This document is an excerpt from the EUR-Lex website
Document 52021XX0615(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Pilot Regime for Market Infrastructures based on Distributed Ledger Technology (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/04
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos santrauka (Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu) 2021/C 229/04
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos santrauka (Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu) 2021/C 229/04
OL C 229, 2021 6 15, p. 13–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
2021 6 15 |
LT |
Europos Sąjungos oficialusis leidinys |
C 229/13 |
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos santrauka
(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu)
(2021/C 229/04)
2020 m. rugsėjo 24 d. Europos Komisija priėmė pasiūlymą dėl Europos Parlamento ir Tarybos reglamento dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos (COM(2020) 594 final). Pasiūlyme nustatomi suderinti reikalavimai tam tikriems rinkos dalyviams, pageidaujantiems pateikti prašymą ir gauti leidimą valdyti paskirstytojo registro technologijos (toliau – PRT) rinkos infrastruktūras.
EDAPP pabrėžia, kad asmens duomenų apsauga nesudaro kliūčių inovacijoms ir visų pirma naujų technologijų kūrimui finansų sektoriuje. Kartu jis primena, kad ES lygmeniu priimtos priemonės dėl naujoviškų technologijų, susijusių su asmens duomenų tvarkymu, turi atitikti bendruosius būtinumo ir proporcingumo principus. Be to, atsižvelgiant į tai, kad trūksta išsamaus požiūrio į šių naujų technologijų poveikį mūsų visuomenei, EDAPP mano, kad turėtų būti laikomasi atsargumo principo.
EDAPP pažymi, kad, atsižvelgiant į PRT konfigūraciją, joje saugomi metaduomenys arba sandorių duomenys gali būti laikomi asmens duomenimis, jei jie susiję su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta. Todėl duomenų valdytojai turi atidžiai išanalizuoti ir dokumentuoti PRT konfigūraciją, kad nustatytų, ar ji lemia asmens duomenų tvarkymą ir ar dėl to operacijoms taikytini duomenų apsaugos įpareigojimai.
EDAPP pabrėžia, kad dėl kai kurių paskirstytojo registro technologijų, ypač tų, kurios yra viešos ir prieinamos be leidimo, kyla esminių klausimų dėl jų suderinamumo su duomenų apsaugos reikalavimais.
EDAPP laikosi nuomonės, kad diskusijos dėl PRT sistemų suderinamumo su duomenų apsaugos sistema turėtų vykti prieš įsigaliojant pasiūlymui.
EDAPP pažymi, kad tuo atveju, kai PRT naudojami grandinėje esantys duomenys, su jais susijusios tvarkymo operacijos greičiausiai atitiks kriterijus, pagal kuriuos apdorojimo operacija priskiriama didelės rizikos kategorijai. Todėl duomenų valdytojas, prieš tvarkydamas asmens duomenis, turi atlikti numatytų duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą. Be to, gali būti reikalingas išankstinis kompetentingos duomenų apsaugos institucijos patvirtinimas.
EDAPP rekomenduoja pasiūlyme nustatyti reikalavimą, jog su prašymu valdyti su PRT rinkos infrastruktūra susijusią informaciją, kai taikytina, turi būti pateikta pagrindinė informacija apie numatomas duomenų tvarkymo operacijas. Be to, jis rekomenduoja, kad PRT rinkos infrastruktūrų operatoriai pranešimą apie privatumą skelbtų toje pačioje vietoje kaip ir veiklos informaciją, kaip reikalaujama pasiūlyme.
EDAPP pabrėžia, kad pasiūlyme dėl PRT rinkos infrastruktūrų valdymo numatytos IT ir kibernetinio saugumo priemonės taip pat turi atitikti BDAR 22 ir 32 straipsniuose nustatytus įpareigojimus. (1)
Galiausiai, PRT rinkos infrastruktūrų operatorių pranešimų apie veiklos problemas klausimu EDAPP rekomenduoja konstatuojamojoje dalyje priminti, kad apie asmens duomenų saugumo pažeidimus operatorius taip pat turi pranešti kompetentingai duomenų apsaugos institucijai pagal BDAR 33 straipsnį ir, jei taikoma, duomenų subjektams pagal BDAR 34 straipsnį.
3. PAGRINDINĖ INFORMACIJA
|
1. |
2020 m. rugsėjo 24 d. Europos Komisija priėmė pasiūlymą dėl Europos Parlamento ir Tarybos reglamento dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos (COM(2020) 594 final) (toliau – pasiūlymas). Pasiūlyme nustatomi suderinti reikalavimai konkretiems rinkos dalyviams, būtent investicinėms įmonėms, rinkos operatoriams ar centriniams vertybinių popierių depozitoriumams, pageidaujantiems pateikti prašymą ir gauti leidimą valdyti paskirstytojo registro technologijos rinkos infrastruktūras (toliau – PRT rinkos infrastruktūra) prižiūrimoje aplinkoje, taikant konkrečias išimtis dėl atitikties finansinėms taisyklėms. Visų pirma pasiūlymu siekiama keturių tikslų: užtikrinti teisinį tikrumą kriptoturto atžvilgiu, užtikrinti finansinį stabilumą, apsaugoti vartotojus ir investuotojus ir sudaryti sąlygas inovacijoms, susijusioms su blokų grandinės, paskirstytojo registro technologijų ir kriptoturto naudojimu. |
|
2. |
Šis pasiūlymas patenka į priemonių rinkinį, į kurį taip pat įtrauktas pasiūlymas dėl reglamento dėl kriptoturto rinkų sukūrimo (2) (toliau – Kriptoturto rinkų reglamentas), pasiūlymas dėl skaitmeninės veiklos atsparumo (3) (toliau – Reglamentas dėl skaitmeninės veiklos atsparumo) ir pasiūlymas paaiškinti arba iš dalies pakeisti tam tikras susijusias ES finansinių paslaugų taisykles (4). EDAPP tikisi, kad su juo taip pat bus konsultuojamasi dėl kitų paketą sudarančių reglamentų pagal Reglamento (ES) 2018/1725 42 straipsnio 1 dalį. |
|
3. |
2021 m. vasario 26 d. Europos Komisija paprašė Europos duomenų apsaugos priežiūros pareigūno (toliau – EDAPP) pagal Reglamento (ES) 2018/1725 42 straipsnio 1 dalį pateikti nuomonę dėl pasiūlymo. Šios pastabos susijusios tik su tomis pasiūlymo nuostatomis, kurios yra svarbios duomenų apsaugos požiūriu. |
5. IŠVADOS
Atsižvelgdamas į tai, kas išdėstyta pirmiau, EDAPP:
|
— |
primena, kad asmens duomenų apsauga netrukdo inovacijoms ir visų pirma naujų technologijų plėtrai, ypač finansų sektoriuje; |
|
— |
pabrėžia, kad dėl kai kurių paskirstytojo registro technologijų, ypač tų, kurios yra viešos ir prieinamos be leidimo, kyla esminių klausimų duomenų apsaugos reikalavimų požiūriu; todėl rekomenduoja, kad diskusijos dėl galimo PRT sistemų suderinamumo su duomenų apsaugos sistema užtikrinimo būdo vyktų prieš įsigaliojant pasiūlymui; |
|
— |
pabrėžia, kad į pasiūlymo taikymo sritį patenkančiose PRT rinkos infrastruktūrose turėtų būti prekiaujama tik tokiu kriptoturtu, kuriam naudojama PRT konfigūracija, atitinkanti duomenų apsaugos sistemą; |
|
— |
siūlo į informaciją, kurią operatorius turi pateikti kreipdamasis dėl leidimo valdyti PRT rinkos infrastruktūrą, kai taikytina, įtraukti numatomų tvarkymo operacijų, atliekamų su asmens duomenimis, sąrašą, kiekvieno operatoriaus funkcijų ir pareigų paskirstymą PRT rinkos infrastruktūroje pagal BDAR, taip pat pagrindinę numatomą riziką ir su duomenų apsauga susijusias rizikos mažinimo strategijas. |
|
— |
pabrėžia, kad pasiūlyme dėl PRT rinkos infrastruktūrų valdymo numatytos IT ir kibernetinio saugumo priemonės taip pat turi atitikti BDAR 22 ir 32 straipsniuose nustatytus įpareigojimus. |
|
— |
PRT rinkos infrastruktūrų operatorių pranešimų apie veiklos problemas klausimu rekomenduoja konstatuojamojoje dalyje priminti, kad apie asmens duomenų saugumo pažeidimus operatorius taip pat turi pranešti kompetentingai duomenų apsaugos institucijai pagal BDAR 33 straipsnį ir, jei taikoma, duomenų subjektams pagal BDAR 34 straipsnį. |
Briuselis, 2021 m. balandžio 23 d.
Wojciech Rafał WIEWIÓROWSKI
(1) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
(2) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl kriptoturto rinkų, kuriuo iš dalies keičiama Direktyva (ES) 2019/1937 (COM/ 2020/ 593 final). Paskelbtas adresu EUR-Lex - 52020PC0593 - LT - EUR-Lex (europa.eu)
(3) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014 (COM/2020/595 final), paskelbtas adresu EUR-Lex - 52020PC0595 - LT - EUR-Lex (europa.eu)
(4) Pasiūlymas dėl Europos Parlamento ir Tarybos direktyvos, kuria iš dalies keičiamos direktyvos 2006/43/EB, 2009/65/EB, 2009/138/ES, 2011/61/ES, (ES) 2013/36, 2014/65/ES, (ES) 2015/2366 ir (ES) 2016/2341 (COM/2020/596 final). Paskelbta EUR-Lex - 52020PC0596 - LT - EUR-Lex (europa.eu)