Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX0722(01)

Advies van de Europese toezichthouder voor gegevensbescherming over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende otc-derivaten, centrale tegenpartijen en transactieregisters

OJ C 216, 22.7.2011, p. 9–16 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

22.7.2011   

NL

Publicatieblad van de Europese Unie

C 216/9


Advies van de Europese toezichthouder voor gegevensbescherming over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende otc-derivaten, centrale tegenpartijen en transactieregisters

2011/C 216/04

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag betreffende de werking van de Europese Unie, en met name op artikel 16,

Gelet op het Handvest van de Grondrechten van de Europese Unie, en met name op artikelen 7 en 8,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1),

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2), met name op artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

1.   INLEIDING

1.

Op 15 september 2010 heeft de Commissie een voorstel goedgekeurd voor een verordening van het Europees Parlement en de Raad betreffende otc-derivaten, centrale tegenpartijen en transactieregisters (hierna „het voorstel” genoemd) (3). Het belangrijkste doel van het voorstel is gemeenschappelijke regels vast te leggen om de veiligheid en de efficiëntie van de markt voor otc-derivaten te vergroten.

2.

De EDPS is niet geraadpleegd door de Commissie, hoewel dit wordt voorgeschreven door artikel 28, lid 2, van Verordening (EG) nr. 45/2001 (hierna „Verordening (EG) nr. 45/2001” genoemd). Bijgevolg heeft de EDPS op eigen initiatief dit advies uitgevaardigd op grond van artikel 41, lid 2, van Verordening (EG) nr. 45/2001.

3.

De EDPS is zich ervan bewust dat dit advies in een relatief laat stadium in het wetgevingsproces komt. Toch acht hij het gepast en nuttig om dit advies uit te brengen. Ten eerste benadrukt hij de mogelijke gevolgen van het voorstel voor de gegevensbescherming. Ten tweede is de analyse die wordt voorgesteld in dit advies, van rechtstreeks belang voor de toepassing van de bestaande wetgeving en voor andere in behandeling zijnde en mogelijk toekomstige voorstellen die soortgelijke bepalingen bevatten, zoals uitgelegd in punt 3.4 van dit advies.

2.   ACHTERGROND EN BELANGRIJKSTE ELEMENTEN VAN HET VOORSTEL

4.

In de nasleep van de financiële crisis heeft de Commissie een herziening van de bestaande regelgeving inzake financieel toezicht op gang gebracht en voorgesteld, teneinde de aan het licht gekomen belangrijke gebreken, zowel in specifieke gevallen als met betrekking tot het financiële systeem in zijn geheel, te verhelpen. Er is recentelijk een aantal wetgevingsvoorstellen ter zake goedgekeurd teneinde de bestaande regeling inzake toezicht te versterken en de coördinatie en samenwerking op EU-niveau te verbeteren.

5.

De hervorming introduceerde in het bijzonder een beter kader voor het Europese financiële toezicht, bestaande uit een Europees Comité voor systeemrisico's (4) en een Europees Systeem van Financiële Toezichthouders (ESFT). Het ESFT bestaat uit een netwerk van nationale financiële toezichthouders die samenwerken met drie nieuwe Europese toezichthoudende autoriteiten, de Europese Bankautoriteit (EBA) (5), de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EAVB) (6) en een Europese Autoriteit voor effecten en markten (EAEM) (7). Daarnaast heeft de Commissie ook een reeks specifieke maatregelen aangenomen teneinde de regelgeving met betrekking tot specifieke gebieden of financiële producten te herzien.

6.

Eén daarvan is het onderhavige voorstel dat betrekking heeft op „over-the-counter (otc)-derivaten”, d.w.z. derivatencontracten (8) die niet op een beurs verhandeld worden, maar onderhands tussen twee tegenhangers worden gesloten. Het voorstel voert voor alle financiële tegenpartijen alsmede voor niet-financiële tegenpartijen die aan bepaalde drempelvoorwaarden voldoen, de verplichting in om alle gestandaardiseerde otc-derivatencontracten te clearen via centrale tegenpartijen (CTP's). Bovendien verplicht de voorgestelde verordening deze financiële en niet-financiële tegenpartijen om de gegevens van elk derivatencontract, alsmede elke wijziging daarin, te melden aan een geregistreerd transactieregister. Het voorstel voorziet ook in geharmoniseerde organisatorische en prudentiële vereisten voor CTP's en organisatorische en operationele vereisten voor transactieregisters. Terwijl de nationale bevoegde autoriteiten verantwoordelijk blijven voor de erkenning van en het toezicht op CTP's, worden de registratie van en het toezicht op transactieregisters volgens de voorgestelde verordening geheel toevertrouwd aan de EAEM.

3.   ANALYSE VAN DE BEPALINGEN BETREFFENDE HET OPVRAGEN VAN VASTLEGGINGEN VAN TELEFOON- EN DATAVERKEER

3.1.   Algemene opmerkingen

7.

Artikel 61, lid 2, onder d), van het voorstel geeft de EAEM de bevoegdheid om „vastleggingen van telefoon- en dataverkeer op te vragen” (cursivering toegevoegd). Zoals hieronder uitgelegd is de werkingssfeer van de bepaling en met name de precieze betekenis van „vastleggingen van telefoon- en dataverkeer” niet duidelijk. Toch is het waarschijnlijk — of althans niet uit te sluiten — dat de betrokken vastleggingen van telefoon- en dataverkeer persoonsgegevens omvatten in de zin van Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 en, voor zover relevant, Richtlijn 2002/58/EG (nu, als gewijzigd door Richtlijn 2009/136/EG, „de e-privacy-richtlijn” genoemd), d.w.z. gegevens betreffende het telefoon- en dataverkeer van geïdentificeerde of identificeerbare natuurlijke personen (9). Zolang dit het geval is, moet worden verzekerd dat volledig voldaan is aan de voorwaarden voor een eerlijke en rechtmatige verwerking van persoonsgegevens, als vastgelegd in de richtlijnen en de verordening.

8.

Gegevens met betrekking tot het gebruik van elektronische communicatiemiddelen kunnen uiteenlopende persoonlijke informatie bevatten, zoals de identiteit van de personen die een oproep doen of ontvangen, het tijdstip en de duur van het telefoongesprek, het gebruikte netwerk, de geografische locatie van de gebruiker in geval van draagbare apparaten enz. Sommige verkeersgegevens over het gebruik van internet en e-mail (bijvoorbeeld de lijst van bezochte websites) kunnen daarnaast belangrijke details met betrekking tot de inhoud van de communicatie onthullen. Bovendien is de verwerking van verkeersgegevens in strijd met de geheimhouding van correspondentie. Richtlijn 2002/58/EG bevat dan ook de verplichting om verkeersgegevens te wissen of anoniem te maken wanneer ze niet langer nodig zijn voor de transmissie van communicatie (10). De lidstaten kunnen in de nationale wetgeving om specifieke gegronde redenen hiervan afwijken, maar deze afwijkingen moeten in een democratische samenleving noodzakelijk, redelijk en evenredig met de doeleinden zijn (11).

9.

De EDPS erkent dat de doelstellingen die in dit geval worden nagestreefd door de Commissie, rechtmatig zijn. Hij begrijpt dat het nodig is maatregelen te nemen om het toezicht op de financiële markten te verscherpen, teneinde deze markten gezond te houden en de beleggers en de economie in brede zin beter te beschermen. Een onderzoeksbevoegdheid die direct verband houdt met de verkeersgegevens, moet gezien haar potentieel indringende aard beantwoorden aan de vereisten van noodzakelijkheid en evenredigheid, d.w.z. dat ze zich moeten beperken tot wat gepast is om het doel te bereiken en niet verder dan nodig mag gaan (12). In dit opzicht is het van essentieel belang dat de bevoegdheid duidelijk geformuleerd is wat betreft de persoonlijke en materiële werkingssfeer en de omstandigheden waarin en de voorwaarden waaronder ze kan worden gebruikt. Verder moeten er gepaste waarborgen worden ingevoerd tegen het risico van misbruik.

3.2.   De werkingssfeer van de bevoegdheid van de EAEM is onduidelijk

10.

Artikel 61, lid 2, onder d) stelt: „Om de in de artikelen 51 tot en met 60, 62 en 63, vermelde taken (zijnde taken met betrekking tot het toezicht op transactieregisters) te kunnen uitvoeren, heeft de EAEM de bevoegdheid […] vastleggingen van telefoon- en dataverkeer op te vragen”. Door deze ruime formulering roept de bepaling verscheidene twijfels op met betrekking tot de materiële en persoonlijke werkingssfeer.

11.

Ten eerste is de betekenis van „vastleggingen van telefoon- en dataverkeer” niet helemaal duidelijk. Er is bijgevolg verduidelijking nodig. De bepaling kan verwijzen naar vastleggingen van telefoon- en dataverkeer die de transactieregisters moeten bijhouden in het kader van hun activiteiten. Verscheidene bepalingen van de voorgestelde verordening hebben betrekking op de registratieplichten van transactieregisters (13). Geen van deze bepalingen specificeert echter of en wanneer vastleggingen van telefoon- en dataverkeer moeten worden bijgehouden door transactieregisters (14). Indien de bepaling verwijst naar vastleggingen die worden bijgehouden door de transactieregisters, is het derhalve van essentieel belang dat precies wordt gedefinieerd welke categorieën van telefoon- en dataverkeer moeten worden bijgehouden en kunnen worden opgevraagd door de EAEM. Overeenkomstig het evenredigheidsbeginsel moeten deze gegevens gepast, relevant en niet overdreven zijn naar verhouding van de toezichtdoeleinden waarvoor ze worden verwerkt (15).

12.

In dit geval is meer precisie vereist met name gezien de zware geldboeten en dwangsommen die kunnen worden opgelegd aan transactieregisters en andere personen (waaronder natuurlijke personen wat betreft de dwangsommen) wegens niet-inachtneming van de voorgestelde verordening (zie artikel 55 en 56). De geldboeten kunnen oplopen tot 20 procent van de jaarlijkse inkomsten of omzet van het transactieregister van het voorafgaande boekjaar, d.i. een drempel die tweemaal hoger is dan de maximumdrempel voor overtreding van de Europese mededingingswetgeving.

13.

Er dient ook te worden opgemerkt dat paragraaf 4 van het hierboven genoemde artikel 67 aan de Commissie de bevoegdheid delegeert om regelgevende technische normen vast te stellen waarin de nadere regels voor de informatie die de transactieregisters ter beschikking moeten stellen van de EAEM en andere autoriteiten, zijn gespecificeerd. Deze bepaling zou bijgevolg kunnen worden gebruikt om de vereisten inzake de bewaring van vastleggingen door transactieregisters te specificeren en bijgevolg ook, indirect, de bevoegdheden die worden toegekend door de EAEM om vastleggingen van telefoon- en dataverkeer op te vragen. Artikel 290 VWEU bepaalt dat in een wetgevingshandeling aan de Commissie, de bevoegdheid kan worden overgedragen om niet-wetgevingshandelingen van algemene strekking vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van de wetgevingshandeling. De EDPS is van mening dat de exacte omvang van de bevoegdheid om verkeersgegevens te raadplegen, niet kan worden beschouwd als een niet-essentieel onderdeel van de verordening. De materiële werkingssfeer daarvan moet derhalve direct in de tekst van de verordening worden opgegeven en niet wordt uitgesteld tot toekomstige gedelegeerde handelingen.

14.

Soortgelijke twijfels heersen rond de persoonlijke werkingssfeer van de bepaling in kwestie. Met name de mogelijke geadresseerden van een verzoek om vastleggingen van telefoon- en dataverkeer te overleggen, zijn niet opgegeven in artikel 61, lid 2, onder d). Het is met name niet duidelijk of de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen beperkt is tot transactieregisters (16). Aangezien de bepaling tot doel heeft de EAEM te machtigen om toezicht te houden op de transactieregisters, is de EDPS van mening dat deze bevoegdheid strikt beperkt moet worden tot alleen de transactieregisters.

15.

Ten slotte begrijpt de EDPS dat artikel 61, lid 2, onder d), niet tot doel heeft de EAEM toegang te geven tot verkeersgegevens direct van telecommunicatieaanbieders. Dit lijkt de logische conclusie, met name omdat er in het voorstel nergens wordt verwezen naar de gegevens die worden gehouden door telecommunicatieaanbieders of de eisen die worden gesteld door de e-privacy-richtlijn, als vermeld in punt 8 hierboven (17). Hij raadt echter aan deze conclusie ten behoeve van de duidelijkheid uitdrukkelijker op te nemen in artikel 61, lid 2, of minstens in een overweging van de voorgestelde verordening.

3.3.   Het voorstel gaat niet in op de omstandigheden waarin en de voorwaarden waaronder de toegang kan worden verkregen.

16.

Artikel 61, lid 2, onder d) gaat niet in op de omstandigheden waarin en de voorwaarden waaronder de toegang kan worden verkregen. Het geeft ook geen belangrijke procedurele garanties of beschermingen tegen het risico van misbruik. In de volgende paragrafen zal de EDPS enkele concrete suggesties in deze richting doen.

a)

Overeenkomstig artikel 61, lid 2, heeft de EAEM de bevoegdheid vastleggingen van telefoon- en dataverkeer op te vragen, „om de in de artikelen 51 tot en met 60, 62 en 63, vermelde taken te kunnen uitvoeren”. Deze artikelen hebben betrekking op de volledige titel van de voorgestelde verordening betreffende registratie van en toezicht op transactieregisters. De EDPS is van mening dat de omstandigheden en voorwaarden voor de uitoefening van deze bevoegdheid duidelijker moeten worden bepaald. De EDPS raadt aan de toegang tot vastleggingen van telefoon- en dataverkeer te beperken tot specifiek geïdentificeerde en ernstige schendingen van de voorgestelde verordening en gevallen waarin een redelijk vermoeden (dat moet worden gestaafd door concreet initieel bewijs) bestaat dat er een schending is gebeurd. Deze beperking is ook bijzonder belangrijk om te voorkomen dat de toegangsbevoegdheid wordt gebruikt voor fishing, datamining of andere doeleinden.

b)

In het voorstel is niet bepaald dat de EAEM voorafgaande toestemming van de rechter nodig heeft om vastleggingen van telefoon- en dataverkeer op te vragen. De EDPS is van mening dat deze algemene vereiste gerechtvaardigd zou zijn gezien de mogelijke indringendheid van de bevoegdheid in kwestie. Er moet ook in overweging worden genomen dat de wetten van sommige lidstaten voorafgaande toestemming van de rechter vereisen voor iedere verstoring van de geheimhouding van correspondentie en aldus belemmeren dat andere rechtshandhavingsinstanties (bijv. de politie) en instellingen van administratieve aard overgaan tot een dergelijke verstoring zonder dit strikte toezicht (18). De EDPS acht het op zijn allerminst onontkoombaar om de toestemming van een rechter verplicht te stellen wanneer deze toestemming wordt vereist door de nationale wetgeving (19).

c)

De EDPS beveelt aan om de EAEM ertoe te verplichten gebruik te maken van een officiële beschikking om vastleggingen van telefoon- en dataverkeer op te vragen. Deze beschikking moet de rechtsgrondslag en het doel van het verzoek specificeren, alsmede welke informatie er nodig is, de tijdslimiet waarbinnen de informatie moet worden verstrekt en het recht van de betrokkene om tegen de beschikking in beroep te gaan bij het Hof van Justitie. Een verzoek dat wordt gedaan zonder officiële beschikking is niet bindend voor de geadresseerde.

d)

Er dient te worden gezorgd voor passende procedurele waarborgen tegen mogelijk misbruik. In dit opzicht zou het voorstel kunnen vereisen dat de Commissie uitvoeringsmaatregelen goedkeurt waarin gedetailleerd de procedures worden omschreven die de transactieregisters en de EAEM moeten volgen bij de verwerking van deze gegevens. Deze documenten moeten inzonderheid gepaste veiligheidsmaatregelen specificeren alsmede gepaste waarborgen tegen misbruik, waaronder de beroepsnormen die gelden voor de personen die deze gegevens behandelen, en de interne procedures die de inachtneming van de vertrouwelijkheid en het beroepsgeheim garanderen. De EDPS moet worden geraadpleegd tijdens de procedure met betrekking tot de goedkeuring van dergelijke maatregelen.

3.4.   Relevantie van dit advies voor andere wettelijke instrumenten die soortgelijke bepalingen bevatten

17.

De bevoegdheid van toezichthoudende autoriteiten om vastleggingen van telefoon- en dataverkeer op te vragen, is niet nieuw in de Europese wetgeving. Deze is reeds opgenomen in verscheidene bestaande richtlijnen en verordeningen met betrekking tot de financiële sector. Met de marktmisbruikrichtlijn (20), de MiFID-richtlijn (21), de UCITS-richtlijn (22), en de huidige verordening inzake ratingbureaus (23) bevatten allemaal soortgelijke bepalingen. Hetzelfde geldt voor een aantal recente voorstellen die is goedgekeurd door de Commissie, met name de voorstellen voor een richtlijn inzake beheerders van alternatieve beleggingsfondsen (24), een verordening houdende wijziging van de bestaande verordening inzake ratingbureaus (25), een verordening betreffende baissetransacties en bepaalde aspecten van kredietverzuimswaps (26), en een verordening betreffende de integriteit en transparantie van energiemarkten (27).

18.

Met betrekking tot deze bestaande en voorgestelde wetgevende instrumenten moet er een onderscheid worden gemaakt tussen de onderzoeksbevoegdheden die worden toegekend aan nationale autoriteiten en de toekenning van dergelijke bevoegdheden aan EU-autoriteiten. Verscheidene instrumenten verplichten de lidstaten de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen toe te kennen aan nationale autoriteiten „in overeenstemming met de nationale wetgeving” (28). Bijgevolg is de eigenlijke uitvoering van deze verplichting gebonden aan de nationale wetgeving, met inbegrip van de wetgeving tot omzetting van Richtlijn 95/46/EG en Richtlijn 2002/58/EG en andere nationale wetten die procedurele waarborgen voor nationale toezichthoudende en onderzoekende autoriteiten bevatten.

19.

Een dergelijke voorwaarde is niet opgenomen in de instrumenten die de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen, direct toekennen aan de EU-autoriteiten, zoals in dit voorstel betreffende otc-derivaten en het voornoemde voorstel voor een verordening houdende wijziging van Verordening (EG) nr. 1060/2009 inzake ratingbureaus (hierna „voorstel inzake ratingbureaus” genoemd). Bijgevolg is het in deze gevallen zelfs nog belangrijker dat er in het wetgevende instrument zelf een verduidelijking komt van de persoonlijke en materiële werkingssfeer van deze bevoegdheid en de omstandigheden waarin en de voorwaarden waaronder deze kan worden gebruikt en dat er een gepaste bescherming tegen misbruik is.

20.

In dit opzicht hebben de opmerkingen in dit advies, hoewel het betrekking heeft op het voorstel inzake otc-derivaten, een meer algemene relevantie. De EDPS is zich ervan bewust dat zijn opmerkingen te laat kunnen komen voor de reeds of weldra goedgekeurde wetgeving. Toch nodigt hij de instellingen uit om na te denken over de noodzaak om de hangende voorstellen te wijzigen teneinde rekening te houden met de punten van bezorgdheid die worden behandeld in dit advies. Voor de reeds goedgekeurde teksten verzoekt de EDPS de instellingen om te zoeken naar mogelijkheden om de zaken te verduidelijken, bijvoorbeeld wanneer de werkingssfeer van de betrokken bepaling waarschijnlijk direct of indirect zal worden gespecificeerd in gedelegeerde of uitvoeringshandelingen, bijvoorbeeld handelingen waarin de details van de vereisten inzake de bewaring van vastleggingen worden bepaald, interpretatieve nota's of andere vergelijkbare documenten (29). De EDPS verwacht dat de Commissie hem te gepasten tijde zal raadplegen in de context van deze gerelateerde procedures.

4.   ASPECTEN VAN GEGEVENSBESCHERMING MET BETREKKING TOT ANDERE DELEN VAN HET VOORSTEL

21.

De EDPS acht het gepast aanvullende opmerkingen te maken bij enkele andere punten van het voorstel die betrekking hebben op het recht op privacy en gegevensbescherming van individuen.

4.1.   Toepasselijkheid van Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001

22.

In overweging 48 is correct vermeld dat het van essentieel belang is dat de lidstaten en de EAEM het recht op privacy van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens beschermen overeenkomstig Richtlijn 95/46/EG. De EDPS is verheugd over de verwijzing naar de richtlijn in de overweging. De betekenis van de overweging zou echter duidelijker kunnen worden gemaakt door nader te specificeren dat de bepalingen van de verordening gelden onverminderd de nationale regelgeving die Richtlijn 95/46/EG implementeert. Een dergelijke verwijzing wordt bij voorkeur ook opgenomen in een materiële bepaling.

23.

Bovendien wijst de EDPS erop dat de EAEM een Europese instantie is en onderworpen is aan Verordening (EG) nr. 45/2001 en aan het toezicht van de EDPS. Het is daarom aanbevolen een uitdrukkelijke verwijzing naar deze verordening op te nemen en te specificeren dat de bepalingen van het voorstel gelden onverminderd deze verordening.

4.2.   Doelbinding, noodzaak en kwaliteit van gegevens

24.

Een van de belangrijkste doelstellingen van de voorgestelde verordening is de transparantie van de otc-derivatenmarkt en het gereglementeerde toezicht op de markt te verbeteren. Met dit doel voor ogen verplicht het voorstel financiële tegenpartijen en niet-financiële tegenpartijen die voldoen aan bepaalde drempelvoorwaarden, de gegevens betreffende elk otc-derivatencontract dat zij hebben aangegaan en elke wijziging of beëindiging daarvan te rapporteren aan een geregistreerd transactieregister (artikel 6) (30). Deze informatie moet worden bijgehouden door transactieregisters en moet ter beschikking worden gesteld van de verschillende autoriteiten voor regelgevende doeleinden (artikel 67) (31).

25.

Indien een van de partijen van een derivatencontract dat onderworpen is aan de bovenstaande clearing- en rapporteringsverplichtingen een natuurlijke persoon is, zijn de gegevens met betrekking tot deze natuurlijke persoon persoonsgegevens in de zin van artikel 2, onder a), van Richtlijn 95/46/EG. De uitvoering van de bovenstaande verplichtingen komt derhalve neer op de verwerking van persoonsgegevens in de zin van artikel 2, onder b), van Richtlijn 95/46/EG. Zelfs indien de partijen van de transactie geen natuurlijke personen zijn, kunnen er nog altijd persoonsgegevens worden verwerkt in het kader van artikelen 6 en 67, bijvoorbeeld de namen en contactgegevens van de bestuurders van de ondernemingen. De bepalingen van Richtlijn 95/46/EG (of Verordening (EG) nr. 45/2001 al naargelang) zijn bijgevolg van toepassing op deze handelingen.

26.

Een basisvereiste van de wetgeving inzake gegevensbescherming is dat gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden (32). De gegevens die worden gebruikt om de doeleinden te bereiken, moeten bovendien adequaat, ter zake dienend en niet buitensporig zijn in verhouding tot het doel. Na analyse van de voorgestelde richtlijn, besluit de EDPS dat het systeem dat wordt ingevoerd door het voorstel, niet voldoet aan die vereisten.

27.

Met betrekking tot de doelbinding moet worden benadrukt dat het voorstel de doeleinden van het rapporteringssysteem niet specificeert en evenmin — en dit is nog belangrijker — de doeleinden waarvoor de door de transactieregisters bewaarde informatie kan worden geraadpleegd door de bevoegde autoriteiten op grond van artikel 67 van het voorstel. Een algemene verwijzing naar de noodzaak de transparantie van de otc-derivatenmarkt te verbeteren, is duidelijk niet toereikend om te voldoen aan het beginsel van doelbinding. Dit beginsel wordt verder onder druk gezet in artikel 20, lid 3, van de voorgestelde verordening betreffende beroepsgeheim, dat, zoals het nu geformuleerd is, lijkt toe te staan dat vertrouwelijke informatie die is ontvangen op grond van de voorgestelde verordening, gebruikt wordt voor een aantal aanvullende, niet duidelijk gedefinieerde doeleinden (33).

28.

In het voorstel wordt bovendien niet gespecificeerd welke soort gegevens zal worden geregistreerd, gerapporteerd en geraadpleegd, waaronder persoonsgegevens van geïdentificeerde of identificeerbare personen. De voornoemde artikelen 6 en 67 geven de Commissie de bevoegdheid om inhoud van de rapporterings- en registratieverplichtingen nader te specificeren in gedelegeerde handelingen. Hoewel de EDPS de praktische noodzaak van een dergelijke procedure begrijpt, wenst hij te benadrukken dat, zolang de informatie die wordt verwerkt op grond van de bovenstaande artikelen betrekking heeft op natuurlijke personen, de belangrijkste regels betreffende de gegevensbescherming en garanties moeten worden vastgelegd in de basiswet.

29.

Tot slot is in artikel 6 van Richtlijn 95/45/EG en artikel 4 van Verordening (EG) nr. 45/2001 bepaald dat de persoonsgegevens niet langer dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor ze worden verzameld, mogen worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren. De EDPS wijst erop dat het voorstel geen concrete beperking oplegt aan de bewaarperiode van de persoonsgegevens die mogelijk worden verwerkt op grond van artikelen 6, 27 en 67 van de voorgestelde verordening. Artikelen 27 en 67 stellen alleen dat alle vastleggingen minstens tien jaar moeten worden bewaard. Het gaat hier om een minimale bewaarperiode, die duidelijk in tegenspraak is met de vereisten van de wetgeving betreffende de gegevensbescherming.

30.

Op basis van het voorafgaande verzoekt de EDPS de wetgever met klem om te specificeren welke soort persoonsgegevens kan worden verwerkt op grond van het voorstel, te definiëren voor welke doeleinden de persoonsgegevens kunnen worden verwerkt door de verschillende betrokken entiteiten en een nauwkeurige, noodzakelijke en niet-buitensporige bewaarperiode voor de gegevens van voornoemde verwerking vast te leggen.

4.3.   Inspecties ter plaatse

31.

Artikel 61, lid 2, onder c), geeft de EAEM het recht om aangekondigde en onaangekondigde inspecties ter plaatse te verrichten. Het is niet duidelijk of deze inspecties zich moeten beperken tot de bedrijfsgebouwen van een transactieregister dan wel ook de privégebouwen of bezittingen van natuurlijke personen kunnen omvatten. Het feit dat artikel 56, lid 1, onder c), de Commissie toestaat om, op verzoek van de EAEM, dwangsommen op te leggen aan personen die werken bij of voor een transactieregister of banden hebben met een transactieregister teneinde hen te dwingen zich te onderwerpen aan een inspectie ter plaatse die is bevolen door de EAEM ingevolge artikel 61, lid 2, kan (onbedoeld) iets anders laten verstaan.

32.

Zonder verder uit te weiden over dit punt raadt de EDPS aan de bevoegdheid om inspecties ter plaatse te verrichten (en de daarmee samenhangende bevoegdheid om dwangsommen op te leggen op grond van artikel 56) te beperken tot de bedrijfsgebouwen van transactieregisters en andere rechtspersonen die duidelijk sterke banden hebben met de transactieregisters (34). Indien de Commissie echter overweegt de inspectie van niet-bedrijfsgebouwen van natuurlijke personen toe te staan, moet dit duidelijk worden gemaakt en moet er worden gezorgd voor strengere vereisten zodat de beginselen van noodzakelijkheid en evenredigheid in acht genomen worden (inzonderheid wat betreft de omstandigheden waarin en de voorwaarden waaronder dergelijke inspecties mogen worden uitgevoerd).

4.4.   Uitwisseling van gegevens en beginsel van doelbinding

33.

Verscheidene bepalingen van de voorgestelde verordening maken een uitgebreide uitwisseling van gegevens en informatie tussen de EAEM, de bevoegde autoriteiten van lidstaten en de bevoegde autoriteiten van derde landen mogelijk (zie met name artikelen 21, 23 en 62). De overdracht van gegevens aan derde landen kan zich ook voordoen wanneer een erkende CTP of een transactieregister van een derde land diensten verstrekt aan in de Unie erkende entiteiten. Voor zover de uitgewisselde informatie en gegevens betrekking hebben op geïdentificeerde of identificeerbare natuurlijke personen zijn artikelen 7 tot 9 van Verordening (EG) nr. 45/2001 en artikelen 25 en 26 van Richtlijn 95/46/EG, al naargelang, van toepassing. De overdracht aan derde landen kan zich alleen voordoen indien een gepast niveau van bescherming gegarandeerd is in deze landen of in een van de uitzonderingsgevallen die zijn vastgelegd in de wetgeving betreffende de gegevensbescherming. Voor de duidelijkheid moet er een uitdrukkelijke verwijzing naar Verordening (EG) nr. 45/2001 en Richtlijn 95/46/EG worden opgenomen in de tekst. Er moet worden gestipuleerd dat overdracht slechts is toegestaan in overeenstemming met de toepasselijke regels, als vastgelegd in de verordening respectievelijk de richtlijn.

34.

Overeenkomstig het beginsel van doelbinding (35) raadt de EDPS ook aan duidelijke grenzen op te leggen aan de soort persoonsgegevens die kan worden uitgewisseld en de doeleinden te definiëren waarvoor de persoonsgegevens kunnen worden uitgewisseld.

4.5.   Verantwoordingsplicht en rapportering

35.

Artikel 68 van het voorstel bevat een aantal rapporteringsverplichtingen van de Commissie betreffende de uitvoering van verschillende elementen van de voorgestelde verordening. De EDPS beveelt aan om ook de verplichting voor de EAEM in te voeren om regelmatig verslag uit te brengen over het gebruik van haar onderzoeksbevoegdheden en met name haar bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen. Gelet op de bevindingen van het rapport moet de Commissie ook in staat zijn om aanbevelingen te doen, waaronder, indien gepast, voorstellen voor de herziening van de verordening.

5.   CONCLUSIES

36.

Het huidige voorstel geeft de EAEM de bevoegdheid om „vastleggingen van telefoon- en dataverkeer op te vragen” om de taken in verband met het toezicht op de transactieregisters te kunnen uitvoeren. Om noodzakelijk en niet-buitensporig bevonden te worden, moet de bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen, worden beperkt tot wat nodig is om het nagestreefde doel te bereiken en niet verder te gaan dan wat nodig is om het doel te bereiken. De bepaling waar het om gaat, is op dit moment te ruim geformuleerd om te voldoen aan deze vereisten. Met name de persoonlijke en materiële werkingssfeer van de bevoegdheid, de omstandigheden waarin en voorwaarden waaronder ze kan worden uitgeoefend, zijn niet voldoende gespecificeerd.

37.

De opmerkingen in dit advies, dat in feite gaat over het voorstel inzake otc-derivaten, zijn ook relevant voor de toepassing van de bestaande wetgeving en voor andere hangende, mogelijk toekomstige voorstellen die soortgelijke bepalingen bevatten. Dit is met name het geval wanneer de bevoegdheid in kwestie, zoals in dit voorstel, wordt toevertrouwd aan een EU-autoriteit, zonder te verwijzen naar de specifieke voorwaarden en procedures die zijn vastgelegd in nationale wetten (bijv. het voorstel inzake ratingbureaus).

38.

Gelet op het voorgaande, geeft de EDPS de wetgever het advies om:

Duidelijk te specificeren welke categorieën vastleggingen van telefoon- en dataverkeer de transactieregisters moeten bijhouden en/of overleggen aan de bevoegde autoriteiten. Deze gegevens moeten adequaat, relevant en niet-buitensporig zijn naar verhouding van de doeleinden waarvoor ze worden verwerkt;

De bevoegdheid om vastleggingen van telefoon- en dataverkeer op te vragen, te beperken tot transactieregisters;

Uitdrukkelijk te vermelden dat rechtstreekse toegang tot de vastleggingen van telefoon- en dataverkeer van telecommunicatieondernemingen uitgesloten is;

De toegang tot vastleggingen van telefoon- en dataverkeer te beperken tot geïdentificeerde en ernstige schendingen van de voorgestelde verordening en gevallen waarin een redelijk vermoeden (dat moet worden gestaafd door concreet initieel bewijs) bestaat dat er een schending is gebeurd;

Te verduidelijken dat de transactieregisters de vastleggingen van telefoon- en dataverkeer alleen zullen overleggen indien deze worden opgevraagd door middel van een officiële beschikking waarin onder andere wordt gewezen op het recht in beroep te gaan tegen de beschikking voor het Hof van Justitie;

Te vereisen dat de beschikking niet wordt uitgevoerd zonder voorafgaande toestemming van de nationale gerechtelijke instanties van de desbetreffende lidstaat (minstens waar een dergelijke toestemming vereist is op grond van de nationale wetgeving);

Te vereisen dat de Commissie uitvoeringsmaatregelen goedkeurt waarin de te volgen procedures gedetailleerd worden beschreven, met inbegrip van de beschermingsmaatregelen en waarborgen.

39.

Met betrekking tot de andere aspecten van het voorstel, verwijst de EDPS naar zijn opmerkingen onder punt 4 van dit advies. De EDPS adviseert de wetgever met name om:

Minstens in de overweging van de voorgestelde richtlijn en bij voorkeur in een materiële bepaling te verwijzen naar Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 en te stellen dat de bepalingen van de voorgestelde verordening gelden onverminderd de richtlijn respectievelijk de verordening;

Te specificeren welke soort persoonsgegevens kan worden verwerkt op grond van het voorstel overeenkomstig het noodzakelijkheidsbeginsel (inzonderheid met betrekking tot artikelen 6 en 67), te definiëren voor welke doeleinden de persoonsgegevens kunnen worden verwerkt door de verschillende betrokken autoriteiten/entiteiten en nauwkeurige, noodzakelijke en niet-buitensporige bewaarperiodes vast te leggen voor de gegevens voor bovenstaande verwerking;

De bevoegdheid om inspecties ter plaatse te verrichten op grond van artikel 61, lid 2, onder c), en om dwangsommen op te leggen op grond van artikel 56 te beperken tot transactieregisters en andere rechtspersonen die duidelijk sterke banden hebben met de transactieregisters;

Uitdrukkelijk te vermelden dat de internationale overdracht van persoonsgegevens moet gebeuren in overeenstemming met de toepasselijke bepalingen van Verordening (EG) nr. 45/2001 en Richtlijn 95/46/EG, duidelijke grenzen in te voeren met betrekking tot de soort persoonsgegevens die kan worden uitgewisseld en de doeleinden te bepalen waarvoor persoonsgegevens kunnen worden uitgewisseld.

Gedaan te Brussel, 19 april 2011.

Giovanni BUTTARELLI

Europese adjunct-toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 8 van 12.1.2001, blz. 1.

(3)  COM(2010) 484 def.

(4)  Verordening (EU) nr. 1092/2010 van het Europees Parlement en de Raad van 24 november 2010 betreffende macroprudentieel toezicht van de Europese Unie op het financiële stelsel en tot oprichting van een Europees Comité voor systeemrisico’s, (PB L 331 van 15.12.2010, blz. 1).

(5)  Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie, (PB L 331 van 15.12.2010, blz. 12).

(6)  Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/79/EG van de Commissie, (PB L 331 van 15.12.2010, blz. 48).

(7)  Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/77/EG van de Commissie, (PB L 331 van 15.12.2010, blz. 84).

(8)  Een derivaat is een contract tussen twee partijen dat gekoppeld is aan de toekomstige waarde of status van het onderliggend element waarnaar het verwijst (bijv. de ontwikkeling van rentevoeten of een valutawaarde).

(9)  Normaal gezien de werknemers aan wie het telefoon- en dataverkeer kan worden toegeschreven, alsmede de ontvangers en andere betrokken gebruikers.

(10)  Zie artikel 6, lid 1, van Richtlijn 2002/58/EG, (PB L 201 van 31.7.2002, blz. 45).

(11)  Zie artikel 15, lid 1, van Richtlijn 2002/58/EG, op voorwaarde dat de beperking in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale veiligheid, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische communicatiesysteem als bedoeld in artikel 13, lid 1, van Richtlijn 95/46/EG. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd.

(12)  Zie bijv., gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09)/v. Land Hessen, nog niet gepubliceerd in Jurispr., punt 74.

(13)  Overweging 44 stelt bijvoorbeeld dat de transactieregisters onderworpen moeten zijn aan strikte vereisten inzake bewaring van vastleggingen en gegevensbeheer. Artikel 66 luidt als volgt: „Een transactieregister registreert onmiddellijk de overeenkomstig artikel 6 ontvangen informatie en houdt deze bij tot minstens tien jaar na de beëindiging van de desbetreffende contracten. Het transactieregister past procedures voor tijdige en efficiënte gegevensregistratie toe teneinde wijzigingen van geregistreerde informatie te documenteren.” Artikel 67 bepaalt verder dat „een transactieregister (…) de nodige informatie ter beschikking” stelt van de EAEM en verschillende andere bevoegde autoriteiten.

(14)  De uitdrukkingen „vastleggingen van telefoon- en dataverkeer” kan uiteenlopende informatie omvatten, waaronder de duur, het tijdstip of het volume van een communicatie, het gebruikte protocol, de locatie van de eindapparatuur van de verzender of de ontvanger, het netwerk waarop de communicatie begint of eindigt, het begin, het einde of de duur van de verbinding of zelfs de lijst van bezochte websites en de inhoud van de communicatie zelf, indien deze wordt geregistreerd. Voor zover ze betrekking hebben op geïdentificeerde of identificeerbare natuurlijke personen, vormen al deze gegevens persoonsgegevens.

(15)  Zie artikel 6, lid 1, onder c), van Richtlijn 95/46/EG en artikel 4, lid 1, onder c), van Verordening (EG) nr. 45/2001. Er moet ook worden overwogen of er specifieke beschermingen kunnen worden ingevoerd om te voorkomen dat gegevens met betrekking tot oprecht privaat gebruik worden opgeslagen en verwerkt.

(16)  Het feit dat artikel 56, lid 1, onder c), de Commissie toestaat om, op verzoek van de EAEM, dwangsommen op te leggen aan personen die werken bij of voor een transactieregister of banden hebben met een transactieregister teneinde hen te dwingen zich te onderwerpen aan een onderzoek dat is ingesteld door de EAEM ingevolge artikel 61, lid 2, kan (onbedoeld) iets anders laten verstaan.

(17)  Zoals reeds aangehaald vestigt de e-privacy-richtlijn het algemene beginsel dat verkeersgegevens moeten worden gewist of anoniem gemaakt zodra ze niet meer nodig zijn voor het doorzenden van de communicatie. Dergelijke gegevens mogen slechts worden verwerkt voor zover dat nodig is voor de facturering en voor interconnectiebetalingen. De verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen. Iedere afwijking van dit beginsel is slechts toegestaan wanneer deze in een democratische samenleving noodzakelijk, redelijk en proportioneel zijn en dienen voor specifieke doeleinden van nationale veiligheid d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische communicatiesysteem.

(18)  De Italiaanse grondwet vereist bijvoorbeeld dat iedere verstoring van de geheimhouding van correspondentie, waaronder toegang tot verkeersgegevens zonder onthulling van de inhoud van de communicatie, moet worden bevolen of goedgekeurd door iemand van de rechterlijke macht.

(19)  Een soortgelijke vereiste is ingevoerd in de gewijzigde versie van het voorstel inzake ratingbureaus, waarover het Europees Parlement in december 2010 heeft gestemd.

(20)  Richtlijn 2003/6/EG van het Europees Parlement en de Raad van 28 januari 2003 betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik), (PB L 96 van 12.4.2003, blz. 16).

(21)  Richtlijn 2004/39/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende markten voor financiële instrumenten, tot wijziging van de Richtlijnen 85/611/EEG en 93/6/EEG van de Raad en van Richtlijn 2000/12/EG van het Europees Parlement en de Raad en houdende intrekking van Richtlijn 93/22/EEG van de Raad, (PB L 145 van 30.4.2004, blz. 1).

(22)  Gezien Richtlijn 2009/65/EG van het Europees Parlement en de Raad van 13 juli 2009 tot coördinatie van de wettelijke en bestuursrechtelijke bepalingen betreffende bepaalde instellingen voor collectieve belegging in effecten (ICBE's), (PB L 302 van 17.11.2009, blz. 32).

(23)  Verordening (EG) nr. 1060/2009 van het Europees Parlement en de Raad van 16 september 2009 inzake ratingbureaus, (PB L 302 van 17.11.2009, blz. 1).

(24)  Voorstel van 30 april 2009 voor een richtlijn van het Europees Parlement en de Raad inzake beheerders van alternatieve beleggingsfondsen en tot wijziging van de Richtlijnen 2004/39/EG en 2009/…/EG, COM (2009) 207.

(25)  Voorstel van 2 juni 2010 voor een verordening van het Europees Parlement en de Raad tot wijziging van Verordening (EG) nr. 1060/2009 inzake ratingbureaus, COM(2010) 289.

(26)  Voorstel van 15 september 2010 voor een verordening van het Europees Parlement en de Raad betreffende baissetransacties en bepaalde aspecten van kredietverzuimswaps, COM (2010) 482.

(27)  Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de integriteit en transparantie van de energiemarkt, COM (2010) 726.

(28)  Zie bijvoorbeeld artikel 12, lid 2, van de richtlijn inzake marktmisbruik vermeld in voetnoot 20. Zie ook artikel 50 van de MiFID-richtlijn, vermeld in voetnoot 21.

(29)  Artikel 37 van het voorstel inzake ratingbureaus geeft de Commissie bijvoorbeeld het recht om de bijlagen bij de verordening, waarin nader bepaald is welke eisen inzake de bewaring van vastleggingen worden opgelegd aan ratingbureaus, te wijzigen. Zie ook overweging 10 van het voorstel inzake ratingbureaus waarin wordt verwezen naar bevoegdheid van de EAEM om niet-bindende richtsnoeren betreffende aangelegenheden in verband met de toepassing van de verordening uit te geven en te actualiseren.

(30)  Artikel 6, lid 4, van het voorstel delegeert aan de Commissie de bevoegdheden om voor de verschillende klassen van derivaten de gegevens en het type contracten te bepalen en preciseert dat de rapporten minstens de volgende informatie moeten bevatten. a) de partijen bij het contract en, voor zover verschillend, de begunstigde van de eruit voortkomende rechten en verplichtingen passend worden vastgesteld; en b) dat de hoofdkenmerken van het contract, waaronder het type, de onderliggende waarde, de looptijd en de notionele waarde worden gerapporteerd.

(31)  Zie toelichting, blz. 11. Artikel 67 maakt deze verplichting concreet door te stellen dat het transactieregister de nodige informatie ter beschikking moet stellen van een aantal entiteiten, met name de EAEM, de bevoegde autoriteiten die toezicht houden op ondernemingen die onder de rapporteringsplicht vallen, de bevoegde autoriteiten die toezicht houden op CTP's, de relevante centrale banken van de ESCB.

(32)  Zie bijv. het advies van de EDPS van 6 januari 2010 inzake het voorstel voor een richtlijn van de Raad betreffende de administratieve samenwerking op het gebied van belastingen, (PB C 101 van 20.4.2010, blz. 1).

(33)  Artikel 20, lid 3, luidt als volgt: „Onverminderd zaken die onder het strafrecht vallen, mogen de bevoegde autoriteiten, de EAEM, andere instanties of natuurlijke of rechtspersonen dan de bevoegde autoriteiten die ingevolge deze verordening vertrouwelijke informatie ontvangen deze (wanneer het om bevoegde autoriteiten gaat) uitsluitend gebruiken bij de vervulling van hun taken en voor de uitoefening van hun functies binnen het toepassingsgebied van deze verordening of (wanneer het om andere autoriteiten, instanties of natuurlijke of rechtspersonen gaat) voor het doel waarvoor die informatie aan hen verstrekt is en/of in het kader van administratieve of gerechtelijke procedures die specifiek met de uitoefening van deze functies verband houden. Als de EAEM, de bevoegde autoriteit of andere autoriteit, instantie of persoon die de informatie heeft verstrekt daarin toestemt, mag de ontvangende autoriteit de informatie evenwel voor andere doeleinden gebruiken”.

(34)  Een soortgelijke specificatie is ingevoerd in de gewijzigde versie van het voorstel inzake ratingbureaus, waarover het Europees Parlement in december 2010 heeft gestemd.

(35)  Zie artikel 6, lid 1, onder b), van Richtlijn 95/46/EG en artikel 4, lid 1, onder b), van Verordening (EG) nr. 45/2001.


Top