15.5.2012   

NL

Publicatieblad van de Europese Unie

C 139/6

1.

Dit advies maakt deel uit van een pakket van vier EDPS-adviezen inzake de financiële sector, die allemaal op dezelfde dag zijn uitgebracht.

2.

Op 15 november 2011 heeft de Commissie een voorstel aangenomen tot wijziging van Verordening (EG) nr. 1060/2009 inzake ratingbureaus (hierna „Ratingbureauverordening” te noemen) (3). Dit voorstel is op 18 november 2011 voor raadpleging aan de EDPS gezonden.

3.

De EDPS is ingenomen met het feit dat hij door de Commissie is geraadpleegd, en beveelt aan om in de preambule van het aangenomen voorstel een verwijzing op te nemen naar dit advies.

4.

De EDPS betreurt echter dat hij niet formeel door de Commissie is geraadpleegd bij de voorbereiding van de oorspronkelijke Ratingbureauverordening die op 7 december 2010 in werking is getreden, en evenmin met betrekking tot de recente wijzigingen aan die verordening (4).

5.

De EDPS acht het derhalve gepast en nuttig om in voorliggend advies problemen aan de orde te stellen die verband houden met de bestaande Ratingbureauverordening. Ten eerste benadrukt hij de mogelijke gevolgen van de Ratingbureauverordening zelf voor de gegevensbescherming. Ten tweede is de in dit advies voorgestelde analyse van rechtstreeks belang voor de toepassing van de bestaande wetgeving en voor andere in behandeling zijnde en mogelijk toekomstige voorstellen die soortgelijke bepalingen bevatten, zoals besproken in de EDPS-adviezen over het wetgevingspakket tot herziening van de bankwetgeving, markten voor financiële instrumenten (MiFID/MiFIR) en marktmisbruik.

6.

Ratingbureaus zijn naar het oordeel van de Commissie belangrijke financiële marktdeelnemers en dienen aan een passend rechtskader te worden onderworpen. De eerste Ratingbureauverordening is op 7 december 2010 in werking getreden. Krachtens deze verordening moeten ratingbureaus voldoen aan strikte gedragsregels om mogelijke belangenconflicten te ondervangen en een hoge kwaliteit en een voldoende transparantie van de ratings en het ratingproces te waarborgen. Bestaande ratingbureaus hadden tot 7 september 2010 de tijd om zich te laten registreren en aan de vereisten van de verordening te voldoen.

7.

Op 1 juni 2011 is een verordening tot wijziging van de Ratingbureauverordening (Verordening (EU) nr. 513/2011) aangenomen. Krachtens deze verordening worden aan de Europese Autoriteit voor effecten en markten (European Securities and Markets Authority — ESMA) exclusieve bevoegdheden met betrekking tot het toezicht op in de EU geregistreerde ratingbureaus toevertrouwd teneinde de registratie van en het toezicht op dergelijke ratingbureaus op Europees niveau te centraliseren en te vereenvoudigen.

8.

Het huidige wetgevingsvoorstel wijzigt de Ratingbureauverordening, maar komt niet in de plaats daarvan. De voornaamste beleidsdoelstelling van de voorgestelde herziening is het aanpakken van een aantal kwesties die verband houden met ratingbureaus en het ratinggebruik en waarin de Ratingbureauverordening in haar huidige vorm niet ver genoeg gaat.

9.

De meeste bepalingen van de Ratingbureauverordening hebben betrekking op de uitoefening van en het toezicht op de werkzaamheden van ratingbureaus. Toch kunnen de uitvoering en de toepassing van het rechtskader in bepaalde gevallen gevolgen hebben voor de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.

10.

De Ratingbureauverordening voorziet in de mogelijkheid om informatie uit te wisselen tussen de ESMA, de bevoegde autoriteiten en de sectorale bevoegde autoriteiten en, waar mogelijk, derde landen (5). Die informatie kan ook betrekking hebben op natuurlijke personen, zoals bij ratingactiviteiten betrokken personen en personen die op een andere wijze nauw en wezenlijk te maken hebben met of verbonden zijn met ratingbureaus of ratingactiviteiten. Voor de betrokken natuurlijke personen kunnen deze bepalingen bepaalde gevolgen hebben op het gebied van gegevensbescherming.

11.

Gelet op hetgeen voorafgaat, is voorliggend advies gericht op de volgende aspecten van de Ratingbureauverordening die betrekking hebben op de bescherming van de persoonlijke levenssfeer en persoonsgegevens: 1) toepasselijkheid van de gegevensbeschermingswetgeving; 2) gegevensdoorgiften naar derde landen; 3) toegang tot vastleggingen van telefoon- en dataverkeer; en 4) informatieverplichtingen betreffende gestructureerde financieringsinstrumenten en dwangsommen.

12.

In verschillende overwegingen (7) van de Ratingbureauverordening wordt melding gemaakt van het Handvest van de grondrechten van de Europese Unie, Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001. Er moet echter in een materieel artikel van de Ratingbureauverordening een verwijzing worden opgenomen naar de toepasselijke gegevensbeschermingswetgeving.

13.

Een goed voorbeeld van een dergelijke materiële bepaling is terug te vinden in artikel 22 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) (8). Daarin wordt uitdrukkelijk als algemene regel gesteld dat Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 van toepassing zijn op de verwerking van persoonsgegevens die binnen het kader van het voorstel vallen. Over dit voorstel brengt de EDPS vandaag een advies uit, waarin dit soort overkoepelende bepaling sterk wordt toegejuicht. De EDPS stelt echter voor de verwijzing naar Richtlijn 95/46/EG duidelijker te maken door nader te specificeren dat de bepalingen gelden overeenkomstig de nationale regels ter uitvoering van Richtlijn 95/46/EG.

14.

Dat is bijvoorbeeld relevant voor de diverse bepalingen inzake de uitwisseling van persoonsgegevens. Ook al zijn die bepalingen volkomen rechtmatig, ze moeten worden toegepast in overeenstemming met de gegevensbeschermingswetgeving. Zo moet met name het risico worden vermeden dat die bepalingen worden opgevat als blancovolmacht om alle soorten persoonsgegevens uit te wisselen. Dat risico kan aanzienlijk worden verkleind door te verwijzen naar de gegevensbeschermingswetgeving, ook in de materiële bepalingen (9).

15.

De EDPS stelt derhalve voor een soortgelijke materiële bepaling in te voegen als vermeld in artikel 22 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) (10), mits daarbij rekening wordt gehouden met de door hem gedane suggesties bij dit voorstel (11), te weten de toepasselijkheid van de gegevensbeschermingswetgeving benadrukken en de verwijzing naar Richtlijn 95/46/EG duidelijker maken door nader te specificeren dat de bepalingen gelden overeenkomstig de nationale regels ter uitvoering van Richtlijn 95/46/EG.

16.

De EPDS neemt nota van de verwijzing naar Verordening (EG) nr. 45/2001 in artikel 34, lid 3, van de Ratingbureauverordening betreffende de doorgifte van persoonsgegevens aan derde landen.

17.

Gelet op de risico's die gepaard gaan met dergelijke gegevensdoorgiften, doet de EDPS echter de aanbeveling te zorgen voor specifieke waarborgen, net als in artikel 23 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik). In zijn advies over dit voorstel acht de EDPS het positief dat een dergelijke bepaling wordt gebruikt om te zorgen voor passende waarborgen, zoals een beoordeling per geval, het aantonen van de noodzaak van de doorgifte en het bestaan van een passend beschermingsniveau van persoonsgegevens in het derde land dat de persoonsgegevens ontvangt.

18.

Artikel 23 quater, lid 1, onder e), bepaalt dat de ESMA, om haar taken krachtens deze verordening uit te voeren, alle nodige onderzoeken kan verrichten. Daartoe zijn de functionarissen en andere door de ESMA gemachtigde personen bevoegd alle vastleggingen van telefoon- en dataverkeer op te vragen. Door deze ruime formulering roept de bepaling verscheidene twijfels op met betrekking tot de materiële en persoonlijke werkingssfeer. Bovendien heeft de ESMA volgens de Ratingbureauverordening voorafgaande toestemming van een rechterlijke instantie nodig om vastleggingen van telefoon- en dataverkeer op te vragen indien het nationale recht dat voorschrijft (14).

19.

De begrippen „vastleggingen van telefoon- en dataverkeer” worden niet gedefinieerd in de voorgestelde verordening. Richtlijn 2002/58/EG (nu, als gewijzigd door Richtlijn 2009/136/EG, „de e-privacy-richtlijn” genoemd) verwijst alleen naar „verkeersgegevens”, maar maakt geen melding van „vastleggingen van telefoon- en dataverkeer”. Het spreekt vanzelf dat de precieze betekenis van die begrippen bepaalt welke gevolgen de onderzoeksbevoegdheid kan hebben voor de bescherming van de persoonlijke levenssfeer en persoonsgegevens van de betrokken personen. De EDPS stelt dan ook voor om de bestaande terminologie te gebruiken, zoals gedefinieerd onder „verkeersgegevens” in Richtlijn 2002/58/EG.

20.

Gegevens met betrekking tot het gebruik van elektronische communicatiemiddelen kunnen uiteenlopende persoonlijke informatie bevatten, zoals de identiteit van de personen die een oproep doen of ontvangen, het tijdstip en de duur van het telefoongesprek, het gebruikte netwerk, de geografische locatie van de gebruiker in geval van draagbare apparaten enz. Sommige verkeersgegevens over het gebruik van internet en e-mail (bijvoorbeeld de lijst van bezochte websites) kunnen daarnaast belangrijke details met betrekking tot de inhoud van de communicatie onthullen. Bovendien is de verwerking van verkeersgegevens in strijd met de geheimhouding van correspondentie. Richtlijn 2002/58/EG bevat dan ook de verplichting om verkeersgegevens te wissen of anoniem te maken wanneer ze niet langer nodig zijn voor de transmissie van communicatie (15). Volgens artikel 15, lid 1, van deze richtlijn, kunnen de lidstaten in de nationale wetgeving om specifieke gegronde redenen hiervan afwijken, maar deze afwijkingen moeten in een democratische samenleving noodzakelijk, redelijk en evenredig met de doeleinden zijn (16).

21.

De EDPS erkent dat de doelstellingen die in de Ratingbureauverordening worden nagestreefd door de Commissie, legitiem zijn. Hij begrijpt dat het nodig is maatregelen te nemen om het toezicht op de financiële markten te verscherpen, teneinde deze markten gezond te houden en de beleggers en de economie in brede zin beter te beschermen. Een onderzoeksbevoegdheid die direct verband houdt met de verkeersgegevens, moet gezien haar potentieel indringende aard beantwoorden aan de vereisten van noodzakelijkheid en evenredigheid, d.w.z. dat ze zich moeten beperken tot wat gepast is om het doel te bereiken en niet verder dan nodig mag gaan (17). In dit opzicht is het van essentieel belang dat de bevoegdheid duidelijk geformuleerd is wat betreft de persoonlijke en materiële werkingssfeer en de omstandigheden waarin en de voorwaarden waaronder ze kan worden gebruikt. Verder moeten er gepaste waarborgen worden ingevoerd tegen het risico van misbruik.

22.

Artikel 23 quater verleent de ESMA de bevoegdheid om onderzoeken uit te voeren naar bij ratingactiviteiten betrokken personen en personen die op een andere wijze nauw en wezenlijk te maken hebben met of verbonden zijn met ratingbureaus of ratingactiviteiten. Op grond van artikel 23 ter kan van deze natuurlijke personen ook worden verlangd dat zij de ESMA alle nodig geachte informatie verstrekken.

23.

Die bepalingen impliceren duidelijk dat persoonsgegevens worden uitgewisseld ingevolge de Ratingbureauverordening. Het is waarschijnlijk — of althans niet uit te sluiten — dat de betrokken vastleggingen van telefoon- en dataverkeer persoonsgegevens omvatten in de zin van Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 en, voor zover relevant, Richtlijn 2002/58/EG, d.w.z. gegevens betreffende het telefoon- en dataverkeer van geïdentificeerde of identificeerbare natuurlijke personen (18). Zolang dit het geval is, moet worden verzekerd dat volledig voldaan is aan de voorwaarden voor een eerlijke en rechtmatige verwerking van persoonsgegevens, als vastgelegd in de richtlijnen en de verordening.

24.

De EDPS neemt er nota van dat krachtens artikel 23 quater, lid 5, toestemming van een rechterlijke instantie moet worden gevraagd indien het nationale recht dat voorschrijft. De EDPS is evenwel van mening dat een algemeen vereiste betreffende voorafgaande toestemming van de rechter in alle gevallen — ongeacht of het nationale recht dat voorschrijft — gerechtvaardigd zou zijn gezien de mogelijke indringendheid van de bevoegdheid in kwestie en de keuze van de verordening als passend rechtsinstrument. Er moet ook in overweging worden genomen dat diverse wetten van lidstaten voorzien in bijzondere waarborgen inzake onschendbaarheid van de woning als bescherming tegen onevenredige of niet strikt gereguleerde inspecties, huiszoekingen of inbeslagnemingen, vooral wanneer die worden uitgevoerd door instellingen van administratieve aard.

25.

Zoals hierboven in punt 2.1. is opgemerkt, is de bevoegdheid van toezichthoudende autoriteiten om vastleggingen van telefoon- en dataverkeer op te vragen, niet nieuw in de Europese wetgeving. Deze is reeds opgenomen in verscheidene bestaande richtlijnen en verordeningen met betrekking tot de financiële sector. Met name de marktmisbruikrichtlijn (19), de MiFID-richtlijn (20), en de UCITS-richtlijn (21) bevatten allemaal soortgelijke bepalingen. Hetzelfde geldt voor een aantal recente voorstellen dat is goedgekeurd door de Commissie, met name de voorstellen voor een richtlijn inzake beheerders van alternatieve beleggingsfondsen (22), een verordening betreffende baissetransacties en bepaalde aspecten van kredietverzuimswaps (23) en een verordening betreffende de integriteit en transparantie van energiemarkten (24).

26.

Met betrekking tot deze bestaande en voorgestelde wetgevende instrumenten moet er een onderscheid worden gemaakt tussen de onderzoeksbevoegdheden die worden toegekend aan nationale autoriteiten en de toekenning van dergelijke bevoegdheden aan EU-autoriteiten. Verscheidene instrumenten verplichten de lidstaten de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen toe te kennen aan nationale autoriteiten in overeenstemming met de nationale wetgeving (25). Bijgevolg is de eigenlijke uitvoering van deze verplichting gebonden aan de nationale wetgeving, met inbegrip van de wetgeving tot omzetting van Richtlijn 95/46/EG en Richtlijn 2002/58/EG en andere nationale wetten die procedurele waarborgen voor nationale toezichthoudende en onderzoekende autoriteiten bevatten.

27.

Een dergelijke voorwaarde is niet opgenomen in de Ratingbureauverordening of in de andere wetgevende instrumenten die de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen, direct toekennen aan de EU-autoriteiten. Bijgevolg is het in deze gevallen zelfs nog belangrijker dat er in het wetgevende instrument zelf een verduidelijking komt van de persoonlijke en materiële werkingssfeer van deze bevoegdheid en de omstandigheden waarin en de voorwaarden waaronder deze kan worden gebruikt en dat er een gepaste bescherming tegen misbruik is.

28.

Artikel 23 quater, lid 1, onder e), geeft de ESMA de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen. Zoals hieronder uitgelegd, is de werkingssfeer van de bepaling en met name de precieze betekenis van „vastleggingen van telefoon- en dataverkeer” niet duidelijk.

29.

De betekenis van „vastleggingen van telefoon- en dataverkeer” is niet helemaal duidelijk. Er is bijgevolg verduidelijking nodig. De bepaling kan verwijzen naar vastleggingen van telefoon- en dataverkeer die de ratingbureaus moeten bijhouden in het kader van hun activiteiten. De verordening specificeert echter niet of en wanneer vastleggingen van telefoon- en dataverkeer moeten worden verzameld door de ratingbureaus (26). Indien de bepaling verwijst naar vastleggingen die worden bijgehouden door de ratingbureaus, is het derhalve van essentieel belang dat precies wordt gedefinieerd welke categorieën van telefoon- en dataverkeer moeten worden bijgehouden en kunnen worden opgevraagd door de ESMA. Overeenkomstig het evenredigheidsbeginsel moeten deze gegevens gepast, relevant en niet overdreven zijn naar verhouding van de toezichtdoeleinden waarvoor ze worden verwerkt (27).

30.

In dit geval is meer precisie vereist met name gezien de zware geldboeten en dwangsommen die kunnen worden opgelegd aan ratingbureaus en andere personen (waaronder natuurlijke personen wat betreft de dwangsommen) wegens niet-inachtneming van de verordening (zie artikel 36 bis en artikel 36 ter).

31.

Er dient ook te worden opgemerkt dat het hierboven genoemde artikel 37 aan de Commissie de bevoegdheid delegeert om wijzigingen goed te keuren die de Commissie het recht geven om de bijlagen bij de verordening te wijzigen, waarin nader bepaald is welke eisen inzake de bewaring van vastleggingen worden opgelegd aan ratingbureaus, en bijgevolg ook, indirect, de bevoegdheden die worden toegekend door de ESMA om vastleggingen van telefoon- en dataverkeer op te vragen. Artikel 290 VWEU bepaalt dat de bevoegdheid om niet-wetgevingshandelingen van algemene strekking vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling in een wetgevingshandeling aan de Commissie kan worden overgedragen. De EDPS is van mening dat de exacte omvang van de bevoegdheid om verkeersgegevens te raadplegen, niet kan worden beschouwd als een niet-essentieel onderdeel van de verordening. De materiële werkingssfeer daarvan moet derhalve direct in de tekst van de verordening worden opgegeven en niet worden uitgesteld tot toekomstige gedelegeerde handelingen.

32.

De EDPS begrijpt dat artikel 23 quater, lid 1, onder e) niet tot doel heeft de ESMA direct bij telecommunicatieaanbieders toegang te geven tot verkeersgegevens. Dit lijkt de logische conclusie, met name omdat er in de verordening nergens wordt verwezen naar de gegevens die worden gehouden door telecommunicatieaanbieders of de eisen die worden gesteld door de e-privacy-richtlijn, als vermeld in punt 36 hierboven (28). Hij raadt echter aan deze conclusie ten behoeve van de duidelijkheid uitdrukkelijker op te nemen in artikel 23 quater van de Ratingbureauverordening door de gegevens die worden gehouden door telecommunicatieaanbieders uitdrukkelijk uit te sluiten.

33.

Wordt echter overwogen om direct bij telecommunicatieaanbieders toegang te geven tot verkeersgegevens, dan heeft de EDPS ernstige twijfels bij de noodzaak en evenredigheid van dit toegangsrecht. De EDPS beveelt derhalve aan dit recht uitdrukkelijk uit te sluiten.

34.

Artikel 23 quater, lid 1, onder e) gaat niet in op de omstandigheden waarin en de voorwaarden waaronder de toegang kan worden verkregen. Dit artikel voorziet evenmin in belangrijke procedurele waarborgen tegen het risico van misbruik. In de volgende alinea's doet de EDPS een aantal concrete voorstellen in die richting.

35.

Overeenkomstig artikel 23 quater, lid 1 heeft de ESMA de bevoegdheid vastleggingen van telefoon- en dataverkeer op te vragen om de in de Ratingbureauverordening vermelde taken te kunnen uitvoeren. De EDPS is van mening dat de omstandigheden en voorwaarden voor de uitoefening van deze bevoegdheid duidelijker moeten worden bepaald. De EDPS raadt aan de toegang tot vastleggingen van telefoon- en dataverkeer te beperken tot specifiek geïdentificeerde en ernstige schendingen van de voorgestelde verordening en gevallen waarin een redelijk vermoeden (dat moet worden gestaafd door concreet initieel bewijs) bestaat dat er een schending is gebeurd. Deze beperking is ook bijzonder belangrijk om te voorkomen dat de toegangsbevoegdheid wordt gebruikt voor phishing, datamining of andere doeleinden.

36.

De EDPS beveelt bovendien aan om de ESMA ertoe te verplichten gebruik te maken van een officiële beschikking om vastleggingen van telefoon- en dataverkeer op te vragen. Deze beschikking moet de rechtsgrondslag en het doel van het verzoek specificeren, alsmede welke informatie er nodig is, de tijdslimiet waarbinnen de informatie moet worden verstrekt en het recht van de betrokkene om tegen de beschikking in beroep te gaan bij het Hof van Justitie.

37.

In het huidige wijzigingsvoorstel van de Ratingbureauverordening (29) is bij het voorgestelde artikel 8 bis betreffende informatie over gestructureerde financieringsinstrumenten bepaald dat de uitgevende instelling, de initiator en de sponsor van een gestructureerd financieringsinstrument informatie openbaar maakt over de kredietkwaliteit en prestaties van de afzonderlijke onderliggende activa van het gestructureerde financieringsinstrument, de structuur van de securitisatietransactie, de kasstromen en alle zekerheden ter dekking van een securitisatie-uitzetting alsook de informatie die nodig is om omvangrijke en op goede informatie gebaseerde stresstests op de kasstromen en de waarde van de zekerheden voor de onderliggende uitzettingen te kunnen uitvoeren. De verplichting tot openbaarmaking van informatie strekt zich niet uit tot de verstrekking van informatie die inbreuk zou maken op wettelijke bepalingen welke van toepassing zijn op de bescherming van de vertrouwelijkheid van de informatiebronnen of de verwerking van persoonsgegevens.

38.

Dit artikel is bedoeld voor de uitgevende instelling, de initiator en de sponsor van een gestructureerd financieringsinstrument. Het verheugt de EDPS dat in het huidige wijzigingsvoorstel van de Ratingbureauverordening bij het voorgestelde artikel 8 bis is bepaald dat de verplichting tot openbaarmaking van informatie zich niet uitstrekt tot de verstrekking van informatie die inbreuk zou maken op wettelijke bepalingen welke van toepassing zijn op de bescherming van de vertrouwelijkheid van de informatiebronnen of de verwerking van persoonsgegevens.

39.

De EDPS is van mening dat het een stap in de goede richting is om op die wijze de nadruk te leggen op de waarborgen die worden geboden door de wetten inzake de verwerking van persoonsgegevens. Aansluitend bij de aanbevelingen die hierboven zijn gedaan, moet echter in een materieel artikel van de Ratingbureauverordening duidelijk en expliciet worden verwezen naar de nationale regels ter uitvoering van Richtlijn 95/46/EG.

40.

Volgens artikel 36 quinquies van de Ratingbureauverordening maakt de ESMA alle opgelegde dwangsommen openbaar, tenzij die openbaarmaking de financiële markten ernstig in gevaar zou brengen of onevenredige schade zou toebrengen aan de betrokken partijen.

41.

Overeenkomstig artikel 36 ter en artikel 23 ter, lid 1 kunnen dwangsommen worden opgelegd aan bij ratingactiviteiten betrokken personen en personen die op een andere wijze nauw en wezenlijk te maken hebben met of verbonden zijn met ratingbureaus of ratingactiviteiten.

42.

De Ratingbureauverordening verleent de ESMA zo de bevoegdheid om sancties op te leggen, niet alleen aan kredietinstellingen, maar ook aan de natuurlijke personen aan wie de schending materieel kan worden toegerekend. In dezelfde geest verplicht artikel 36 quinquies de ESMA elke dwangsom openbaar te maken die wordt opgelegd wegens schending van de voorgestelde verordening.

43.

De bekendmaking van sancties kan het afschrikkend effect van sanctieregelingen verbeteren door feitelijke en potentiële daders te ontmoedigen inbreuken te plegen ter voorkoming van aanzienlijke reputatieschade. Dit zou ook een grotere transparantie bewerkstelligen door marktexploitanten ervan bewust te maken dat een bepaalde persoon een schending heeft begaan. Deze verplichting wordt alleen beperkt wanneer de bekendmaking de betrokken partijen onevenredige schade zou berokkenen. In dit geval maken de bevoegde autoriteiten de sancties zonder vermelding van namen bekend.

44.

De EDPS is er niet van overtuigd dat de verplichte bekendmaking van sancties, zoals die nu wordt voorgesteld, voldoet aan de vereisten van de gegevensbeschermingswetgeving. Een en ander wordt duidelijk gemaakt in het arrest dat het Hof van Justitie heeft gewezen in de zaak Schecke  (31). De EDPS stelt zich op het standpunt dat het doel, de noodzaak en evenredigheid van de maatregel niet genoegzaam worden aangetoond, en dat er hoe dan ook moet worden gezorgd voor passende waarborgen om de rechten van natuurlijke personen te vrijwaren.

45.

In het arrest in de zaak Schecke heeft het Hof van Justitie de bepalingen nietig verklaard van een verordening van de Raad en een verordening van de Commissie betreffende de verplichte bekendmaking van informatie over de begunstigden van steun uit landbouwfondsen, met inbegrip van de identiteit van de begunstigden en de uit die fondsen ontvangen bedragen. Het Hof heeft geoordeeld dat die bekendmaking is aan te merken als de verwerking van persoonsgegevens in de zin van artikel 8, lid 2, van het Europees Handvest van de grondrechten (het „Handvest”) en bijgevolg strekt tot inmenging in de bij artikelen 7 en 8 van het Handvest erkende rechten.

46.

Het Hof heeft eerst gekeken naar het vereiste dat „uitzonderingen op en beperkingen van de bescherming van persoonsgegevens, binnen de grenzen van het strikt noodzakelijke moeten blijven” en heeft vervolgens het doel en de evenredigheid van die bekendmaking beoordeeld. Het Hof is tot de slotsom gekomen dat in casu niets erop wees dat de Raad en de Commissie bij de vaststelling van de wetgeving in kwestie vormen van bekendmaking van informatie in overweging hebben genomen die in overeenstemming zouden zijn met de doelstelling van een dergelijke bekendmaking, maar tegelijkertijd het recht van deze begunstigden minder zouden aantasten.

47.

Het lijkt erop dat artikel 36 quinquies van de Ratingbureauverordening dezelfde tekortkomingen vertoont als door het Europees Hof van Justitie gesignaleerd in het arrest in de zaak Schecke. Er zij aan herinnerd dat het, ter beoordeling of een bepaling die verplicht tot het openbaar maken van persoonsgegevens voldoet aan de eisen inzake gegevensbescherming, van cruciaal belang is dat een duidelijk, welomschreven doel bestaat dat de voorgenomen bekendmaking beoogt te bereiken. Alleen met een duidelijk, welomschreven doel kan worden beoordeeld of de bekendmaking van de betrokken persoonsgegevens echt noodzakelijk en evenredig is (32).

48.

De EDPS meent daarom dat het doel en bijgevolg ook de noodzaak van deze maatregel niet duidelijk vaststaan. In de overwegingen van de Ratingbureauverordening wordt nergens ingegaan op deze kwesties. Is het algemeen nagestreefde doel de versterking van de afschrikkende werking, dan had de Commissie bijvoorbeeld moeten uitleggen waarom niet kon worden volstaan met zwaardere financiële of andere sancties (die verder gaan dan het openlijk aan de kaak stellen („naming en shaming”) van de overtreders).

49.

Bovendien had de Commissie minder indringende methoden in overweging moeten nemen, zoals een bekendmaking die beperkt blijft tot ratingbureaus of waarover per geval wordt beslist. Met name de laatste keuzemogelijkheid lijkt prima facie een evenrediger oplossing.

50.

De mogelijkheid om het geval te beoordelen rekening houdend met de specifieke omstandigheden maakt deze oplossing naar het oordeel van de EDPS echter evenrediger zodat deze optie de voorkeur geniet boven een verplichte bekendmaking in alle gevallen. Deze beoordelingsmarge kan bijvoorbeeld de ESMA vrijlaten om bekendmaking te voorkomen bij schendingen die minder ernstig zijn, die geen schade van betekenis veroorzaken, waarbij de betrokken partij zich coöperatief heeft opgesteld enz.

51.

De Ratingbureauverordening had moeten voorzien in passende waarborgen om te zorgen voor een billijk evenwicht tussen de verschillende belangen die in het geding zijn. Ten eerste zijn er waarborgen nodig ten aanzien van het recht van de betrokken personen om bezwaar aan te tekenen en het vermoeden van onschuld. Wat dat betreft, had de Commissie in de tekst van artikel 36 quinquies een specifieke formulering moeten opnemen om de ESMA te verplichten passende maatregelen te nemen, zowel in het geval dat bezwaar kan worden aangetekend tegen het besluit, als in het geval dat dit besluit uiteindelijk nietig wordt verklaard door een rechter (33).

52.

Ten tweede moet de Ratingbureauverordening waarborgen dat de rechten van de betrokkenen op proactieve wijze in acht worden genomen. De EDPS stelt het op prijs dat de Ratingbureauverordening voorziet in de mogelijkheid om de bekendmaking uit te sluiten wanneer de betrokken partijen daardoor onevenredige schade zou worden toegebracht. Een proactieve aanpak dient echter te impliceren dat de betrokkenen op voorhand ervan in kennis worden gesteld dat het besluit tot oplegging van een dwangsom zal worden bekendgemaakt, en dat hun overeenkomstig artikel 14 van Richtlijn 95/46/EG het recht wordt verleend op grond van zwaarwegende en gerechtvaardigde redenen daartegen bezwaar aan te tekenen (34).

53.

Ten derde, hoewel de Ratingbureauverordening niet duidelijk aangeeft op welk medium de informatie moet worden bekendgemaakt, is het in de praktijk goed denkbaar dat de informatie op het internet wordt bekendgemaakt. Publicaties op het internet doen specifieke problemen en risico's rijzen die meer in het bijzonder verband houden met de noodzaak om de informatie niet langer online te houden dan nodig is en om te beletten dat de gegevens worden bewerkt of gewijzigd. Bij het gebruik van externe zoekmachines ontstaat ook het risico dat de informatie uit haar context wordt gelicht en via het internet of daarbuiten wordt verspreid op minder gemakkelijk te controleren wijzen (35).

54.

Gelet op hetgeen voorafgaat, is het noodzakelijk de ESMA te verplichten ervoor te zorgen dat de persoonsgegevens van de betrokken personen slechts gedurende een redelijke tijdsperiode online blijven, waarna ze systematisch worden verwijderd (36). Voorts dienen de lidstaten ervoor te zorgen dat passende veiligheidsmaatregelen en waarborgen worden vastgesteld, meer in het bijzonder ter bescherming tegen risico's in verband met het gebruik van externe zoekmachines (37).

55.

De EDPS is van mening dat de verplichte bekendmaking van dwangsommen, zoals die nu wordt voorgesteld, niet strookt met de grondrechten op bescherming van de persoonlijke levenssfeer en persoonsgegevens. De wetgever dient de noodzaak van het voorgestelde systeem zorgvuldig te beoordelen en dient na te gaan of de bekendmakingsverplichting verder gaat dan wat nodig is om de nagestreefde doelstelling van algemeen belang te bereiken dan wel of diezelfde doelstelling met minder beperkende maatregelen kan worden bereikt. Ongeacht de uitkomst van deze evenredigheidstoetsing moet de bekendmakingsverplichting hoe dan ook worden ondersteund door passende waarborgen om ervoor te zorgen dat het vermoeden van onschuld en het recht van bezwaar van de betrokken personen in acht wordt genomen, dat de gegevens afdoende worden beveiligd en nauwkeurig zijn en dat ze na een gepaste tijdsperiode worden verwijderd.

56.

De EDPS beveelt aan: