This document is an excerpt from the EUR-Lex website
Document 52021XX0615(02)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Regulation on digital operational resilience for the financial sector and amending Regulations (EC) 1060/2009, (EU) 648/2012, (EU) 600/2014 and (EU) 909/2014 (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/05
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014, santrauka (Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu) 2021/C 229/05
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014, santrauka (Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu) 2021/C 229/05
OL C 229, 2021 6 15, p. 16–18
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
2021 6 15 |
LT |
Europos Sąjungos oficialusis leidinys |
C 229/16 |
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014, santrauka
(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu)
(2021/C 229/05)
2020 m. rugsėjo 24 d. Europos Komisija priėmė pasiūlymą dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014 (toliau – pasiūlymas). Pasiūlymu nustatoma išsami ES finansų sektoriaus subjektų skaitmeninės veiklos atsparumo sistema, pagrįsta penkiais pagrindiniais elementais: IRT rizikos valdymu (II skyrius), incidentų valdymu, klasifikavimu ir pranešimu apie juos (III skyrius), skaitmeninės veiklos atsparumo testavimu (IV skyrius), trečiosios šalies keliamos IRT rizikos valdymu ir ypatingos svarbos IRT paslaugų teikėjų reguliavimu (V skyrius) ir dalijimusi informacija (VI skyrius).
Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) palankiai vertina pasiūlymo tikslus ir mano, kad norint užtikrinti Europos Sąjungos finansų rinkos stabilumą, būtina, kad finansų įstaigos turėtų patikimą, išsamią ir gerai dokumentais pagrįstą IRT rizikos valdymo sistemą.
EDAPP pabrėžia, kad svarbu užtikrinti, kad bet kuri duomenų tvarkymo operacija finansų subjektams vykdant veiklą būtų grindžiama vienu iš teisinių pagrindų, nustatytų BDAR 6 straipsnyje (1). Be to, EDAPP pabrėžia, kad svarbu, jog finansų subjektai savo skaitmeninėje veiklos atsparumo sistemoje įdiegtų griežtą duomenų apsaugos valdymo mechanizmą, kuriame aiškiai nurodomos duomenų valdytojo ir duomenų tvarkytojo pareigos ir atsakomybė, taip pat duomenų tvarkymo veikla, kuri bus vykdoma.
Kalbant apie tarptautinį duomenų perdavimą trečiojoje valstybėje įsisteigusioms IRT paslaugas teikiančioms trečiosioms šalims, EDAPP primena, kad bet koks tarptautinis asmens duomenų perdavimas privalo atitikti BDAR V skyriaus reikalavimus, kaip išaiškinta ESTT praktikoje, įskaitant sprendimą byloje Schrems II.
Kalbant apie finansų subjektų keitimosi žvalgybos informacija ir informacija apie kibernetinę grėsmę schemas, EDAPP pabrėžia, kad asmens duomenų apsauga nėra kliūtis dalytis žvalgybos informacija finansų sektoriuje. Priešingai, duomenų apsaugos reikalavimai turėtų būti suvokiami kaip pagrindinis reikalavimas, kurio reikėtų laikytis, kad būtų užtikrinta asmenų teisių apsauga. Atsižvelgdamas į tai, EDAPP ragina ir finansų sektoriuje priimti elgesio kodeksus pagal BDAR 40 straipsnį, visų pirma siekiant aiškiai nustatyti pagrindinių suinteresuotųjų šalių pareigas tvarkant asmens duomenis, taip pat užtikrinti sąžiningą ir skaidrų duomenų tvarkymą.
Kalbant apie administracinių baudų skelbimą, EDAPP rekomenduoja į kompetentingos institucijos svarstomus kriterijus įtraukti asmenų asmens duomenų apsaugai keliamą riziką. Be to, EDAPP primena, kad saugojimo trukmės apribojimo principas reikalauja, kad asmens duomenys būtų saugomi ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
Kalbant apie pranešimą apie duomenų pažeidimus, EDAPP pabrėžia, kad pasiūlymo 42 konstatuojamosios dalies formuluotė nesuderinama su BDAR 33 straipsniu. Todėl EDAPP rekomenduoja iš pasiūlymo 42 konstatuojamosios dalies išbraukti nuorodą į duomenų apsaugos institucijas ir šiek tiek pakeisti pasiūlymo 17 straipsnį pagal šios nuomonės rekomendacijas.
1. PAGRINDINIAI FAKTAI
|
1. |
2020 m. rugsėjo 24 d. Europos Komisija priėmė pasiūlymą dėl Reglamento dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 ir (ES) Nr. 909/2014 (toliau – pasiūlymas). Pasiūlymu nustatoma išsami ES finansų sektoriaus subjektų skaitmeninės veiklos atsparumo sistema, pagrįsta penkiais pagrindiniais elementais: IRT rizikos valdymu (II skyrius), incidentų valdymu, klasifikavimu ir pranešimu apie juos (III skyrius), skaitmeninės veiklos atsparumo testavimu (IV skyrius), trečiosios šalies keliamos IRT rizikos valdymu ir ypatingos svarbos IRT paslaugų teikėjų reguliavimu (V skyrius) ir dalijimusi informacija (VI skyrius). |
|
2. |
Šis pasiūlymas patenka į priemonių rinkinį, į kurį taip pat įtrauktas pasiūlymas dėl reglamento dėl kriptoturto rinkų sukūrimo (2) (toliau – Kriptoturto rinkų reglamentas), pasiūlymas dėl PRT grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos (3), pasiūlymas paaiškinti arba iš dalies pakeisti tam tikras susijusias ES finansinių paslaugų taisykles (4). Su EDAPP buvo konsultuojamasi dėl pasiūlymo dėl PRT grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos ir jis pateikė savo nuomonę 2021 m. balandžio 23 d (5). 2021 m. balandžio 29 d. su EDAPP taip pat buvo konsultuojamasi dėl Kriptoturto rinkų reglamento ir jis pateiks savo nuomonę pagal Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 (6) 42 straipsnio 1 dalį. |
|
3. |
2021 m. kovo 15 d. Europos Komisija paprašė Europos duomenų apsaugos priežiūros pareigūno (EDAPP) pagal Reglamento (ES) 2018/1725 42 straipsnio 1 dalį pateikti nuomonę dėl pasiūlymo. Šios pastabos susijusios tik su tomis pasiūlymo nuostatomis, kurios yra svarbios duomenų apsaugos požiūriu. |
4. IŠVADOS
Atsižvelgdamas į tai, kas išdėstyta pirmiau, EDAPP:
|
— |
pabrėžia, kad svarbu užtikrinti, kad bet kokia duomenų tvarkymo operacija, susijusi su finansų subjektų veikla, būtų grindžiama vienu iš BDAR 6 straipsnyje nustatytų teisinių pagrindų, ir nurodo BDAR 6 straipsnio 1 dalies c, e ir f punktus finansų subjektams svarstyti kaip galimus teisinius pagrindus. |
|
— |
EDAPP pabrėžia, kad svarbu, jog finansų subjektai savo skaitmeninėje veiklos atsparumo sistemoje įdiegtų griežtą duomenų apsaugos valdymo mechanizmą, kuriame aiškiai nurodomos duomenų valdytojo ir duomenų tvarkytojo pareigos ir atsakomybė, taip pat duomenų tvarkymo veikla, kuri bus vykdoma. |
|
— |
EDAPP primena, kad bet koks finansų subjektų vykdomas tarptautinis asmens duomenų perdavimas trečiojoje valstybėje įsisteigusioms IRT paslaugas teikiančioms trečiosioms šalims privalo atitikti BDAR V skyriaus reikalavimus ir, jei toks duomenų perdavimas vykdomas, jam turi būti taikomos tinkamos apsaugos priemonės, atitinkančios duomenų apsaugos sistemą ir ESTT praktiką, visų pirma „Schrems II“ bylą. Tokie finansų subjektai gali remtis standartinėmis sutarčių sąlygomis, kurių pagrindu, atrodytų, tinkamiausia perduoti duomenis. |
|
— |
EDAPP pabrėžia, kad asmens duomenų apsauga nėra kliūtis dalytis žvalgybos informacija finansų sektoriuje. Priešingai, duomenų apsaugos reikalavimai turėtų būti suvokiami kaip pagrindinis reikalavimas, kurio reikėtų laikytis siekiant užtikrinti asmenų teisių apsaugą finansų subjektų skaitmeninės veiklos atsparumo sistemoje. |
|
— |
EDAPP ragina ir finansų sektoriuje priimti elgesio kodeksus pagal BDAR 40 straipsnį, visų pirma siekiant aiškiai nustatyti pagrindinių suinteresuotųjų šalių pareigas tvarkant asmens duomenis, taip pat užtikrinti sąžiningą ir skaidrų duomenų tvarkymą. |
|
— |
Kalbant apie administracinių sankcijų skelbimą, EDAPP rekomenduoja į kompetentingos institucijos svarstomus kriterijus įtraukti asmenų asmens duomenų apsaugai keliamą riziką. |
|
— |
Laikydamasis saugojimo trukmės apribojimo principo, EDAPP rekomenduoja finansų subjektams patvirtinti priemones, kuriomis būtų užtikrinta, kad informacija apie administracines baudas būtų ištrinta iš jų interneto svetainės praėjus penkeriems metams arba anksčiau, jei ji nebereikalinga. |
|
— |
EDAPP pabrėžia, kad pasiūlymo 42 konstatuojamosios dalies formuluotė nesuderinama su BDAR 33 straipsniu. Todėl EDAPP rekomenduoja iš pasiūlymo 42 konstatuojamosios dalies išbraukti nuorodą į duomenų apsaugos institucijas ir iš dalies pakeisti pasiūlymo 17 straipsnį, įtraukiant nuorodą į pareigą pranešti apie duomenų pažeidimus atitinkamoms duomenų apsaugos institucijoms. |
|
— |
EDAPP rekomenduoja iš dalies pakeisti pasiūlymo 23 straipsnio 2 dalį, siekiant užtikrinti, kad IRT sistemų testavimas, produktų kūrimas ar tyrimai nebūtų atliekami tikralaikėse produkcijos sistemose, kuriose yra klientų asmens duomenys. |
Briuselis, 2021 m. gegužės 10 d.
Wojciech Rafał WIEWIÓROWSKI
(1) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
(2) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl kriptoturto rinkų, kuriuo iš dalies keičiama Direktyva (ES) 2019/1937 (COM/ 2020/ 593 final), paskelbtas adresu EUR-Lex - 52020PC0593 - EN - EUR-Lex (europa.eu)
(3) Pasiūlymas dėl EUROPOS PARLAMENTO IR TARYBOS REGLAMENTO dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos COM(2020)594 final, paskelbtas adresu EUR-Lex - 52020PC0594 - EN - EUR-Lex (europa.eu)
(4) Pasiūlymas dėl Europos Parlamento ir Tarybos direktyvos, kuria iš dalies keičiamos direktyvos 2006/43/EB, 2009/65/EB, 2009/138/ES, 2011/61/ES, (ES) 2013/36, 2014/65/ES, (ES) 2015/2366 ir (ES) 2016/2341 (COM/2020/596 final), paskelbtas adresu EUR-Lex - 52020PC0596 - EN - EUR-Lex (europa.eu)
(5) Nuomonė 6/2021 dėl pasiūlymo dėl paskirstytojo registro technologija grindžiamoms rinkos infrastruktūroms skirtos bandomosios tvarkos, paskelbta adresu 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)
(6) 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1727 dėl Europos Sąjungos bendradarbiavimo baudžiamosios teisenos srityje agentūros (Eurojusto) ir kuriuo pakeičiamas ir panaikinamas Tarybos sprendimas 2002/187/TVR (OL L 295, 2018 11 21, p. 138).