Az európai adatvédelmi biztos megosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről szóló javaslatra vonatkozó véleményének összefoglalója

(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: www.edps.europa.eu)

(2021/C 229/04)

Az európai adatvédelmi biztos hangsúlyozza, hogy a személyes adatok védelme nem jelenti az innováció, és különösen a pénzügyi ágazatban alkalmazható új technológiák kifejlesztésének akadályát. Ugyanakkor emlékeztet arra, hogy a személyes adatok kezelésével járó innovatív technológiákra vonatkozóan uniós szinten elfogadott intézkedéseknek meg kell felelniük a szükségesség és az arányosság általános elveinek. Ezen túlmenően, tekintettel arra, hogy nem látjuk át teljes mértékben ezen új technológiáknak a társadalmunkra gyakorolt hatását, az európai adatvédelmi biztos véleménye szerint az elővigyázatosság elvén alapuló megközelítést kell követni.

Az európai adatvédelmi biztos megjegyzi, hogy a DLT konfigurációjától függően az abban tárolt metaadatok vagy ügyleti adatok személyes adatnak minősülhetnek, amennyiben azonosított vagy azonosítható természetes személyre vonatkoznak. Ezért az adatkezelőknek körültekintően elemezniük és dokumentálniuk kell a DLT konfigurációját annak megállapítása érdekében, hogy annak révén személyes adatok kezelésére kerül-e sor, és következésképpen a műveletekre vonatkoznak az adatvédelmi kötelezettségek.

Az európai adatvédelmi biztos kiemeli, hogy az egyes – különösen a nyilvános és engedélyhez nem kötött – digitális főkönyvek mögött álló technológia alapvető kérdéseket vet fel az adatvédelmi követelményekkel való összeegyeztethetőségét illetően.

Az európai adatvédelmi biztos azt az álláspontot képviseli, hogy a javaslat hatálybalépése előtt a DLT rendszereknek általában véve az adatvédelmi keretrendszerrel való összeegyeztethetőségére vonatkozó vitára kell, hogy sor kerüljön.

Az európai adatvédelmi biztos megjegyzi, hogy a láncon belüli személyes adatokat tartalmazó DLT-k esetében az azokhoz kapcsolódó adatkezelési műveletek valószínűleg meg fognak felelni az adatkezelési művelet magas kockázattal járóként történő besorolására vonatkozó kritériumoknak. Ezért az adatkezelőnek a személyes adatok kezelése előtt a tervezett adatkezelési műveletek vonatkozásában adatvédelmi hatásvizsgálatot kell végeznie. Ezenkívül szükség lehet az illetékes adatvédelmi hatóság előzetes hozzájárulására.

Az európai adatvédelmi biztos azt ajánlja, hogy a javaslat a DLT piaci infrastruktúra működtetése iránti kérelemhez kapcsolódó információk részeként adott esetben kérje a tervezett adatkezelési műveletekre vonatkozó alapvető információkat. Azt javasolja továbbá, hogy a DLT piaci infrastruktúrák működtetői ugyanott tegyék közzé az adatvédelmi nyilatkozatot, mint – a javaslat által megköveteltek szerint – a működési információkat.

Az európai adatvédelmi biztos hangsúlyozza, hogy a javaslatban a DLT piaci infrastruktúrák működtetésére vonatkozóan előirányzott informatikai és kiberszabályozásnak az általános adatvédelmi rendelet 22. és 32. cikkében előírt kötelezettségekkel is összhangban kell állnia. (1)

Végül, a működési problémák DLT piaci infrastruktúrák működtetői által jelentésével összefüggésben az európai adatvédelmi biztos javasolja, hogy egy preambulumbekezdésben emlékeztessenek arra, hogy adatvédelmi incidensek esetén ezeket a működtetőnek az általános adatvédelmi rendelet 33. cikkével összhangban az illetékes adatvédelmi hatóságnak, és adott esetben az általános adatvédelmi rendelet 34. cikkével összhangban az érintetteknek is be kell jelentenie.

3. HÁTTÉRINFORMÁCIÓK

2020. szeptember 24-én az Európai Bizottság elfogadta a megosztott főkönyvi technológián alapuló piaci infrastruktúrák kísérleti rendszeréről szóló európai parlamenti és tanácsi rendeletre vonatkozó javaslatát (COM(2020) 594 final) (a továbbiakban: javaslat). A javaslat harmonizált követelményeket állapít meg bizonyos piaci résztvevők, nevezetesen befektetési vállalkozások, piacműködtetők vagy központi értéktárak számára annak érdekében, hogy felügyelt környezetben, a pénzügyi szabályozásnak való megfelelés alóli konkrét mentességek alkalmazása mellett a digitális főkönyvi technológián alapuló piaci infrastruktúrák (a továbbiakban: DLT piaci infrastruktúra) működtetésére irányuló engedélyt kérelmezzenek és kapjanak. Közelebbről, a javaslatnak négy célja van: a kriptoeszközökkel kapcsolatos jogbiztonság biztosítása, a pénzügyi stabilitás biztosítása, a fogyasztók és a befektetők védelme, továbbá a blokklánc, a megosztott főkönyvi technológia és a kriptoeszközök használatára irányuló innováció elősegítése.

E javaslat egy csomag részét képezi, amely magában foglal még egy, a kriptoeszközök piacainak kialakítására irányuló rendeletjavaslatot (2) (a kriptoeszközök piacairól szóló rendelet), egy, a digitális működési rezilienciára vonatkozó javaslatot (3) (a digitális működési rezilienciáról szóló rendelet) és egy, bizonyos kapcsolódó pénzügyi szolgáltatásokra vonatkozó uniós szabályok pontosítására és módosítására irányuló javaslatot (4). Az európai adatvédelmi biztos arra számít, hogy az (EU) 2018/1725 rendelet 42. cikke (1) bekezdésének megfelelően a csomaghoz tartozó további rendeletekkel kapcsolatban is konzultálni fognak vele.

2021. február 26-án az Európai Bizottság az (EU) 2018/1725 rendelet 42. cikke (1) bekezdésének megfelelően felkérte az európai adatvédelmi biztost, hogy adjon véleményt a javaslatról. Ezek az észrevételek a javaslat adatvédelmi szempontból releváns rendelkezéseire szorítkoznak.

5. KÖVETKEZTETÉSEK

A fentiekre tekintettel az európai adatvédelmi biztos:

—	emlékeztet arra, hogy a személyes adatok védelme nem jelenti az innováció, és különösen a pénzügyi ágazatban alkalmazható új technológiák kifejlesztésének akadályát.

—

kiemeli, hogy az egyes – különösen a nyilvános és engedélyhez nem kötött – digitális főkönyvek mögött álló technológia az adatvédelmi követelmények tekintetében alapvető konceptuális kérdéseket vet fel; ezért azt ajánlja, hogy a javaslat hatálybalépése előtt kerüljön sor vitára arról, hogy hogyan biztosítható a DLT rendszereknek az adatvédelmi keretrendszerrel való összeegyeztethetősége.

—	hangsúlyozza, hogy azok a kriptoeszközök, amelyekkel a javaslat hatálya alá tartozó DLT piaci infrastruktúrákban kereskednek, csak olyan kriptoeszközök lehetnek, amelyek az adatvédelmi keretrendszernek megfelelő DLT konfigurációt használnak.

—

javasolja, hogy a működtetőtől a DLT piaci infrastruktúra működtetése iránti kérelme keretében megkövetelt információk között adott esetben szerepeljen a személyes adatokat érintő tervezett adatkezelési műveletek felsorolása, a DLT piaci infrastruktúrán belül az egyes szereplők szerepeinek és felelősségének az általános adatvédelmi rendelet szerinti hozzárendelése, valamint az adatvédelem tekintetében a várt főbb kockázatok és kockázatcsökkentési stratégiák.

—	hangsúlyozza, hogy a javaslatban a DLT piaci infrastruktúrák működtetésére vonatkozóan előirányzott informatikai és kiberszabályozásnak az általános adatvédelmi rendelet 22. és 32. cikkében előírt kötelezettségekkel is összhangban kell állnia.

—

javasolja, hogy a működési problémák DLT piaci infrastruktúrák működtetői által jelentésével összefüggésben egy preambulumbekezdésben emlékeztessenek arra, hogy adatvédelmi incidensek esetén ezeket a működtetőnek az általános adatvédelmi rendelet 33. cikkével összhangban az illetékes adatvédelmi felügyeleti hatóságnak, és adott esetben az általános adatvédelmi rendelet 34. cikkével összhangban az érintetteknek is be kell jelentenie.

Brüsszel, 2021. április 23.

Wojciech Rafał WIEWIÓROWSKI

(1) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(2) A kriptoeszközök piacairól és az (EU) 2019/1937 irányelv módosításáról szóló európai parlamenti és tanácsi rendeletre vonatkozó javaslat, COM(2020) 593 final. Elérhető: EUR-Lex - 52020PC0593 - HU - EUR-Lex (europa.eu)

(3) A pénzügyi ágazat digitális működési rezilienciájáról és az 1060/2009/EK rendelet, a 648/2012/EU rendelet, a 600/2014/EU rendelet, valamint a 909/2014/EU rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre vonatkozó javaslat, COM(2020) 595 final, elérhető: EUR-Lex - 52020PC0595 - HU - EUR-Lex (europa.eu)

(4) A 2006/43/EK irányelv, a 2009/65/EK irányelv, a 2009/138/EK irányelv, a 2011/61/EU irányelv, a 2013/36/EU irányelv, a 2014/65/EU irányelv, az (EU) 2015/2366 irányelv és az (EU) 2016/2341 irányelv módosításáról szóló európai parlamenti és tanácsi irányelvre vonatkozó javaslat, COM(2020) 596 final. Elérhető: EUR-Lex - 52020PC0596 - HU - EUR-Lex (europa.eu)