteni.

15.

A 9. cikk (1) bekezdése előírja, hogy az ACER „gondoskodik a 7. cikk alapján hozzá beérkező információk [azaz a piacellenőrzés keretében összegyűjtött, ügyletekre vonatkozó nyilvántartások és kapacitásra vonatkozó információk] bizalmas kezeléséről, épségének megőrzéséről és védelméről”. A 9. cikk arról is rendelkezik, hogy az ACER „a szükséges körben” a 7. cikk szerinti személyesadat-feldolgozás során a 45/2001/EK rendelet szerint „jár el”.

16.

Ezen túlmenően a 9. cikk (1) bekezdése azt is előírja, hogy az ACER „azonosítja a működési kockázat forrásait, és a működési kockázatot megfelelő rendszerek, ellenőrzések és eljárások kidolgozása útján minimalizálja”.

17.

Végezetül a 9. cikk (2) bekezdése lehetővé teszi az ACER számára, hogy az általa birtokolt információkat részlegesen nyilvánosságra hozza, „amennyiben gondoskodik arról, hogy ne kerülhessenek a nyilvánosság birtokába olyan információk, amelyek konkrét piaci szereplőkre vagy konkrét ügyletekre vonatkoznak, és üzleti szempontból érzékenyek”.

18.

Az európai adatvédelmi biztos üdvözli, hogy a 9. cikk – részben – az adatvédelemről szól, valamint azt, hogy a rendeletjavaslat kifejezetten előírja, hogy az ACER a 45/2001/EK rendelet szerint járjon el.

19.

Ugyanakkor az európai adatvédelmi biztos hangsúlyozza, hogy a szóban forgó rendelet értelmében a 45/2001/EK rendelet minden személyesadat-feldolgozáskor teljes egészében vonatkozik az ACER-re. Ennélfogva a javaslatnak emlékeztetnie kell arra, hogy a 45/2001/EK rendelet nemcsak akkor alkalmazandó az ACER-re, amikor az a 7. cikk szerinti személyesadat-feldolgozást végez, hanem minden egyéb helyzetben is: fontos, hogy akkor is, amikor az ACER piaci visszaélések, illetve jogsértések gyanúja esetén a 11. cikk szerint dolgoz fel személyes adatokat. Ezen túlmenően, a pontosság kedvéért az európai adatvédelmi biztos azt ajánlja, hogy azoknak a helyzeteknek a leírására, amelyekben az ACER-nek a 45/2001/EK rendelet szerint kell eljárnia, „a szükséges körben” kifejezés helyett a „minden olyan esetben, amikor személyesadat-feldolgozás történik” fordulatot használják.

20.

Hivatkozni kell a 95/46/EK irányelvre is, tekintettel arra, hogy ez az irányelv az érintett nemzeti szabályozó hatóságok általi személyesadat-feldolgozásra alkalmazandó. Az egyértelműség kedvéért az európai adatvédelmi biztos azt ajánlja, hogy a rendeletjavaslatnak általánosságban (legalább egy preambulumbekezdésben) meg kell említenie, hogy míg az ACER a 45/2001/EK rendelet hatálya alá tartozik, az érintett nemzeti szabályozó hatóságokra a 95/46/EK irányelv alkalmazandó.

21.

Az európai adatvédelmi biztos üdvözli azt a követelményt, hogy az ACER-nek azonosítania kell a működési kockázatokat, és azokat megfelelő rendszerek, ellenőrzések és eljárások kidolgozása útján minimalizálnia kell. Az elszámoltathatóság elvének további erősítése érdekében, (11) ha a személyes adatok feldolgozása strukturális szerepet játszana, a rendeletjavaslatnak kifejezetten elő kell írnia, hogy az ACER hozzon létre egy olyan egyértelmű elszámoltathatósági keretet, amely biztosítja az adatvédelmi megfelelést és erről bizonyítékot szolgáltat. Ennek az ACER által létrehozott egyértelmű keretnek számos elemet kell tartalmaznia, például a következőket:

22.

Azonos követelményeket kell alkalmazni a nemzeti szabályozó hatóságokra és az egyéb érintett uniós hatóságokra is.

23.

A 9. cikk (2) bekezdésében foglalt azon követelményt illetően, amely értelmében az ACER-nek az általa birtokolt információkat részben nyilvánosságra kell hoznia, az európai adatvédelmi biztos értelmezése szerint ennek a rendelkezésnek nem az a célja, hogy engedélyezze az ACER számára, hogy „megnevezés és megbélyegzés” céljából adatokat tegyen közzé, és vállalatok vagy magánszemélyek jogellenes fellépéseit nyilvánosságra hozza.

24.

Mindamellett a javaslat nem tesz említést arról, hogy van-e a személyes adatok nyilvánosságra hozatalára irányuló szándék. Ezért a kétségek eloszlatása érdekében a rendeletjavaslatnak kifejezetten rendelkeznie kell arról, hogy a közzétett információk ne tartalmazzanak személyes adatot vagy egyértelművé kell tennie, hogy amennyiben igen, mely személyes adatok hozhatók nyilvánosságra.

25.

Ha bármely személyes adatot közzé kell tenni, a nyilvánosságra hozatal (például átláthatósági okok miatti) szükségességét körültekintően mérlegelni kell, ugyanakkor egyensúlyba kell állítani más, ezekkel versengő szempontokkal, mint például az érintett személyek magánélet tiszteletben tartásához és személyes adataik védelméhez való joga biztosításának szükségességével.

26.

Ennek megfelelően minden nyilvánosságra hozatal előtt arányossági értékelést kell végezni az Európai Bíróság által a Schecke-ügyben (13) hozott ítéletben megállapított kritériumok figyelembevételével. Ebben az ügyben az Európai Bíróság hangsúlyozta, hogy a személyes adatok védelme alóli kivételeknek és a védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk. Az Európai Bíróság továbbá úgy ítélte meg, hogy az európai intézményeknek többféle közzétételi módszert kell kipróbálniuk, hogy megtalálják azt a módozatot, amely megfelel a közzététel céljának, mindamellett a lehető legkevésbé sérti az érintetteknek a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogát.

27.

A javaslat előírja, hogy amennyiben piaci visszaélés gyanúja merül fel, a piacellenőrzést kivizsgálás követi, és ez megfelelő szankciókat eredményezhet. A 10. cikk (1) bekezdése különösen azt írja elő a tagállamok számára, hogy a nemzeti szabályozó hatóságokat ruházzák fel a rendelet bennfentes kereskedelemre és piaci manipulációra vonatkozó rendelkezéseinek alkalmazásához szükséges kivizsgálási hatáskörökkel (14).

28.

Az európai adatvédelmi biztos üdvözli azt a 10. cikk (1) bekezdésében szereplő pontosítást, hogy i. a kivizsgálási hatáskörök (kizárólag) a rendelet bennfentes kereskedelemre és piaci manipulációra vonatkozó rendelkezései (3. és 4. cikk) alkalmazásának biztosítása érdekében gyakorolhatók; és hogy ii. ezeket a hatásköröket az arányosság elvének szem előtt tartásával kell gyakorolni.

29.

A javaslatnak ennélfogva – a jogbiztonság és megfelelő szintű személyesadat-védelem biztosítása érdekében – távolabbra kell mutatnia. Az alábbiakban foglaltaknak megfelelően két jelentősebb probléma van a 10. cikk javasolt szövegével. Először is a 10. cikk nem jelöli meg elég egyértelműen, meddig terjednek a kivizsgálási hatáskörök: például nem kellően egyértelmű, hogy előírható-e telefonon folytatott magánbeszélgetések rögzítése, illetve az sem, hogy végezhető-e helyszíni vizsgálat magánlakásban. Másodszor, a 10. cikk nem rendelkezik a magánéletbe való indokolatlan behatolás vagy a személyes adatok visszaélésszerű felhasználása jelentette kockázattal szembeni szükséges eljárási garanciákról sem; például nem írja elő bírósági végzés szükségességét.

30.

Feltehetőleg a kivizsgálási hatáskörök terjedelmét és a szükséges garanciákat is a nemzeti jogszabályoknak kell a továbbiakban pontosítaniuk. A 10. cikk (1) bekezdése tulajdonképpen számos lehetőséget nyitva hagy a tagállamok előtt azzal a rendelkezéssel, hogy a kivizsgálási hatáskörök gyakorolhatók „a) közvetlenül; b) más hatóságokkal vagy a piaci vállalkozásokkal együttműködésben; c) a hatáskörrel és illetékességgel rendelkező igazságügyi szerv részvételével”. Úgy tűnik, hogy ez lehetővé teszi a nemzeti gyakorlatok eltérését, például abban a tekintetben, hogy előírhatóe és milyen körülmények között lenne előírható a bírósági végzés megléte.

31.

Bár előfordulhat, hogy néhány nemzeti jogszabály már rendelkezik megfelelő eljárási és adatvédelmi garanciákról, az érintettek jogbiztonságának biztosítása érdekében az eljárási és adatvédelmi garanciákra vonatkozóan a rendeletjavaslatban – az alábbiakban kifejtetteknek megfelelően – uniós szinten bizonyos pontosításokat kell megfogalmazni és bizonyos minimumkövetelményeket kell meghatározni.

32.

Általános alapelvként az európai adatvédelmi biztos hangsúlyozza, hogy amikor az uniós jogszabályok olyan intézkedések nemzeti szintű megtételét írják elő a tagállamok számára, amelyek hatással vannak az alapvető jogokra (például a magánélet tiszteletben tartásához való jogra és a személyes adatok védelméhez való jogra), a jogszabályoknak elő kell írniuk azt is, hogy a korlátozó intézkedésekkel párhuzamosan az érintett alapvető jogok védelmének biztosítását célzó hatékony intézkedésekről is gondoskodjanak. Más szóval, a magánéletbe potenciálisan behatoló intézkedések – például a kivizsgálási hatáskörök – harmonizálásához megfelelő, a legjobb gyakorlaton alapuló eljárási és adatvédelmi garanciák harmonizálásának kell társulnia.

33.

Az ilyen megközelítés segíthet megelőzni a túlzott eltéréseket a tagállamok között, és magasabb szinten és egységesebben biztosíthatja a személyes adatok védelmét az egész Európai Unióban.

34.

Ha a minimális garanciák harmonizálása jelenleg nem valósítható meg, az európai adatvédelmi biztos azt ajánlja, hogy a rendeletjavaslat konkrétan írja elő a tagállamok számára, hogy fogadjanak el nemzeti végrehajtási intézkedéseket a szükséges eljárási és adatvédelmi garanciák biztosítása érdekében. Ez annál is inkább fontos, mert a választott jogiaktus-forma a rendelet, amely közvetlenül alkalmazandó, és általános szabályként nem feltétlenül tenne szükségessé további végrehajtási intézkedéseket a tagállamokban.

35.

A javaslat előírja, hogy a nemzeti szabályozó hatóságoknak biztosítandó kivizsgálási hatáskörök kifejezetten magukban foglalják a helyszíni vizsgálatok végrehajtására vonatkozó hatásköröket (a 10. cikk (2) bekezdésének c) pontja).

36.

Nem egyértelmű, hogy ezek a vizsgálatok a piaci szereplők üzleti tulajdonára (épületeire vagy helyiségeire, földterületére és járműveire) korlátozódnának-e, vagy magánszemélyek magántulajdonán (épületei vagy helyiségei, földterülete vagy járművei tekintetében) is elvégezhetők-e. Ugyanígy nem egyértelmű, hogy a vizsgálatok előzetes figyelmeztetés nélkül („rajtaütésszerű vizsgálatokként”) is elvégezhetők-e.

37.

Amennyiben a Bizottságnak az a terve, hogy előírja a tagállamok számára, hogy engedélyezzék a szabályozó hatóságoknak a magánszemélyek magántulajdonának helyszíni vizsgálatát vagy rajtaütésszerű vizsgálatát, azt mindenekelőtt egyértelműen közölni kell.

38.

Másodszor, az európai adatvédelmi biztos azt is hangsúlyozza, hogy a magántulajdon (például magánszemélyek magánlakása) helyszíni vizsgálatának arányossága távolról sem magától értetődő, és előírása esetén azt kifejezetten meg kell indokolni.

39.

Harmadszor, ehhez további garanciákra is szükség lenne, különösen az ilyen vizsgálatok elvégzésének feltételei tekintetében. Például – és korlátozás nélkül – a javaslatnak pontosítania kell, hogy helyszíni vizsgálat csak akkor végezhető magánszemély otthonában, ha megalapozott és konkrét gyanú merül fel azzal kapcsolatban, hogy ott olyan bizonyítékot tárolnak, amely bizonyíthatja a rendelet 3. és 4. cikkének (a bennfentes kereskedelem és a piaci manipuláció tilalmára vonatkozó rendelkezések) súlyos megsértését. Fontos, hogy a javaslatnak bírósági végzés meglétét is elő kell írnia valamennyi tagállamban (15).

40.

Negyedszer, az arányosság biztosítása, valamint a magánéletbe való túlzott beavatkozás megelőzése érdekében a magánlakásokban végzett, be nem jelentett vizsgálatokat ahhoz a kiegészítő feltételhez kell kötni, hogy bejelentett látogatás esetén a bizonyítékokat valószínűleg megsemmisítenék vagy meghamisítanák. Erről a rendeletjavaslatnak egyértelműen rendelkeznie kell.

41.

A 10. cikk (2) bekezdésének d) pontja előírja, hogy a nemzeti szabályozó hatóságok hatáskörei kifejezetten kiterjednek a meglévő rögzített telefonbeszélgetések és a meglévő adatforgalmi nyilvántartások bekérésére.

42.

Az európai adatvédelmi biztos elismeri a rögzített telefonbeszélgetések és az adatforgalmi nyilvántartások értékét a bennfentes kereskedelmet érintő ügyekben, különösen a bennfentesek és a kereskedők közötti kapcsolatok megállapítása érdekében. Ugyanakkor nem kellően egyértelmű, hogy ez a hatáskör mire terjed ki, és nincsenek előirányozva megfelelő eljárási és adatvédelmi garanciák sem. Az európai adatvédelmi biztos ezért azt ajánlja, hogy a javaslatot az alábbiakban foglaltaknak megfelelően tegyék egyértelművé. Különösen a következő kérdésekre kell kitérni:

43.

A jogbiztonság érdekében a javaslatnak először is egyértelművé kell tennie, hogy a hatóságok – szükség esetén – milyen típusú nyilvántartásokat kérhetnek be.

44.

A javaslatnak a kivizsgálási hatásköröket kifejezetten a következőkre kell korlátoznia: i. az ügyletek bizonyítása érdekében a kereskedők által üzleti célokra már szokásosan és jogszerűen gyűjtött rögzített telefonbeszélgetések, elektronikus levelezés és más adatforgalmi nyilvántartások tartalma; valamint ii. az érintett piaci szereplők (kereskedők) által már közvetlenül rendelkezésre bocsátott forgalmi adatok (például az, hogy ki és mikor hívott fel kit, vagy ki és mikor küldött kinek információkat).

45.

Ezen túlmenően a javaslatnak azt is elő kell írnia, hogy a nyilvántartásokat jogszerű célra és az alkalmazandó adatvédelmi jogszabályokkal összhangban kell összegyűjteni, ideértve az érintetteknek a 95/46/EK irányelv 10. és 11. cikke szerinti megfelelő tájékoztatását is.

46.

Az európai adatvédelmi biztos üdvözli azt a tényt, hogy a javaslat ezt a hatáskört a „meglévő” nyilvántartásokra korlátozza, és így nem írja elő, hogy a szabályozó hatóságok hatáskörei kereskedőt vagy harmadik felet arra kötelezzenek, hogy a vizsgálat céljából kifejezetten lehallgassanak, nyomon kövessenek vagy rögzítsenek telefonbeszélgetéseket vagy adatforgalmat.

47.

A kétségek eloszlatása érdekében azonban ezt a szándékot – legalább egy preambulumbekezdésben – világosabbá kell tenni. El kell kerülni, hogy a rendeletjavaslatot oly módon értelmezhessék, hogy az a nemzeti szabályozó hatóságok számára jogalapot szolgáltat telefonbeszélgetések vagy adatközlések – titkos vagy nyílt, bírósági végzés birtokában vagy anélkül történő – lehallgatására, nyomon követésére vagy rögzítésére.

48.

A javaslat szövege „a meglévő rögzített telefonbeszélgetéseket és a meglévő adatforgalmi nyilvántartásokat” említi. Nem kellően egyértelmű, hogy a meglévő adatok és telefonbeszélgetések tartalma és a forgalmi adatok (például az, hogy ki és mikor hívott fel kit, vagy ki és mikor küldött kinek információkat) egyaránt bekérhetők-e.

49.

Ezt egyértelműbbé kell tenni a rendeletjavaslat rendelkezéseiben. A 43–45. bekezdésben foglaltaknak megfelelően egyértelműen meg kell határozni, hogy milyen típusú nyilvántartások kérhetők be, és mindenekelőtt biztosítani kell, hogy azokat a nyilvántartásokat a hatályos adatvédelmi jogszabályokkal összhangban gyűjtsék.

50.

A javaslatnak egyértelműen pontosítania kell, hogy a nemzeti szabályozó hatóságok kitől kérhetnek be nyilvántartásokat. Erre vonatkozóan az európai adatvédelmi biztosnak az az értelmezése, hogy a 10. cikk (2) bekezdésének d) pontja nem szándékozik lehetővé tenni, hogy a nemzeti hatóságok forgalmi adatokat kérjenek be „nyilvánosan elérhető elektronikus hírközlési szolgáltatások” (16) nyújtóitól (például telefontársaságoktól vagy internetszolgáltatóktól).

51.

A javaslat egyáltalán nem utal ilyen szolgáltatókra, és nem használja a „forgalmi adatok” kifejezést sem. Fontos, hogy a javaslat sem implicit, sem explicit módon nem utal arra, hogy eltérést próbálnának megvalósítani az elektronikus hírközlési adatvédelmi irányelvben (17) meghatározott követelményektől, amely irányelv megállapítja azt az általános alapelvet, hogy a forgalmi adatok kizárólag a számlázás és az összekapcsolási díjak megállapítása céljából vethetők alá további feldolgozásnak.

52.

Az egyértelműség érdekében az európai adatvédelmi biztos azt ajánlja, hogy azt a tényt, hogy a javaslat nem szolgáltat jogalapot ahhoz, hogy nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóitól adatokat lehessen bekérni, kifejezetten – legalább egy preambulumbekezdésben – meg kell említeni a rendeletjavaslat szövegében.

53.

A javaslatnak továbbá egyértelművé kell tennie, hogy a nemzeti szabályozó hatóságok csak a vizsgált piaci szereplőtől kérhetnek-e be nyilvántartásokat, vagy jogosultak-e arra is, hogy harmadik felektől (például a vizsgált piaci szereplővel bonyolított ügyletben részt vevő féltől vagy egy olyan szállodától, ahol bennfentes kereskedelemmel gyanúsított magánszemély tartózkodott) bekérjék azok saját nyilvántartásait.

54.

Végezetül a javaslatnak azt is egyértelművé kell tennie, hogy a hatóságok bekérhetik-e magánszemélyek – például a vizsgált piaci szereplő alkalmazottainak vagy ügyvezetőinek – magánnyilvántartásait (például személyes mobileszközökről küldött szöveges üzeneteit vagy személyes internethasználatra szolgáló otthoni számítógépen tárolt böngészési előzményeket).

55.

A magánnyilvántartások bekérésének arányossága vitatható, és előírása esetén azt kifejezetten meg kell indokolni.

56.

A helyszíni vizsgálatokhoz hasonlóan (lásd a fenti 35–40. bekezdést) a javaslatnak bírósági végzés meglétét, továbbá további külön biztosítékokat kell előírnia, ha a hatóságok magánnyilvántartásokat kérnek be.

57.

A határokon átnyúló együttműködés tekintetében az ACER fontos szerepet kap: figyelmezteti a nemzeti szabályozó hatóságokat az esetleges piaci visszaélésekre, és segíti az információcserét. Az együttműködés segítése érdekében a 11. cikk (2) bekezdése azt is kifejezetten előírja a nemzeti szabályozó hatóságok számára, hogy az ACER-t „a lehető legkonkrétabb formában” tájékoztassák, amikor a rendeletjavaslat bármiféle megsértésének alapos gyanúját észlelik. Az összehangolt megközelítés biztosítása érdekében a 11. cikk (3) bekezdése előírja a nemzeti szabályozó hatóságok, a hatáskörrel rendelkező pénzügyi hatóságok, az ACER, valamint az Európai Értékpapír-piaci Hatóság (a továbbiakban: az ESMA) (18) közötti információmegosztást is.

58.

A célhoz kötöttség elvével (19) összhangban a javaslatnak kifejezetten rendelkeznie kell arról, hogy a rendeletjavaslat 11. cikke alapján továbbított bármely személyes adatot (vélt piaci visszaélések bejelentése) kizárólag a bejelentett piaci visszaélések kivizsgálása céljából lehessen felhasználni. Az adatokat semmi esetre sem szabad felhasználni az adott céllal összeegyeztethetetlen célokra.

59.

Ezenkívül az adatokat nem szabad hosszú ideig megőrizni. Ez még fontosabb azokban az esetekben, amikor kimutatható, hogy az eredeti gyanú megalapozatlan volt. Ilyen esetekben az adatok további megőrzését konkrétan indokolni kell (20).

60.

Ebben a tekintetben a javaslatnak először is meg kell határoznia az adatmegőrzésnek azt a maximális időtartamát, ameddig az ACER és az információk más címzettjei megőrizhetik az adatokat, figyelembe véve az adattárolás céljait. Ha egy vélt piaci visszaélés nem vezetett egyedi vizsgálathoz, amely még mindig folyamatban van, a meghatározott időszak letelte után a bejelentett vélt piaci visszaéléssel kapcsolatos összes személyes adatot törölni kell valamennyi címzett nyilvántartásaiból. Ha hosszabb megőrzési időszak egyértelműen nem indokolt, az európai adatvédelmi biztos megítélése szerint a törlést legkésőbb a gyanú bejelentésének időpontját követő két év elteltével kell elvégezni (21).

61.

Ha a gyanú megalapozatlannak bizonyul és/vagy a vizsgálat további eljárás nélkül zárul le, a javaslatnak köteleznie kell a jelentéstevő szabályozó hatóságot, az ACER-t, valamint a vélt piaci visszaélésre vonatkozó információkhoz hozzáféréssel rendelkező minden harmadik felet, hogy mielőbb tájékoztassa ezeket a feleket, hogy ennek megfelelően frissíthessék saját nyilvántartásaikat (és/vagy azonnali hatállyal vagy – adott esetben – egy arányos megőrzési idő elteltét követően törölhessék nyilvántartásaikból a bejelentett gyanúra vonatkozó információkat) (22).

62.

Ezekkel a rendelkezésekkel biztosítható, hogy azokban az ügyekben, ahol a gyanú nem igazolódott be (vagy további vizsgálatok folynak), vagy ahol megállapítást nyert, hogy a gyanú megalapozatlan, ártatlan személyeket ne tartsanak indokolatlanul hosszú ideig „feketelistán” vagy „gyanúsítottnak” (lásd a 95/46/EK irányelv 6. cikkének e) pontját és a 45/2001/EK rendelet kapcsolódó 4. cikkének e) pontját).

63.

A rendeletjavaslat 7., 8. és 11. cikke rendelkezik az ACER, az ESMA és a tagállami hatóságok közötti adat- és információcseréről. A 14. cikk („Kapcsolatok harmadik országokkal”) értelmében az ACER „igazgatási megállapodásokat köthet nemzetközi szervezetekkel és harmadik országok közigazgatási szerveivel”. Ennek következtében előfordulhat, hogy az ACER-től és esetlegesen az ESMA-tól és/vagy a tagállami hatóságoktól személyes adatokat továbbítanak nemzetközi szervezetek és harmadik országok hatóságai számára.

64.

Az európai adatvédelmi biztos azt ajánlja, hogy a javaslat 14. cikke tegye egyértelművé, hogy személyes adatok továbbítására csak a 45/2001/EK rendelet 9. cikkével és a 95/46/EK irányelv 25. és 26. cikkével összhangban kerülhet sor. Nemzetközi adattovábbításra csak akkor kerülhet sor, ha az érintett harmadik ország megfelelő szintű védelmet biztosít, illetve megfelelő adatvédelmet nem biztosító harmadik országban letelepedett jogi vagy magánszemélyeknek csak akkor továbbíthatók adatok, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében.

65.

Az európai adatvédelmi biztos hangsúlyozza, hogy elvileg nem szabad eltéréseket (például a 45/2001/EK rendelet 9. cikkének (6) bekezdésében és az irányelv 26. cikkének (1) bekezdésében említett eltéréseket) alkalmazni harmadik országokba irányuló nagy mennyiségű, rendszeres és/vagy strukturális adattovábbítások indokolására.

66.

Az ACER, az ESMA és a különböző tagállami hatóságok között a vélt jogsértésekre vonatkozóan megosztott egyes adatok valószínűsíthetően tartalmaznak személyes adatokat, például a vélt elkövetők vagy más érintett személyek (például tanúk, névtelen bejelentők, alkalmazottak vagy a kereskedésben érintett vállalatok nevében eljáró más magánszemélyek) személyazonosságát.

67.

A 45/2001/EK rendelet 27. cikkének (1) bekezdése értelmében „az európai adatvédelmi biztos előzetesen ellenőrzi azokat az adatfeldolgozási műveleteket, amelyek jellegüknél, alkalmazási körüknél vagy céljuknál fogva külön kockázatot jelenthetnek az érintettek jogaira és szabadságaira nézve”. A 27. cikk (2) bekezdése kifejezetten megerősíti, hogy a „bűncselekmények gyanújával [és a] bűncselekményekkel […] kapcsolatos adatok feldolgozása” ilyen kockázatokat jelent és előzetes ellenőrzést tesz szükségessé. Az ACER-nek a vizsgálatok koordinációjában előirányzott szerepére való tekintettel valószínűnek tűnik, hogy fel fog dolgozni „bűncselekmények gyanújával” kapcsolatos adatokat, és így tevékenységei előzetes ellenőrzés tárgyát fogják képezni (23).

68.

Az előzetes ellenőrzési eljárás keretében az európai adatvédelmi biztos további útmutatással és egyedi ajánlásokkal szolgálhat az ACER-nek az adatvédelmi szabályoknak való megfelelés tekintetében. Az ACER tevékenységeinek előzetes ellenőrzése hozzáadott értéket is teremthet, tekintettel arra, hogy az ACER-t létrehozó 713/2009/EK rendelet nem tartalmaz a személyes adatok védelmére vonatkozó utalást, és a rendeletről az európai adatvédelmi biztos nem adott ki jogalkotási véleményt.

69.

A javaslatnak egyértelművé kell tennie, hogy feldolgozhatók-e személyes adatok a piacellenőrzés és a jelentéstétel összefüggésében, valamint azt is, hogy milyen garanciákat kell alkalmazni. Ha azonban nem várható személyesadat-feldolgozás (vagy ilyen adatfeldolgozás csak kivételesen fordulna elő és csak olyan ritka esetekre korlátozódna, amelyekben egy energia-nagykereskedő esetleg inkább magánszemély, mint jogi személy), ezt a javaslatban egyértelműen – legalább egy preambulumbekezdésben – ki kell fejteni.

70.

Az adatvédelemre, az adatbiztonságra és az elszámoltathatóságra vonatkozó rendelkezéseket egyértelművé kell tenni és tovább kell szigorítani, különösen akkor, ha a személyes adatok feldolgozása strukturálisabb szerepet játszana. A Bizottságnak gondoskodnia kell arról, hogy megfelelő ellenőrzések legyenek érvényben az adatvédelem szabályszerűségének biztosítása és bizonyítása („elszámoltathatóság”) érdekében.

71.

A javaslatnak egyértelművé kell tennie, hogy a helyszíni vizsgálatok a piaci szereplők üzleti tulajdonára (épületeire vagy helyiségeire, földterületére és járműveire) korlátozódnának, vagy magánszemélyek magántulajdonára (épületeire vagy helyiségeire, földterületére vagy járműveire) is kiterjednének. Az utóbbi esetben ennek a hatáskörnek az arányosságát és szükségességét egyértelműen meg kell indokolni, továbbá bírósági végzés meglétét és kiegészítő garanciákat is elő kell írni. Erről a rendeletjavaslatnak egyértelműen rendelkeznie kell.

72.

A „meglévő rögzített telefonbeszélgetéseket és a meglévő adatforgalmi nyilvántartásokat” előíró hatáskörök korlátait egyértelművé kell tenni. A javaslatnak egyértelműen meg kell határoznia, hogy milyen nyilvántartások kérhetők be és kitől. Azt, hogy nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtóitól nem kérhetők be adatok, kifejezetten – legalább egy preambulumbekezdésben – meg kell említeni a rendeletjavaslat szövegében. A javaslatnak azt is egyértelművé kell tennie, hogy a hatóságok bekérhetik-e magánszemélyek – például a vizsgált piaci szereplő alkalmazottainak vagy ügyvezetőinek – magánnyilvántartásait (például személyes mobileszközökről küldött szöveges üzeneteit vagy otthoni internethasználatra vonatkozó böngészési előzményeket). Ilyen esetben ennek a hatáskörnek a szükségességét és az arányosságát egyértelműen meg kell indokolni, és a javaslatnak bírósági végzés meglétét is elő kell írnia.

73.

A vélt piaci visszaélések bejelentésére vonatkozóan a javaslatnak kifejezetten rendelkeznie kell arról, hogy az ezekben a bejelentésekben szereplő bármely személyes adatot kizárólag a jelentéstétel tárgyát képező vélt piaci visszaélések kivizsgálásához lehessen felhasználni. Ha a vélt piaci visszaélés nem vezetett konkrét vizsgálathoz, amely még mindig folyamatban van (vagy ha a gyanú nem bizonyult kellően megalapozottnak és nem vezetett eredményes vizsgálathoz), egy meghatározott időszak elteltét követően (eltérő rendelkezés hiányában legkésőbb a bejelentés időpontját követő két éven belül) a jelentéstétel tárgyát képező vélt piaci visszaéléssel kapcsolatos valamennyi személyes adatot törölni kell valamennyi címzett nyilvántartásából. Ezen túlmenően az információcserében érintett feleknek értesíteniük kell egymást, amennyiben a gyanú megalapozatlannak bizonyul és/vagy a vizsgálat további eljárás nélkül lezárul.

74.

A harmadik országokba irányuló személyesadat-továbbításokra vonatkozóan a javaslatnak egyértelművé kell tennie, hogy – főszabály szerint – megfelelő adatvédelmet nem biztosító országban letelepedett jogi vagy magánszemélyeknek csak akkor továbbíthatók adatok, ha az adatkezelő megfelelő garanciákat teremt az egyének magánéletének, alapvető jogainak és szabadságainak védelme, továbbá a kapcsolódó jogok gyakorlása tekintetében.

75.

Az ACER-nek előzetes ellenőrzés céljából be kell nyújtania az európai adatvédelmi biztoshoz a rendeletjavaslat 11. cikke szerinti vizsgálatok koordinációjával kapcsolatos személyesadat-feldolgozási tevékenységeit.