23.9.2011   

LT

Europos Sąjungos oficialusis leidinys

C 279/20

1.

2010 m. gruodžio 8 d. Europos Komisija priėmė Europos Parlamento ir Tarybos reglamento dėl energijos rinkos vientisumo ir skaidrumo pasiūlymą (3) (toliau – pasiūlymas).

2.

Komisija nesikonsultavo su EDAPP, nors tai numatyta Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalyje. Veikdamas savo iniciatyva, EDAPP priima šią nuomonę pagal šio reglamento 41 straipsnio 2 dalį. EDAPP žino, kad ši konsultacija yra teikiama vėlyvu teisėkūros proceso etapu. Vis dėlto jis mano, kad šią nuomonę reikia ir yra naudinga pateikti, nes pasiūlymas gali turėti didelę įtaką privatumo teisei ir asmens duomenų apsaugai. Į pasiūlymo preambulę reikėtų įtraukti nuorodą į šią nuomonę.

3.

Pagrindinis pasiūlymo tikslas – neleisti manipuliuoti rinka ir naudotis viešai neatskleista informacija didmeninėse energijos (dujų ir elektros) rinkose. Rinkos vientisumas ir didmeninių rinkų, kuriose dujas ir elektrą gaminančios įmonės parduoda energiją prekiautojams, skaidrumas yra pagrindiniai galutinės vartotojų mokamos kainos veiksniai.

4.

Šiuo tikslu pasiūlymu siekiama nustatyti išsamias ES lygmens taisykles norint neleisti prekiautojams naudotis viešai neatskleista informacija ir manipuliuoti rinka dirbtinai padarant kainas didesnes nei jos galėtų būti atsižvelgiant į energijos prieinamumą, gamybos sąnaudas, energijos laikymo ir gabenimo pajėgumus. Pasiūlytomis taisyklėmis visų pirma draudžiama:

5.

Už Europos lygmens rinkos stebėseną siekiant atskleisti galimus šių draudimų pažeidimus bus atsakinga Europos energetikos reguliavimo institucijų bendradarbiavimo agentūra (ACER) (4).

6.

Kaip nustatyta pasiūlyme, ACER galės laiku gauti informacijos apie didmeninėse energijos rinkose vykstančias operacijas. Ši informacija apima kainą, parduotą kiekį ir susijusias šalis. Be to, šiais masiškai gaunamais duomenimis bus dalijamasi su nacionalinėmis reguliavimo institucijomis, kurios bus atsakingos už įtariamų piktnaudžiavimo atvejų tyrimą. Tarpvalstybinio masto atvejais ACER turės įgaliojimus koordinuoti tyrimus. Nacionalinės valstybių narių reguliavimo institucijos taikys sankcijas.

7.

Pasiūlymas yra vienas iš daugelio naujų teisės aktų pasiūlymų, kuriais numatoma griežtinti esamus finansų priežiūros susitarimus ir gerinti ES lygmens koordinaciją bei bendradarbiavimą, įskaitant Direktyvą dėl prekybos vertybiniais popieriais, pasinaudojant viešai neatskleista informacija, ir manipuliavimo rinka (MAD) (5) ir Direktyvą dėl reikalavimų finansinių priemonių rinkoms (MiFID) (6). EDAPP neseniai pateikė pastabas dėl kito neseniai pateikto pasiūlymo (7).

8.

Pasiūlyme yra keletas nuostatų, susijusių su asmens duomenų apsauga:

9.

Pasiūlymas yra pagrįstas prielaida, kad norint nustatyti piktnaudžiavimą rinka i) reikalinga veiksmingai veikianti rinkos stebėsenos sistema, kuria naudojantis galima laiku gauti visus operacijų duomenis, ir kad ii) tai turėtų apimti ES lygmens stebėseną. Taigi vadovaudamasi pasiūlytu reglamentu ACER gali rinkti, peržiūrėti ir dalytis (su atitinkamomis nacionalinėmis ir ES institucijomis) dideliu masiškai iš didmeninių energijos rinkų gaunamų duomenų kiekiu.

10.

Konkrečiai kalbant, pasiūlytame reglamente reikalaujama, kad rinkos dalyviai ACER pateiktų didmeninių energijos produktų „operacijų įrašus“. Be to, rinkos dalyviai ACER turi pateikti ne tik operacijų įrašus, bet ir informaciją, susijusią su „elektros energijos ar gamtinių dujų gamybos, laikymo, vartojimo ar perdavimo infrastruktūros pajėgumais“.

11.

Pateiktinos informacijos forma, turinys ir laikas bus nurodyti Komisijos deleguotuosiuose aktuose.

12.

Atsižvelgiant į tai, kad, vadovaujantis pasiūlymu, informacijos, surenkamos šios stebėsenos sistemoje ir naudojantis ataskaitų teikimo procedūra, turinys nustatomas tik deleguotaisiais aktais, neatmestina galimybė, kad bus įtraukta asmens duomenų (tai yra bus įtraukta visa informacija, susijusi su fiziniu asmeniu, kurio tapatybė nustatyta arba gali būti nustatyta (8)). Vadovaujantis dabartiniais ES teisės aktais, tai leidžiama tik kai tai yra būtina ir proporcinga konkrečiam tikslui (9). Todėl pasiūlytame reglamente turėtų būti aiškiai nurodyta, ar stebėsenos tikslais surinktoje operacijų įrašų ir pajėgumų informacijoje gali būti asmens duomenų ir kiek (10).

13.

Jei numatytas asmens duomenų tvarkymas, gali prireikti imtis konkrečių apsaugos priemonių, pavyzdžiui, susijusių su duomenų saugojimo tikslu, saugojimo laikotarpiu ir potencialiais informacijos gavėjais. Atsižvelgiant į šių duomenų esmę, jų apsaugos priemones reikėtų tiesiogiai išdėstyti pasiūlyto reglamento tekste, o ne deleguotuosiuose aktuose.

14.

Jei, priešingai, tvarkyti asmens duomenų nenumatoma (arba jie būtų tvarkomi tik išskirtiniais atvejais ir apsiribojant retais atvejais, kai didmeninis energijos prekiautojas būtų asmuo, o ne juridinis subjektas), tai reikėtų aiškiai apibrėžti pačiame pasiūlyme, bent jau konstatuojamojoje jo dalyje.

15.

9 straipsnio 1 dalyje nurodyta, kad tvarkydama pagal 7 straipsnį gaunamą informaciją (t. y. operacijų įrašus ir pajėgumų informaciją, surinktą vykdant rinkos stebėseną) ACER „užtikrina konfidencialumą, vientisumą ir apsaugą“. Be to, 9 straipsnyje nustatyta, kad, „jei reikia“, tvarkydama asmens duomenis pagal 7 straipsnį ACER „vadovausis“ Reglamentu (EB) Nr. 45/2001.

16.

Be to, 9 straipsnio 1 dalyje nustatyta, kad ACER „nustato funkcinės rizikos šaltinius ir ją mažina kurdama atitinkamas sistemas, kontrolę ir tvarką“.

17.

Galiausiai pagal 9 straipsnio 2 dalį ACER gali viešinti dalį turimos informacijos, „jeigu komerciniu požiūriu neskelbtina informacija apie atskirus rinkos dalyvius ir atskiras operacijas nebus atskleista“.

18.

EDAPP pritaria tam, kad 9 straipsnis iš dalies yra skirtas duomenims apsaugoti ir kad pasiūlytame reglamente ACER konkrečiai nurodyta laikytis Reglamento (EB) Nr. 45/2001.

19.

Tačiau EDAPP pabrėžia, kad Reglamentas (EB) Nr. 45/2001 ACER tvarkant asmens duomenis visada yra taikomas visas remiantis šiuo reglamentu. Todėl pasiūlyme turėtų būti priminta, kad Reglamentas (EB) Nr. 45/2001 turi būti taikomas ne tik tada, kai ACER tvarko duomenis pagal 7 straipsnį, bet ir visais kitais atvejais, ypač ACER tvarkant duomenis, susijusius su įtariamu piktnaudžiavimu rinka ir (arba) jos pažeidimais pagal 11 straipsnį. Be to, konkrečiau kalbant, EDAPP rekomenduoja vietoje termino „jei reikia“, kuriuo apibūdinamos situacijos, kai ACER turi laikytis Reglamento (EB) Nr. 45/2001, vartoti frazę „visada tvarkant asmens duomenis“.

20.

Be to, reikėtų remtis Direktyva 95/46/EB, nes ji yra taikoma susijusioms nacionalinėms institucijoms tvarkant asmens duomenis. Iš tiesų, kad būtų aiškiau, EDAPP rekomenduoja pasiūlytame reglamente bendrais bruožais užsiminti (bent jau konstatuojamojoje jo dalyje), kad ACER turi laikytis Reglamento (EB) Nr. 45/2001, o susijusioms nacionalinėms reguliavimo institucijoms taikoma Direktyva 95/46/EB.

21.

EDAPP pritaria reikalavimui, kad ACER turėtų nustatyti funkcinės rizikos šaltinius ir ją mažinti kurdama atitinkamas sistemas, kontrolę ir tvarką. Siekiant toliau stiprinti atskaitingumo principą (11), jei duomenų tvarkymo reikšmė yra didelė, pasiūlytame reglamente turėtų būti konkretus reikalavimas ACER nustatyti aiškią atskaitingumo sistemą, kuria būtų užtikrinama duomenų apsauga ir pateikiami jos įrodymai. Šią aiškią ACER sukurtą sistemą turėtų sudaryti tokie elementai,

22.

Be to, tokie patys reikalavimai turėtų būti taikomi nacionalinėms reguliavimo institucijoms ir kitoms susijusioms ES institucijoms.

23.

Atsižvelgdamas į 9 straipsnio 2 dalies reikalavimą ACER viešinti dalį turimos informacijos, EDAPP supranta, kad šios nuostatos tikslas nėra leisti ACER skelbti duomenis siekiant „nurodyti ir sugėdyti“ ar viešai atskleisti įmonių ir asmenų nusižengimus.

24.

Taigi pasiūlyme nenurodyta, ar siekiama viešai atskleisti kokius nors asmens duomenis. Todėl, siekiant išvengti neaiškumų, pasiūlytame reglamente reikėtų konkrečiai nurodyti, kad skelbiamoje informacijoje nėra jokių asmens duomenų, arba patikslinti, kokius asmens duomenis galima atskleisti, jei apskritai reikia tai daryti.

25.

Jei skelbiami bet kokie asmens duomenys, reikia atidžiai apsvarstyti atskleidimo (pvz., skaidrumo tikslais) poreikį ir palyginti jį su kitais aspektais, pavyzdžiui, poreikiu apginti privatumo teises ir susijusių asmenų asmens duomenų apsauga.

26.

Taigi visada prieš atskleidžiant duomenis reikėtų įvertinti proporcingumą, atsižvelgiant į kriterijus, kuriuos Europos Teisingumo Teismas nustatė nagrinėdamas Schecke bylą (13). Šioje byloje ETT pabrėžė, kad leidžiančios nukrypti nuostatos ir apribojimai, susiję su asmens duomenų apsauga, turi būti taikomi tik tiek, kiek tai yra reikalinga. ETT toliau teigė, jog Europos institucijos turėtų išnagrinėti įvairius informacijos skelbimo metodus, kad išsiaiškintų, kuris iš jų atitinka skelbimo tikslą ir kuriuo mažiausiai pažeidžiamos duomenų subjekto asmeninio gyvenimo teisės ir duomenų apsauga.

27.

Pasiūlyme numatyta, kad atlikus rinkos stebėseną ir įtarus piktnaudžiavimą rinka bus atliekamas tyrimas ir gali būti taikomos atitinkamos sankcijos. Visų pirma pagal 10 straipsnio 1 dalį reikalaujama, kad valstybės narės nacionalinėms reguliavimo institucijoms suteiktų būtinus įgaliojimus atlikti tyrimus siekiant užtikrinti, kad būtų taikomos reglamento nuostatos dėl naudojimosi viešai neatskleista informacija ir manipuliavimo rinka (14).

28.

EDAPP pritaria 10 straipsnio 1 dalies patikslinimui, kad i) įgaliojimais atlikti tyrimus bus naudojamasi (tik) siekiant užtikrinti, kad būtų taikomos reglamento nuostatos dėl naudojimosi viešai neatskleista informacija bei manipuliavimo rinka (3 ir 4 straipsniai) ir kad ii) šiais įgaliojimais būtų naudojamasi proporcingai.

29.

Taigi pasiūlymu turėtų būti labiau užtikrintas teisinis aiškumas ir tinkamas asmens duomenų apsaugos lygis. Kaip nurodyta toliau, yra dvi pagrindinės problemos dėl pasiūlyto 10 straipsnio teksto. Pirma, 10 straipsnyje nepakankamai aiškiai nurodytas įgaliojimų atlikti tyrimus mastas; pavyzdžiui, nepakankamai aišku, ar galima reikalauti privačių telefono skambučių įrašų ir atlikti patikrinimus vietoje asmens namuose. Antra, 10 straipsnyje taip pat nenurodytos būtinos procedūrinės apsaugos priemonės, taikytinos siekiant išvengti nepagrįsto kišimosi į privatumą ar netinkamo duomenų naudojimo; pavyzdžiui, nereikalaujama teisminės institucijos orderio.

30.

Ir įgaliojimų atlikti tyrimus mastas, ir būtinos apsaugos priemonės, matyt, paliktos nustatyti nacionalinėje teisėje. Iš tiesų pagal 10 straipsnio 1 dalį valstybės narės turi daug galimybių rinktis, nes joje nustatyta, kad įgaliojimus atlikti tyrimus galima vykdyti „a) tiesiogiai, b) bendradarbiaujant su kitomis institucijomis ar rinkos įmonėmis arba c) pagal prašymą kompetentingoms teisminėms institucijoms“. Taigi valstybės gali elgtis skirtingai, pavyzdžiui, spręsdamos, kada ir kokiomis aplinkybėmis reikalingas teisminės institucijos orderis.

31.

Kai kuriuose nacionalinės teisės aktuose jau gali būti nustatytos atitinkamos procedūrinės ir duomenų apsaugos priemonės, tačiau, siekiant užtikrinti duomenų subjektams teisinį aiškumą, pasiūlytame reglamente reikėtų pateikti konkrečius paaiškinimus ir išdėstyti konkrečius būtiniausius ES lygmens procedūrinių ir apsaugos priemonių reikalavimus, kaip bus aptarta toliau.

32.

Apskritai EDAPP pabrėžia, kad kai ES teisės aktuose valstybėms narėms nurodyta imtis pagrindinėms teisėms (pavyzdžiui, teisei į privatumą ir asmens duomenų apsaugą) poveikį turinčių nacionalinio lygmens priemonių, teisės aktuose taip pat turėtų būti nurodyta vienu metu taikyti veiksmingas priemones ir ribojamąsias priemones siekiant užtikrinti pagrindinių teisių, kurioms kyla pavojus, apsaugą. Kitaip tariant, remiantis geriausia patirtimi, reikėtų suderinti ne tik priemones, kuriomis potencialiai galima pažeisti privatumą, pavyzdžiui, įgaliojimus atlikti tyrimus, bet ir atitinkamas procedūrines ir duomenų apsaugos priemones.

33.

Taikant šį metodą būtų galima išvengti pernelyg didelių nacionalinio lygmens skirtumų ir užtikrinti didesnę bei vienodesnę asmens duomenų apsaugą visoje Europos Sąjungoje.

34.

Jei būtiniausių apsaugos priemonių suderinti šiuo etapu negalima, EDAPP rekomenduoja į pasiūlytą reglamentą įtraukti bent jau konkretų reikalavimą, kad valstybės narės priimtų įgyvendinimo priemones būtinoms procedūrinėms ir duomenų apsaugos priemonėms užtikrinti. Tai ypač svarbu, nes pasirinkta teisinės priemonės forma yra reglamentas, kuris tiesiogiai taikomas ir kuriam įgyvendinti valstybės narės paprastai neturi taikyti jokių kitų įgyvendinimo priemonių.

35.

Pasiūlyme nustatyta, kad į nacionalinėms reguliavimo institucijoms suteikiamus įgaliojimus reikia konkrečiai įtraukti įgaliojimus atlikti patikrinimus vietoje (10 straipsnio 2 dalies c punktas).

36.

Neaišku, ar būtų tikrinama tik rinkos dalyvio įmonės nuosavybė (patalpos, žemės valdos ir transporto priemonės), ar taip pat galima tikrinti asmenų privačią nuosavybę (patalpas, žemės valdas ar transporto priemones). Be to, neaišku, ar galima atlikti patikrinimus iš anksto neįspėjus (netikėtus patikrinimus).

37.

Jei Komisija numatys reikalavimą, kad valstybės narės leistų reguliavimo institucijoms atlikti asmenų privačios nuosavybės patikrinimus vietoje arba atlikti netikėtus patikrinimus, visų pirma tai reikėtų aiškiai nurodyti.

38.

Antra, EDAPP taip pat pabrėžia, kad privačios nuosavybės patikrinimų vietoje (pavyzdžiui, privačiuose asmens namuose) proporcingumas tikrai nėra akivaizdus ir, jei jis numatomas, jį reikėtų konkrečiai pagrįsti.

39.

Trečia, šiuo atveju gali prireikti ir papildomų apsaugos priemonių, ypač atsižvelgiant į sąlygas, kuriomis galima atlikti tokius patikrinimus. Pavyzdžiui, pasiūlyme, be apribojimų turėtų būti nurodyta, jog patikrinimus vietoje asmens namuose galima atlikti tik tada, jei yra pagrįstas ir konkretus įtarimas, kad įrodymai, kurie yra svarbūs norint įrodyti šiurkštų reglamento 3 ir 4 straipsnių (t. y. nuostatų dėl draudimo naudotis viešai neatskleista informacija ir manipuliuoti rinka) pažeidimą, yra laikomi konkrečiuose namuose. Be to, svarbu, kad pasiūlyme būtų reikalaujama gauti teisminės institucijos orderį visose valstybėse narėse (15).

40.

Ketvirta, siekiant užtikrinti proporcingumą ir išvengti pernelyg didelio kišimosi į privatų gyvenimą, patikrinimams privačiuose namuose, apie kuriuos nepranešama, turėtų būti taikoma papildoma sąlyga, kad pranešus apie apsilankymą įrodymai greičiausiai būtų sunaikinti arba sugadinti. Pasiūlytame reglamente reikėtų tai aiškiai numatyti.

41.

10 straipsnio 2 dalies d punkte nustatyta, kad į nacionalinių reguliavimo institucijų įgaliojimus taip pat reikėtų konkrečiai įtraukti įgaliojimus „reikalauti esamų telefonų skambučių ir esamo duomenų srauto įrašų“.

42.

EDAPP supranta telefonų skambučių ir duomenų srauto įrašų reikšmę naudojimosi viešai neatskleista informacija atvejais, ypač siekiant nustatyti viešai neatskleistos informacijos turėtojų ir prekiautojų ryšius. Taigi šių įgaliojimų mastas nepakankamai aiškus ir nėra numatytų tinkamų procedūrinių ir duomenų apsaugos priemonių. Todėl EDAPP rekomenduoja patikslinti pasiūlymą, kaip aptariama toliau. Ypač svarbu atsižvelgti į šias problemas:

43.

Siekiant teisinio apibrėžtumo, pasiūlyme pirmiausia turėtų būti paaiškinta, kokio pobūdžio įrašų, kai reikia, institucijos gali reikalauti.

44.

Pasiūlyme įgaliojimų atlikti tyrimus mastas turėtų būti konkrečiai apribotas ir apimti i) telefono skambučių, e. laiškų ir kitų duomenų srauto įrašų, kuriuos prekiautojai įprastai ir teisėtai renka verslo tikslais operacijoms įrodyti, turinį ir b) srauto duomenis (pavyzdžiui, kas skambino ar siuntė informaciją, kam ir kada), kuriuos jau galima gauti iš susijusių rinkos dalyvių (prekiautojų).

45.

Be to, pasiūlyme taip pat turėtų būti nurodyta, kad įrašus reikia rinkti teisėtais tikslais ir laikantis galiojančių duomenų apsaugos teisės aktų, įskaitant atitinkamos informacijos teikimą duomenų subjektams pagal Direktyvos 95/46/EB 10 ir 11 straipsnius.

46.

EDAPP pritaria tam, kad šie įgaliojimai taikomi tik „esamiems“ įrašams ir todėl nenurodoma naudojantis reguliavimo institucijų įgaliojimais įpareigoti prekiautoją ar trečiąją šalį konkrečiai sustabdyti, stebėti, įrašyti telefonų skambučių ar duomenų srauto tyrimo tikslais.

47.

Tačiau siekiant išvengti bet kokių neaiškumų, šį siekį reikėtų patikslinti, bent jau konstatuojamoje pasiūlymo dalyje. Neturėtų likti jokio pagrindo pasiūlyto reglamento interpretacijoms, kad nacionalinės reguliavimo institucijos turėtų teisinį pagrindą nutraukti, stebėti, įrašyti telefonų skambučius ar duomenų perdavimus tiek slaptai ar atvirai, tiek su orderiu ar be jo.

48.

Pasiūlymo tekste kalbama apie „esamų telefonų skambučių ir esamo duomenų srauto įrašus“. Nepakankamai aišku, ar gali prireikti ir esamų duomenų bei telefono pokalbių turinio, ir srauto duomenų (pvz., kas skambimo ar siuntė informaciją, kam ir kada).

49.

Pasiūlyto reglamento nuostatose reikėtų tai patikslinti. Kaip nurodyta 43–45 punktuose, reikėtų konkrečiai paaiškinti, kokio pobūdžio įrašų gali būti reikalaujama, be to, pirmiausia reikėtų užtikrinti, kad šie įrašai būtų surenkami laikantis galiojančių duomenų apsaugos teisės aktų.

50.

Pasiūlyme turėtų būti nedviprasmiškai patikslinta, iš ko nacionalinės reguliavimo institucijos gali reikalauti įrašų. Atsižvelgdamas į tai EDAPP supranta, kad 10 straipsnio 2 dalies d punktu nesiekiama leisti nacionalinėms institucijoms reikalauti srauto duomenų iš „viešai prieinamų elektroninių ryšių paslaugų“ (16) teikėjų (pavyzdžiui, telefono paslaugų įmonių ar interneto paslaugų teikėjų).

51.

Iš tiesų pasiūlyme visiškai neužsimenama apie tokius teikėjus, be to, nevartojamas terminas „srauto duomenys“. Svarbu ir tai, kad jame nei tiesiogiai, nei netiesiogiai neužsimenama, jog bus naudojamos leidžiančios nukrypti nuostatos, nurodytos E. privatumo direktyvoje (17), kurioje nustatytas bendrasis principas, kad srauto duomenis toliau tvarkyti galima tik tada, kai reikia abonementams pateikti sąskaitas ir atsiskaityti už tinklų sujungimą.

52.

Siekiant išvengti bet kokių neaiškumų, EDAPP rekomenduoja pasiūlyto reglamento tekste, bent jau konstatuojamojoje jo dalyje, aiškiai nurodyti, kad jame nėra jokio teisinio pagrindo reikalauti duomenų iš viešai prieinamų elektroninių ryšių paslaugų teikėjų.

53.

Pasiūlyme reikėtų patikslinti, ar nacionalinės reguliavimo institucijos gali reikalauti įrašų tik iš tiriamo rinkos dalyvio, ar jos taip pat turi įgaliojimus reikalauti įrašų iš trečiųjų šalių (pavyzdžiui, iš šalies, vykdančios operaciją su tiriamu rinkos dalyviu, ar viešbučio, kuriame buvo apsistojęs asmuo, įtariamas pasinaudojęs viešai neatskleista informacija).

54.

Galiausiai pasiūlyme taip pat reikėtų patikslinti, ar institucijos gali reikalauti asmenų, pavyzdžiui, darbuotojų ar tiriamo rinkos dalyvio vadovo, privačių įrašų (pavyzdžiui, teksto pranešimų, išsiųstų iš asmeninių mobiliųjų įrenginių, ar namų kompiuteryje saugomos naršymo internete istorijos).

55.

Privačių įrašų reikalavimo proporcingumas yra abejotinas, o jei jis yra numatytas, jį reikėtų konkrečiai pagrįsti.

56.

Kaip ir vykdant patikrinimus vietoje (žr. 35–41 punktus), pasiūlyme reikėtų nurodyti gauti orderį iš teisminės institucijos ir naudoti kitas konkrečias apsaugos priemones, jei institucijos reikalauja kokių nors privačių įrašų.

57.

Kalbant apie tarpvalstybinį bendradarbiavimą, ACER suteiktas svarbus vaidmuo – įspėti nacionalines reguliavimo institucijas apie galimą piktnaudžiavimą rinka ir palengvinti keitimąsi informacija. Siekiant supaprastinti bendradarbiavimą, 11 straipsnio 2 dalyje, be to, nurodyta, kad, pagrįstai įtardamos bet kokį pasiūlyto reglamento pažeidimą, nacionalinės reguliavimo institucijos „kuo aiškiau“ turi pranešti ACER. Be to, kad metodas būtų suderintas, 11 straipsnio 3 dalyje nurodyta, jog nacionalinės reguliavimo institucijos, kompetentingos finansų institucijos, ACER ir Europos vertybinių popierių ir rinkų institucija (EVPRI) (18) turi dalytis informacija.

58.

Laikantis tikslo ribojimo principo (19), pasiūlyme turėtų būti aiškiai nurodyta, kad bet kokie pagal pasiūlyto reglamento 11 straipsnį perduodami duomenys (pranešimai apie įtariamą piktnaudžiavimą rinka) turėtų būti naudojami tik pranešto įtariamo piktnaudžiavimo rinka tyrimo tikslais. Bet kokiu atveju informacija neturėtų būti naudojama su tuo tikslu nesuderinamais tikslais.

59.

Be to, duomenys neturėtų būti ilgai saugomi. Tai dar svarbiau tais atvejais, kai galima įrodyti, jog pradiniai įtarimai buvo nepagrįsti. Tokiais atvejais reikia konkrečiai pagrįsti tolesnį saugojimą (20).

60.

Taigi pasiūlyme pirmiausia reikėtų nurodyti ilgiausią leistiną saugojimo laikotarpį, kurį ACER ir kiti informacijos gavėjai gali laikyti duomenis, atsižvelgdami į duomenų saugojimo tikslus. Praėjus nurodytam laikotarpiui visus asmens duomenis, susijusius su praneštu įtariamu piktnaudžiavimu rinka, reikėtų ištrinti iš visų gavėjų įrašų, išskyrus atvejus, kai dėl įtariamo piktnaudžiavimo rinka buvo pradėtas konkretus tyrimas ir jis dar tęsiamas. EDAPP mano, kad duomenis reikėtų ištrinti praėjus ne daugiau kaip dvejiems metams nuo pranešimo apie įtarimą, nebent ilgesnis saugojimo laikotarpis yra aiškiai pagrįstas (21).

61.

Paaiškėjus, kad įtarimai nepagrįsti ir (arba) tyrimas nutraukiamas nesiimant tolesnių veiksmų, pasiūlyme turėtų būti įpareigojimas reguliavimo institucijai, ACER ir bet kuriai kitai šaliai, galinčiai prieiti prie informacijos apie įtariamą piktnaudžiavimą rinka, greitai informuoti šias šalis, kad jos galėtų atitinkamai atnaujinti savo įrašus (ir (arba) iš karto arba praėjus atitinkamam proporcingam saugojimo laikotarpiui iš savo įrašų ištrinti informaciją apie praneštą įtarimą) (22).

62.

Šiomis nuostatomis turėtų būti užtikrinta, kad nepatvirtinus įtarimų (ar net tiriant toliau) ar nustačius, kad įtarimai nepagrįsti, nenusižengę asmenys pernelyg ilgai nebūtų įtraukti į juodąjį sąrašą ir įtariami (žr. Direktyvos 95/46/EB 6 straipsnio e punktą ir atitinkamą Reglamento (EB) Nr. 45/2001 4 straipsnio e punktą).

63.

Pasiūlyto reglamento 7, 8 ir 11 straipsniuose nustatyta, kad duomenimis ir informacija gali keistis ACER, EVPRI ir valstybių narių institucijos. 14 straipsnyje („Santykiai su trečiosiomis valstybėmis“) teigiama, kad ACER „gali sudaryti administracinius susitarimus su tarptautinėmis organizacijomis ir trečiųjų valstybių administracijomis“. Taigi asmens duomenys gali būti perduoti iš ACER ir galbūt taip pat iš EVPRI ir (arba) kitų valstybių narių institucijų tarptautinėms organizacijoms ir trečiųjų valstybių institucijoms.

64.

EDAPP rekomenduoja pasiūlymo 14 straipsnyje patikslinti, kad asmens duomenis galima perduoti tik pagal Reglamento (EB) Nr. 45/2001 9 straipsnį ir Direktyvos 95/46/EB 25 ir 26 straipsnius. Visų pirma tarptautiniai perdavimai bus galimi tik tada, jeigu trečioji valstybė užtikrins atitinkamą apsaugos lygį, o juridiniams asmenims ir asmenims trečiosiose valstybėse, kuriose nėra tinkamos apsaugos, duomenis perduoti galima tik tada, jeigu duomenų valdytojas pateikia tinkamas apsaugos priemones asmenų privatumui bei pagrindinėms teisėms ir laisvėms apsaugoti ir atitinkamoms teisėms įgyvendinti.

65.

EDAPP pabrėžia, kad leidžiančiomis nukrypti nuostatomis (pavyzdžiui, minimomis Reglamento (EB) Nr. 45/2001 9 straipsnio 6 dalyje ir direktyvos 26 straipsnio 1 dalyje), iš esmės neturėtų būti naudojamasi masiniam, sisteminiam ir (arba) struktūriniam duomenų perdavimui trečiosioms valstybėms pateisinti.

66.

Kai kuriuose su pažeidimais susijusiuose duomenyse, kuriais dalijasi ACER, EVPRI ir įvairios valstybių narių institucijos, gali būti asmens duomenų, pavyzdžiui, įtariamų nusikaltimo vykdytojų ar kitų susijusių asmenų (pvz., liudininkų, apie pažeidimus pranešusių asmenų, darbuotojų ir kitų su prekyba susijusių įmonių vardu veikiančių asmenų) tapatybės.

67.

Reglamento (EB) Nr. 45/2001 27 straipsnio 1 dalyje nurodyta, kad „tvarkymo veiksmus, galinčius kelti konkrečią riziką duomenų subjektų teisėms ir laisvėms dėl jų pobūdžio, jų apimties ar tikslų, iš anksto patikrintų Europos duomenų apsaugos priežiūros pareigūnas“. 27 straipsnio 2 dalyje konkrečiai patvirtinta, kad „tvarkant duomenis, susijusius su „įtariamais pažeidimais“ ir „pažeidimais“, kyla toks pavojus ir todėl reikalinga išankstinė patikra“. Atsižvelgiant į ACER numatytą tyrimų koordinavimo vaidmenį, gali būti, kad ji tvarkys duomenis, susijusius su „įtariamais pažeidimais“, ir dėl to jos veikla bus tikrinama iš anksto (23).

68.

Vykdydamas išankstinio patikrinimo procedūrą, EDAPP gali pateikti ACER nurodymų ir konkrečių rekomendacijų dėl duomenų apsaugos taisyklių laikymosi. Be to, išankstinis ACER veiklos tikrinimas gali turėti pridėtinės vertės, nes reglamente (EB) Nr. 713/2009, kuriuo buvo įsteigta ACER, nėra jokių nurodymų dėl asmens duomenų apsaugos ir dėl jo nebuvo pateikta EDAPP teisinė nuomonė.

69.

Pasiūlyme turėtų būti patikslinta, ar atliekant rinkos stebėseną ir teikiant ataskaitas galima tvarkyti kokius nors asmens duomenis, ir nurodyta, kokios apsaugos priemonės bus taikomos. Jei, priešingai, tvarkyti asmens duomenų nenumatoma (arba jie būtų tvarkomi tik išskirtiniais atvejais ir apsiribojant retais atvejais, kai didmeninis energijos prekiautojas būtų asmuo, o ne juridinis subjektas), tai reikėtų aiškiai apibrėžti pačiame pasiūlyme, bent jau konstatuojamojoje jo dalyje.

70.

Nuostatas dėl duomenų apsaugos, duomenų saugumo ir atskaitingumo reikėtų patikslinti ir toliau stiprinti, ypač jei duomenų tvarkymo reikšmė yra didesnė. Komisija turėtų užtikrinti tinkamas kontrolės priemones, skirtas duomenų apsaugai užtikrinti ir įrodymams pateikti („atskaitingumas“).

71.

Pasiūlyme turėtų būti patikslinta, ar galima atlikti tik rinkos dalyvio įmonės nuosavybės (patalpų ir transporto priemonių), ar taip pat asmenų privačios nuosavybės (patalpų ir transporto priemonių) patikrinimus vietoje. Antruoju atveju reikėtų aiškiai pagrįsti šių įgaliojimų būtinumą ir proporcingumą, be to, turėtų būti reikalaujama teisminės institucijos orderio ir papildomų apsaugos priemonių. Pasiūlytame reglamente reikėtų tai aiškiai numatyti.

72.

Reikėtų patikslinti įgaliojimų reikalauti „esamų telefonų skambučių ir esamo duomenų srauto įrašų“ mastą. Pasiūlyme turėtų būti nedviprasmiškai nurodyta, kokių įrašų galima reikalauti ir iš ko. Pasiūlyto reglamento tekste, bent jau konstatuojamojoje jo dalyje, reikėtų tiesiogiai paminėti, kad negalima reikalauti jokių duomenų iš viešai prieinamų elektroninių ryšių paslaugų teikėjų. Be to, pasiūlyme taip pat reikėtų patikslinti, ar institucijos gali reikalauti asmenų, pavyzdžiui, darbuotojų ar tiriamo rinkos dalyvio vadovo, privačių įrašų (pavyzdžiui, teksto pranešimų, išsiųstų iš asmeninių mobiliųjų įrenginių, ar naršymo internete namuose istorijos). Pastaruoju atveju reikėtų aiškiai pagrįsti šių įgaliojimų būtinumą ir proporcingumą, be to, pasiūlyme turėtų būti reikalaujama teisminės institucijos orderio.

73.

Kalbant apie pranešimą apie įtariamą piktnaudžiavimą rinka, pasiūlyme turėtų būti tiesiogiai nurodyta, kad bet kokie šiuose pranešimuose esantys asmens duomenys turėtų būti naudojami tik pranešto įtariamo piktnaudžiavimo rinka tyrimo tikslais. Praėjus nurodytam laikotarpiui (jei nepagrįsta kitaip, ne daugiau kaip dvejiems metams nuo paskelbimo dienos) visus asmens duomenis, susijusius su praneštu įtariamu piktnaudžiavimu rinka, reikėtų ištrinti iš visų gavėjų įrašų, išskyrus atvejus, kai dėl įtariamo piktnaudžiavimo rinka buvo pradėtas tyrimas ir jis dar tęsiamas (arba paaiškėjo, kad įtarimai pagrįsti ir sėkmingai pradėtas tyrimas). Be to, apsikeitimo informacija šalys viena kitai turėtų išsiųsti informaciją, jei paaiškėja, kad įtarimai nepagrįsti ir (arba) tyrimas nutrauktas nesiimant tolesnių veiksmų.

74.

Kalbant apie asmens duomenų perdavimą trečiosioms valstybėms, pasiūlyme turėtų būti patikslinta, kad iš esmės perduoti informaciją juridiniams asmenims ir asmenims trečiosiose valstybėse, kuriose nėra tinkamos apsaugos, galima tik tada, jeigu duomenų valdytojas pateikia tinkamas apsaugos priemones asmenų privatumui bei pagrindinėms teisėms ir laisvėms apsaugoti ir atitinkamoms teisėms įgyvendinti.

75.

ACER turėtų suteikti galimybę EDAPP iš anksto patikrinti savo asmens duomenų tvarkymo veiklą atsižvelgiant į tyrimų koordinavimo aspektą pagal pasiūlyto reglamento 11 straipsnį.