20.6.2012   

NL

Publicatieblad van de Europese Unie

C 177/1

1.

Dit advies is onderdeel van een pakket van vier adviezen van de EDPS betreffende de financiële sector, die alle op dezelfde dag zijn aangenomen (3).

2.

Op 20 oktober 2011 heeft de Commissie een voorstel voor een verordening van het Europees Parlement en de Raad betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) en een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende strafrechtelijke sancties voor handel met voorwetenschap en marktmanipulatie aangenomen. De voorgestelde verordening en de voorgestelde richtlijn (gezamenlijk „de voorstellen” genoemd) zijn op 31 oktober 2011 door de Commissie aan de EDPS toegezonden voor raadpleging en door de EDPS ontvangen. Op 6 december 2011 heeft de Raad van de Europese Unie de EDPS geraadpleegd over de voorstellen.

3.

De EDPS is voorafgaand aan de aanneming van de voorgestelde verordening informeel geraadpleegd. De EDPS merkt op dat verschillende van zijn opmerkingen in het voorstel in aanmerking zijn genomen.

4.

De EDPS verwelkomt het feit dat hij door de Commissie en de Raad is geraadpleegd.

5.

Middels de richtlijn marktmisbruik (Market Abuse Directive — „MAD”) (4), die begin 2003 is aangenomen, is een gemeenschappelijk wettelijk kader voor de hele EU vastgesteld voor het voorkomen, opsporen en bestraffen van handel met voorwetenschap en marktmanipulatie.

6.

Nadat deze richtlijn diverse jaren van kracht is geweest, heeft de Commissie de toepassing ervan beoordeeld en een aantal problemen vastgesteld, zoals leemten in de regulering van bepaalde instrumenten en markten, het feit dat regelgevers de richtlijn niet doeltreffend kunnen afdwingen (omdat ze niet over de nodige informatie en bevoegdheden beschikken en omdat sancties ontbreken of onvoldoende ontmoedigend zijn), gebrek aan duidelijkheid over bepaalde sleutelbegrippen en de administratieve lasten voor uitgevende instellingen.

7.

In het licht van deze problemen en de belangrijke veranderingen die het financiële landschap heeft ondergaan als gevolg van wettelijke, technologische en marktontwikkelingen, heeft de Commissie wetgevingsvoorstellen aangenomen voor de hervorming van de MAD, bestaande uit de voorgestelde verordening en de voorgestelde richtlijn. De beleidsdoelstellingen van de voorgestelde herziening zijn om het vertrouwen van beleggers en de marktintegriteit te verhogen en om gelijke tred te houden met de nieuwe ontwikkelingen in de financiële sector.

8.

De voorgestelde verordening breidt het toepassingsgebied van het marktmisbruikkader uit, kwalificeert pogingen tot marktmanipulatie en pogingen tot handel met voorwetenschap als afzonderlijke misdrijven, versterkt de onderzoeksbevoegdheden van de bevoegde autoriteiten en voert minimumregels voor administratieve maatregelen, sancties en boetes in.

9.

De voorgestelde richtlijn verplicht de lidstaten om strafrechtelijke sancties in te voeren voor opzettelijke handel met voorwetenschap of marktmanipulatie en voor uitlokking, medeplichtigheid en poging tot het plegen van deze strafbare feiten. Ook wordt de aansprakelijkheid uitgebreid naar rechtspersonen, waar mogelijk ook de strafrechtelijke aansprakelijkheid.

10.

Verschillende van de in de voorstellen opgenomen maatregelen waarmee wordt beoogd om de marktintegriteit en de bescherming van beleggers te versterken zijn van invloed op de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens.

11.

Met name wanneer de bevoegde autoriteiten onderzoeken instellen of onderling samenwerken om handel met voorwetenschap of marktmisbruik op te sporen, te rapporteren en/of te bestraffen zullen persoonsgegevens worden verzameld, verwerkt en uitgewisseld. Ook het mechanisme om personen aan te moedigen om schendingen te melden zal de verwerking van persoonsgegevens (van zowel de personen die de schendingen melden als de „beschuldigde” personen) met zich meebrengen. Tot slot zal de sanctieregeling van invloed zijn op het recht op bescherming van persoonsgegevens voor zover sancties waarin de identiteit van de voor de schending van de voorgestelde verordening verantwoordelijke persoon wordt genoemd bekendgemaakt zullen worden.

12.

Hoewel de voorgestelde verordening verschillende bepalingen bevat die van invloed kunnen zijn op de uitoefening van het recht van personen op bescherming van hun persoonsgegevens, brengt de voorgestelde richtlijn als zodanig geen verwerking van persoonsgegevens met zich mee. Het onderhavige advies zal zich daarom concentreren op de voorgestelde verordening, en met name op de volgende vraagstukken: 1. de toepasselijkheid van de gegevensbeschermingswetgeving; 2. de lijsten van personen met voorwetenschap; 3. de bevoegdheden van de bevoegde autoriteiten; 4. de systemen om verdachte transacties aan het licht te brengen en te rapporteren; 5. de uitwisseling van informatie met derde landen; 6. de bekendmaking van sancties en de melding van schendingen.

13.

Zowel in de overwegingen (5) als in de bepalingen (6) van de voorgestelde verordening worden het Handvest van de grondrechten, Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 genoemd. In artikel 22 van de voorgestelde verordening is uitdrukkelijk de volgende algemene regel neergelegd: „Met betrekking tot de verwerking van persoonsgegevens door lidstaten in het kader van deze verordening passen bevoegde autoriteiten de bepalingen van Richtlijn 95/46/EG toe. Met betrekking tot de verwerking van persoonsgegevens door de EAEM in het kader van deze verordening leeft de EAEM de bepalingen van Verordening (EG) nr. 45/2001 na.” Voorts voorziet de bepaling in een maximumperiode van vijf jaar voor het bewaren van persoonsgegevens.

14.

De EDPS is bijzonder ingenomen met deze overkoepelende bepaling en waardeert in algemene zin de specifieke aandacht die in de voorgestelde verordening aan de gegevensbeschermingswetgeving wordt besteed. De EDPS stelt echter voor om de bepaling te herformuleren en daarbij nadruk te leggen op de toepasselijkheid van de bestaande gegevensbeschermingswetgeving. Bovendien zou de verwijzing naar Richtlijn 95/46/EG moeten worden verduidelijkt door te specificeren dat de bepalingen van toepassing zullen zijn overeenkomstig de nationale voorschriften tot uitvoering van Richtlijn 95/46/EG. De EDPS merkt op dat in enkele bepalingen van de voorgestelde verordening uitdrukkelijk wordt verwezen naar Richtlijn 95/46/EG en/of Verordening (EG) nr. 45/2001. Dit geeft nadrukkelijk aan dat in specifieke gevallen de relevante gegevensbeschermingsregels moeten worden toegepast, maar impliceert niet dat de regels niet van toepassing zijn wanneer ze niet uitdrukkelijk worden genoemd in elke bepaling die (in potentie) de verwerking van persoonsgegevens met zich meebrengt.

15.

Zoals dat in overweging 33 is gebeurd, zou ook in andere overwegingen consistent moeten staan dat de lidstaten aan de relevante gegevensbeschermingswetgeving „moeten voldoen” (en niet alleen „zouden moeten voldoen”), omdat deze van kracht is en er geen speelruimte met betrekking tot de toepasselijkheid ervan bestaat.

16.

De voorgestelde verordening omvat de verplichting voor instellingen die een financieel instrument uitgeven of deelnemers aan een emissierechtenmarkt om een lijst op te stellen van de personen die bij hen, op basis van een arbeidscontract of anderszins, werkzaam zijn en toegang hebben tot voorwetenschap (artikel 13, lid 1). Instellingen die een financieel instrument uitgeven en waarvan de financiële instrumenten mogen worden verhandeld op een kmo-groeimarkt zijn vrijgesteld van het opstellen van een dergelijke lijst, behalve wanneer ze daartoe worden verzocht door de bevoegde autoriteiten (artikel 13, lid 2).

17.

De EDPS onderkent de noodzaak van dergelijke lijsten als belangrijk instrument voor de bevoegde autoriteiten bij het onderzoeken van mogelijke gevallen van handel met voorwetenschap en marktmisbruik. Voor zover de lijsten echter de verwerking van persoonsgegevens met zich mee zullen brengen, zouden in de basiswetgeving de belangrijkste regels en garanties op het gebied van gegevensbescherming moeten worden neergelegd. De EDPS beveelt daarom aan om een uitdrukkelijke verwijzing naar het doel van dergelijke lijsten op te nemen in een inhoudelijke bepaling van de voorgestelde verordening. Het doel is een van de essentiële elementen van elke verwerking overeenkomstig artikel 6 van Richtlijn 95/46/EG.

18.

Volgens artikel 13, lid 4, van de voorgestelde verordening stelt de Commissie door middel van gedelegeerde handelingen maatregelen vast ter bepaling van de inhoud van een lijst (waaronder informatie over de identiteit en de redenen voor opneming van personen in een lijst van personen met voorwetenschap) en ter bepaling van de voorwaarden waaronder dergelijke lijsten zullen worden opgesteld (met inbegrip van de voorwaarden voor het bijwerken van dergelijke lijsten, de periode gedurende welke zij moet worden bewaard en de verantwoordelijkheden van de daarin opgenomen personen). De EDPS beveelt echter aan:

19.

In artikel 17, lid 2, worden de toezichts- en onderzoeksbevoegdheden opgesomd waarover bevoegde autoriteiten ten minste moeten beschikken om de hun krachtens de voorgestelde verordening toegekende taken te kunnen vervullen.

20.

Met name aan de twee volgende bevoegdheden moet speciale aandacht worden besteed, vanwege de gevolgen ervan voor het recht op privacy en het recht op gegevensbescherming: de bevoegdheid om privéterreinen te betreden met het oog op inbeslagname van documenten in welke vorm dan ook, en de bevoegdheid om bestaande overzichten van telefoon- en dataverkeer op te vragen.

21.

De bevoegdheid om privéterreinen te betreden met het oog op inbeslagname van documenten in welke vorm dan ook is bijzonder ingrijpend en vormt een belemmering voor de uitoefening van het recht op privacy. Daarom moet deze bevoegdheid worden onderworpen aan strikte voorwaarden en omgeven met passende waarborgen (7). Artikel 17, lid 2, onder e), vereist dat voor het betreden van privéterreinen voorafgaande toestemming van de rechter moet worden verkregen in overeenstemming met het nationale recht en dat er een redelijk vermoeden moet bestaan dat documenten die betrekking hebben op het voorwerp van de inspectie relevant kunnen zijn als bewijs van een geval van handel met voorwetenschap of marktmanipulatie. De EDPS waardeert het feit dat de bevoegdheden van de bevoegde autoriteiten in de tekst worden gekwalificeerd door het betreden van privéterreinen te verbinden aan de voorwaarden dat er een redelijk vermoeden moet bestaan dat er een schending van de voorgestelde verordening of richtlijn heeft plaatsgevonden en dat er van tevoren toestemming van een rechter moet worden verkregen. De EDPS is echter van mening dat een algemene eis van voorafgaande toestemming van een rechter, ongeacht of dit door het nationaal recht wordt vereist, met het oog op de potentieel indringende aard van de bevoegdheid in kwestie zowel gerechtvaardigd als vereist is.

22.

In overweging 30 van de voorgestelde verordening wordt vermeld in welke gevallen toegang tot privélokalen noodzakelijk is, namelijk wanneer de persoon die reeds om informatie is verzocht (geheel of gedeeltelijk) nalaat aan dit verzoek te voldoen of wanneer er een redelijk vermoeden bestaat dat in geval van een verzoek daaraan niet zou worden voldaan, of de documenten of informatie waarop het verzoek om informatie betrekking heeft, zouden worden verwijderd, gemanipuleerd of vernietigd. De EDPS verwelkomt deze specificaties. Desalniettemin is de EDPS van mening dat dit aanvullende waarborgen zijn voor de naleving van het recht op privacy en dat ze daarom moeten worden opgenomen in een inhoudelijke bepaling als voorwaarden voor het betreden van privélokalen.

23.

Artikel 17, lid 2, onder f), verleent de bevoegde autoriteiten de bevoegdheid tot „het opvragen van bestaande overzichten van telefoon- en dataverkeer waarover een telecommunicatie-exploitant of een beleggingsonderneming beschikt”, waarbij wordt verduidelijkt dat het verzoek is onderworpen aan de voorwaarde dat er een „redelijk vermoeden” moet bestaan dat dergelijke overzichten „relevant kunnen zijn als bewijs van handel met voorwetenschap of marktmanipulatie” krachtens de voorgestelde verordening of de voorgestelde richtlijn. Deze overzichten mogen echter geen betrekking hebben op „de inhoud van de communicatie waarop zij betrekking hebben”. Bovendien bepaalt artikel 17, lid 3, dat de in lid 2 genoemde toezichts- en onderzoeksbevoegdheden in overeenstemming met het nationale recht moeten worden uitgeoefend.

24.

Gegevens met betrekking tot het gebruik van elektronische communicatiemiddelen kunnen uiteenlopende persoonlijke informatie bevatten, zoals de identiteit van de personen die een oproep doen of ontvangen, het tijdstip en de duur van het telefoongesprek, het gebruikte netwerk, de geografische locatie van de gebruiker in geval van draagbare apparaten, enz. Sommige verkeersgegevens over het gebruik van internet en e-mail (bijvoorbeeld de lijst van bezochte websites) kunnen daarnaast belangrijke details ten aanzien van de inhoud van de communicatie onthullen. Bovendien is de verwerking van verkeersgegevens in strijd met de geheimhouding van correspondentie. Richtlijn 2002/58/EG (8) (de e-privacyrichtlijn) bevat dan ook de verplichting om verkeersgegevens te wissen of anoniem te maken wanneer ze niet langer nodig zijn voor de transmissie van communicatie (9). Volgens artikel 15, lid 1, van deze richtlijn kunnen lidstaten in de nationale wetgeving om specifieke gegronde redenen hiervan afwijken, maar moeten deze afwijkingen in een democratische samenleving noodzakelijk, redelijk en evenredig met de doeleinden zijn (10).

25.

De EDPS erkent dat de doeleinden die de Commissie met de voorgestelde verordening nastreeft rechtmatig zijn. Hij begrijpt dat het nodig is maatregelen te nemen om het toezicht op de financiële markten te verscherpen teneinde deze markten gezond te houden en de beleggers en de economie in brede zin beter te beschermen. Onderzoeksbevoegdheden die direct verband houden met verkeersgegevens moeten gezien hun potentieel indringende aard echter beantwoorden aan de vereisten van noodzakelijkheid en evenredigheid, d.w.z. dat ze zich moeten beperken tot wat passend is om het doel te bereiken en niet verder mogen gaan dan nodig is (11). In dit opzicht is het van essentieel belang dat de bevoegdheden duidelijk zijn geformuleerd wat betreft de persoonlijke en materiële werkingssfeer en de omstandigheden waarin en de voorwaarden waaronder ze kunnen worden gebruikt. Verder moeten er gepaste waarborgen worden ingevoerd tegen het risico van misbruik.

26.

De bedoelde overzichten van telefoon- en dataverkeer zullen zeer waarschijnlijk persoonsgegevens in de zin van Richtlijn 95/46/EG, Richtlijn 2002/58/EG en Verordening (EG) nr. 45/2001 omvatten. In overweging 31 van de voorgestelde verordening wordt het volgende verklaard: „Aan de hand van overzichten van telefoon- en dataverkeer kan de identiteit worden vastgesteld van een persoon die verantwoordelijk is voor de verspreiding van onjuiste of misleidende informatie en worden vastgesteld dat personen gedurende een bepaalde tijd met elkaar in contact zijn geweest en er tussen twee of meer personen een relatie bestaat” (12). Daarom moet worden verzekerd dat volledig wordt voldaan aan de voorwaarden voor een eerlijke en rechtmatige verwerking van persoonsgegevens als vastgelegd in de richtlijnen en de verordening.

27.

De EDPS merkt op dat deze bevoegdheid volgens artikel 17, lid 3, wordt uitgeoefend in overeenstemming met het nationale recht, zonder dat uitdrukkelijk wordt verwezen naar voorafgaande toestemming van een rechter, zoals dat met betrekking tot de bevoegdheid om privélokalen te betreden wel gebeurt. De EDPS is van mening dat, gezien de potentieel indringende aard van de bevoegdheid in kwestie en in het belang van een geharmoniseerde toepassing van de wetgeving in alle EU-lidstaten, een algemene eis van voorafgaande toestemming van een rechter in alle gevallen — ongeacht of het nationaal recht dit vereist — is gerechtvaardigd. Ook moet worden bedacht dat verschillende wetten van de lidstaten voorzien in bijzondere garanties, in het kader van het huisrecht, tegen onevenredige en niet zorgvuldig gereguleerde inspecties, doorzoekingen of inbeslagnames, in het bijzonder wanneer deze worden verricht door een instelling van administratieve aard.

28.

Bovendien beveelt de EDPS aan om voor bevoegde autoriteiten de vereiste in te voeren om overzichten van telefoon- en dataverkeer op te vragen op grond van een formeel besluit waarin de rechtsgrondslag, het doel van het opvragen, welke informatie wordt opgevraagd, de tijdslimiet waarbinnen de informatie moet worden verstrekt, en het recht van de geadresseerde om het Hof van Justitie te verzoeken om herziening van het besluit worden vermeld.

29.

De voorgestelde verordening bevat geen definitie van het begrip „overzichten van telefoon- en dataverkeer”. In Richtlijn 2002/58/EG (de e-privacyrichtlijn) wordt alleen het begrip „verkeersgegevens” gebruikt, maar niet „overzichten van telefoon- en dataverkeer”. Het behoeft geen betoog dat de precieze betekenis van dit begrip bepalend is voor de gevolgen die de onderzoeksbevoegdheid kan hebben voor het recht op privacy en het recht op gegevensbescherming van de betrokken personen. De EDPS stelt voor om de terminologie te gebruiken die in Richtlijn 2002/58/EG reeds wordt toegepast in de definitie van „verkeersgegevens”.

30.

In artikel 17, lid 2, onder f), wordt gesproken van „bestaande overzichten van telefoon- en dataverkeer waarover een telecommunicatie-exploitant beschikt”. In de e-privacyrichtlijn is het beginsel neergelegd dat verkeersgegevens moeten worden gewist wanneer ze niet langer nodig zijn voor de commerciële doeleinden waarvoor ze zijn verzameld. Op basis van artikel 15, lid 1, van de e-privacyrichtlijn kunnen lidstaten echter om redenen van rechtshandhaving afwijken van deze verplichting. De richtlijn gegevensbewaring beoogt alle initiatieven van lidstaten krachtens artikel 15, lid 1, van de e-privacyrichtlijn met elkaar in overeenstemming te brengen voor zover het de bewaring van gegevens betreft voor het onderzoeken, opsporen en vervolgen van „ernstige criminaliteit”.

31.

De vraag is of de overzichten van telefoon- en dataverkeer als bedoeld in artikel 17, lid 2, onder f), betrekking hebben op de gegevens die beschikbaar zijn door de opslag van verkeers- en locatiegegevens als gereguleerd door de e-privacyrichtlijn of op de aanvullende gegevens die door de richtlijn gegevensbewaring worden vereist. De laatste optie zou aanleiding geven tot ernstige bezorgdheid, aangezien de afwijkingen waarin wordt voorzien in artikel 15, lid 1, van de e-privacyrichtlijn (d.w.z. afwijkingen in verband met het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten) gebruikt zouden worden ter verruiming van de doeleinden waarvoor de gegevens overeenkomstig de richtlijn gegevensbewaring worden bewaard (d.w.z. voor het onderzoeken, opsporen en vervolgen van „ernstige criminaliteit”). Met andere woorden: de gegevens die overeenkomstig de richtlijn gegevensbewaring worden bewaard zouden op deze manier worden gebruikt voor doeleinden waarin deze richtlijn niet voorziet. Dit zou een Europese aanmoediging zijn om gebruik te maken van de mazen in de huidige richtlijn gegevensbewaring, die een van de belangrijkste tekortkomingen ervan vormt (13).

32.

De EDPS beveelt daarom met kracht aan om de categorieën overzichten van telefoon- en dataverkeer die de bevoegde autoriteiten kunnen opvragen, te specificeren. Deze gegevens moeten geschikt, relevant en niet excessief zijn voor het doel waarvoor de bevoegde autoriteiten toegang tot de gegevens willen verkrijgen en de gegevens willen verwerken. Bovendien beveelt de EDPS aan om artikel 17, lid 2, onder f), te beperken tot gegevens die normaliter door telecommunicatie-exploitanten worden verwerkt („waarover een telecommunicatie-exploitant beschikt”) in het kader van de e-privacyrichtlijn (Richtlijn 2002/58/EG). Toegang tot gegevens die worden bewaard voor de doeleinden van de richtlijn gegevensbewaring wordt hiermee in beginsel uitgesloten, voor zover deze toegang niet bedoeld is voor het onderzoeken, opsporen en vervolgen van „ernstige criminaliteit” (14).

33.

Artikel 17, lid 2, onder f), voorziet in toegang tot „overzichten van telefoon- en dataverkeer waarover (…) een beleggingsonderneming beschikt”. In de tekst zouden de categorieën overzichten moeten worden gespecificeerd en zou moeten worden verduidelijkt naar welke ondernemingen de bepaling verwijst. De EDPS neemt aan dat de overzichten zullen overeenkomen met die waarnaar wordt verwezen in het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende markten voor financiële instrumenten („de voorgestelde MIFID”). De EDPS benadrukt dat hij enkele kanttekeningen bij dit voorstel heeft geplaatst, waarbij hij heeft aanbevolen om ook deze begrippen te verduidelijken (15). Bovendien heeft de EDPS aanbevolen, voor zover telefoon- en verkeersdata betrekking hebben op telefonische gesprekken en elektronische communicatie als bedoeld in artikel 16, lid 7, van de voorgestelde MIFID, om het doel van het vastleggen van dergelijke communicatie te omschrijven en te specificeren welke soorten communicatie en welke categorieën gegevens van de communicaties zullen worden vastgelegd (16).

34.

Tot slot doet het de EDPS genoegen te zien dat in de tekst als voorwaarde voor het verkrijgen van toegang tot de overzichten wordt gesteld dat er een redelijk vermoeden moet bestaan dat er sprake is van een schending van de voorgestelde verordening of de voorgestelde richtlijn en dat toegang door de bevoegde autoriteiten tot de inhoud van de communicatie uitdrukkelijk wordt uitgesloten.

35.

Artikel 11, lid 1, van de voorgestelde verordening bepaalt dat elke exploitant van een handelsplatform of -faciliteit doeltreffende regelingen en procedures dient in te stellen en te handhaven om marktmisbruik te voorkomen en op te sporen. Artikel 11, lid 2, bepaalt dat iedereen die beroepshalve transacties met betrekking tot financiële instrumenten tot stand brengt of uitvoert, gebruik dient te maken van systemen voor de opsporing en melding van orders en transacties die mogelijk handel met voorwetenschap, marktmanipulatie of een poging tot marktmanipulatie of handel met voorwetenschap inhouden. In geval van een redelijk vermoeden moet de bevoegde autoriteit daar onverwijld van in kennis worden gesteld. De Commissie zal de regelgevende technische normen vaststellen ter bepaling van de in lid 1 bedoelde regelingen en procedures en ter bepaling van de in lid 2 bedoelde systemen en meldingsmodellen (artikel 11, lid 3, laatste zin).

36.

Omdat in deze systemen zeer waarschijnlijk persoonsgegevens zullen worden verwerkt (bv. bij het volgen van transacties die worden uitgevoerd door personen die op de lijst van personen met voorwetenschap staan), wil de EDPS onderstrepen dat deze normen zouden moeten worden ontwikkeld overeenkomstig het beginsel van ingebouwde privacy („privacy by design”), d.w.z. met inachtneming van gegevensbescherming en privacy vanaf de ontwerpfase van nieuwe producten, diensten en procedures in het kader waarvan persoonsgegevens worden verwerkt (17). Voorts beveelt de EDPS aan om melding te maken van de noodzaak om de EDPS te raadplegen voor zover deze regelgevende technische normen de verwerking van persoonsgegevens inhouden.

37.

De EDPS heeft kennis genomen van de verwijzing naar Richtlijn 95/46/EG, en met name naar artikel 25 of artikel 26, en de specifieke waarborgen die worden genoemd in artikel 23 van de voorgestelde verordening over de openbaarmaking van persoonsgegevens aan derde landen. In het bijzonder de beoordeling per geval, de verplichting om zich te overtuigen van de noodzaak van de overdracht, de vereiste van voorafgaande toestemming van de bevoegde autoriteit voor de verdere overdracht van gegevens aan en door een derde land en het bestaan van een passend beschermingsniveau voor persoonsgegevens in het derde land dat de persoonsgegevens ontvangt worden beschouwd als passende waarborgen in verband met de risico's die aan dergelijke overdrachten zijn verbonden.

38.

Artikel 26, lid 3, van de voorgestelde verordening verplicht de lidstaten om ervoor te zorgen dat de bevoegde autoriteiten elke administratieve maatregel en sanctie die wordt opgelegd vanwege een inbreuk op deze verordening zonder onnodige vertraging bekendmaken, met ten minste gegevens over de soort en aard van de inbreuk en de identiteit van de ervoor verantwoordelijke personen, tenzij een dergelijke openbaarmaking de stabiliteit van financiële markten ernstig in gevaar zou brengen.

39.

De bekendmaking van sancties zou een groter afschrikkend effect hebben, omdat feitelijke en potentiële plegers van inbreuken zouden worden ontmoedigd om inbreuken te plegen omdat dit tot aanzienlijke reputatieschade zou kunnen leiden. Ook zou als gevolg hiervan de transparantie toenemen, omdat marktdeelnemers bewust zouden worden gemaakt van het feit dat een inbreuk door een bepaalde persoon is gepleegd. Deze verplichting wordt alleen beperkt wanneer bekendmaking de betrokken partijen onevenredige schade zou berokkenen, in welk geval de bevoegde autoriteiten de sancties zonder vermelding van namen bekendmaken.

40.

De EDPS verwelkomt de verwijzing in overweging 35 naar het Handvest van de grondrechten en met name naar het recht op bescherming van persoonsgegevens bij de aanneming en bekendmaking van sancties. De EDPS is er echter niet van overtuigd dat de verplichte bekendmaking van sancties, zoals de bepaling nu is geformuleerd, voldoet aan de eisen van de gegevensbeschermingswetgeving zoals deze door het Hof van Justitie is uitgelegd in het arrest-Schecke  (18). De EDPS is van mening dat het doel, de noodzaak en de evenredigheid van de maatregel onvoldoende zijn aangetoond en dat in elk geval in passende waarborgen in verband met de risico's voor de rechten van personen had moeten worden voorzien.

41.

In het arrest-Schecke heeft het Hof van Justitie de bepalingen van een verordening van de Raad en een verordening van de Commissie waarin werd voorzien in de verplichte bekendmaking van informatie over de begunstigden van landbouwfondsen, inclusief de identiteit van de begunstigden en de ontvangen bedragen, nietig verklaard. In genoemd arrest oordeelt het Hof dat deze bekendmaking een verwerking is van persoonsgegevens in de zin van artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en derhalve een aantasting van de bij de artikelen 7 en 8 van het Handvest toegekende rechten inhoudt.

42.

Na de vaststelling dat „uitzonderingen op en beperkingen van de bescherming van persoonsgegevens binnen de grenzen van het strikt noodzakelijke moeten blijven”, analyseerde het Hof het doel van de bekendmaking en de evenredigheid ervan. Daarbij concludeerde het Hof dat uit niets is gebleken dat de Raad en de Commissie bij de aanneming van de wetgeving andere methoden om de informatie bekend te maken, die consistent zijn met het doel van deze bekendmaking en een minder ingrijpende aantasting van de rechten van de begunstigden met zich meebrengen, in overweging hebben genomen.

43.

Artikel 26, lid 3, van de voorgestelde verordening lijkt aan dezelfde tekortkomingen te lijden als die waarop het Hof van Justitie in het arrest-Schecke heeft gewezen. Daarbij moet in gedachte worden gehouden dat bij het beantwoorden van de vraag of een bepaling waarin de publieke openbaarmaking van persoonlijke informatie wordt vereist in overeenstemming is met de voorschriften inzake gegevensbescherming, een duidelijk en welomschreven doel dat de voorgenomen bekendmaking moet dienen van cruciaal belang is. Alleen als er een duidelijk en welomschreven doel is, kan worden beoordeeld of de bekendmaking van de persoonsgegevens in kwestie feitelijk noodzakelijk en evenredig is (19).

44.

Na lezing van het voorstel en de begeleidende documenten (d.w.z. het effectbeoordelingsverslag), heeft de EDPS de indruk dat het doel, en dientengevolge de noodzaak, van deze maatregel niet duidelijk is vastgesteld. Terwijl in de overwegingen bij het voorstel niet op deze kwesties wordt ingegaan, wordt in het effectbeoordelingsverslag alleen gewezen op algemene positieve effecten (het afschrikwekkende effect op marktmisbruik, de bijdrage aan de bescherming van beleggers, gelijke behandeling van de uitgevende instellingen, verbeterde handhaving) en wordt slechts vermeld dat „bekendmaking van sancties van groot belang is om de transparantie te verbeteren en het vertrouwen in de financiële markten in stand te houden” en dat „bekendmaking van de opgelegde sancties zal bijdragen tot de verwezenlijking van de doelstelling van afschrikking en tot verbetering van de marktintegriteit en de bescherming van beleggers” (20). Een dergelijke algemene verklaring lijkt niet voldoende om de noodzaak van de voorgestelde maatregel aan te tonen. Als het algemene doel is om de afschrikking te versterken, schijnt het de EDPS toe dat de Commissie met name had moeten toelichten waarom zwaardere financiële sancties (of andere sancties die niet op „naming and shaming” neerkomen) niet hadden volstaan.

45.

Bovendien lijken minder ingrijpende methoden, zoals het per geval beoordelen of bekendmaking noodzakelijk is, in het effectbeoordelingsverslag niet in aanmerking te zijn genomen. Met name de laatstgenoemde optie lijkt op het eerste gezicht een meer evenredige oplossing, vooral omdat — zoals wordt erkend in artikel 26, lid 1, onder d) — bekendmaking zelf een sanctie is, waarvoor derhalve per geval een beoordeling is vereist, rekening houdend met de relevante omstandigheden, zoals de ernst van de schending, de mate van persoonlijke verantwoordelijkheid, of er sprake is van eerdere overtredingen, de omvang van de verliezen die door derden worden geleden, enz (21).

46.

In het effectbeoordelingsverslag wordt niet uitgelegd waarom de optie om de bekendmaking per geval te beoordelen niet voldoet. Er wordt alleen opgemerkt dat de bekendmaking van opgelegde sancties zal „bijdragen tot de verwezenlijking van de doelstelling om waar mogelijk opties en speelruimten weg te nemen door de huidige discretionaire bevoegdheid van de lidstaten om geen bekendmaking te vereisen op te heffen” (22). In de visie van de EDPS is de mogelijkheid om het geval in het licht van de specifieke omstandigheden te beoordelen een meer evenredige en daarom te verkiezen optie boven verplichte bekendmaking in alle gevallen. Deze discretionaire bevoegdheid zou de bevoegde autoriteit bijvoorbeeld de mogelijkheid bieden om niet tot bekendmaking over te gaan wanneer de schending minder ernstig is, de schending geen significante schade heeft veroorzaakt, de betrokken partij met de autoriteiten meewerkt, enz. De beoordeling die in het effectbeoordelingsverslag wordt gemaakt neemt de twijfels over de noodzaak en de evenredigheid van de maatregel derhalve niet weg.

47.

De voorgestelde verordening had moeten voorzien in passende waarborgen om een billijk evenwicht tussen de verschillende in het geding zijnde belangen te bereiken. In de eerste plaats zijn waarborgen nodig in verband met het recht van de beschuldigde personen om het besluit bij de rechter aan te vechten en het beginsel van het vermoeden van onschuld. In de tekst van artikel 26, lid 3, hadden in dit verband specifieke formuleringen moeten worden opgenomen die de bevoegde autoriteiten verplichten passende maatregelen te nemen met het oog op zowel de situatie dat het besluit afhankelijk is van de uitkomst van een beroepsprocedure als de situatie dat het besluit uiteindelijk door een rechter nietig is verklaard (23).

48.

In de tweede plaats zou de voorgestelde verordening ervoor moeten zorgen dat de rechten van de betrokkenen op proactieve wijze worden gerespecteerd. De EDPS waardeert het feit dat de definitieve versie van het voorstel voorziet in de mogelijkheid om bekendmaking te vermijden indien dit onevenredige schade zou veroorzaken. Een proactieve aanpak moet echter met zich meebrengen dat betrokkenen van tevoren in kennis worden gesteld van het feit dat het besluit om hun een sanctie op te leggen zal worden bekendgemaakt en dat ze krachtens artikel 14 van Richtlijn 95/46/EG het recht hebben om zich om zwaarwegende en gerechtvaardigde redenen te verzetten tegen de bekendmaking (24).

49.

In de derde plaats is het in de praktijk voorstelbaar, hoewel in de voorgestelde verordening niet wordt gespecificeerd via welk medium de informatie bekend moet worden gemaakt, dat de informatie in de meeste landen op internet bekend zal worden gemaakt. Aan bekendmaking op internet zijn specifieke vraagstukken en risico's verbonden, in het bijzonder in verband met de noodzaak ervoor te zorgen dat de informatie niet langer online toegankelijk is dan nodig is en dat de gegevens niet kunnen worden gemanipuleerd of gewijzigd. Het gebruik van externe zoekmachines brengt ook het risico met zich mee dat de informatie uit de context wordt gehaald en door en buiten het internet wordt geleid op manieren die moeilijk beheersbaar zijn (25).

50.

Gezien het bovenstaande moeten de lidstaten worden verplicht om ervoor te zorgen dat persoonsgegevens van de betrokken personen slechts gedurende een redelijke periode online toegankelijk worden gehouden, waarna ze systematisch moeten worden verwijderd (26). Daarnaast moeten de lidstaten worden verplicht om voor passende beveiligingsmaatregelen en waarborgen te zorgen, met name om bescherming te bieden tegen de risico's die zijn verbonden aan het gebruik van externe zoekmachines (27).

51.

De EDPS is van mening dat de bepaling inzake de verplichte bekendmaking van sancties — zoals deze op dit moment is geformuleerd — niet in overeenstemming is met het grondrecht op privacy en gegevensbescherming. De wetgever zou de noodzaak van het voorgestelde systeem zorgvuldig moeten beoordelen en moeten nagaan of de bekendmakingsverplichting verder gaat dan nodig is om het nagestreefde doel van algemeen belang te verwezenlijken en of er minder restrictieve maatregelen kunnen worden genomen om hetzelfde doel te verwezenlijken. Afhankelijk van het resultaat van deze evenredigheidstoetsing zou de bekendmakingsverplichting in elk geval moeten worden ondersteund door passende waarborgen voor de eerbiediging van het beginsel van het vermoeden van onschuld, het recht van verzet van de betrokken personen, de beveiliging/juistheid van gegevens en de verwijdering ervan na een passende tijdsperiode.

52.

Artikel 29 van de voorgestelde verordening verplicht de lidstaten tot de instelling van doeltreffende mechanismen voor het melden van inbreuken, ook wel klokkenluidersregelingen genoemd. Hoewel deze systemen een doelmatig handhavingsinstrument kunnen vormen, zijn zij reden tot aanzienlijke bezorgdheid vanuit het oogpunt van gegevensbescherming (28).

53.

De EDPS is ingenomen met het feit dat de voorgestelde verordening specifieke, op nationaal niveau verder te ontwikkelen waarborgen bevat voor de bescherming van personen die melding van vermeende schendingen maken, en meer in het algemeen voor de bescherming van persoonsgegevens. De EDPS is zich ervan bewust dat in de voorgestelde verordening alleen de belangrijkste elementen van de door de lidstaten ten uitvoer te leggen regeling worden uiteengezet. Desalniettemin wil de EDPS aandacht vragen voor de volgende aanvullende punten.

54.

De EDPS wijst erop, zoals hij dat ook in andere adviezen heeft gedaan (29), dat een specifieke vermelding van de noodzaak om de vertrouwelijkheid van de identiteit van klokkenluiders en informanten te eerbiedigen zou moeten worden ingevoerd. De EDPS onderstreept dat de positie van de klokkenluider een gevoelige is. Personen die dit soort informatie verstrekken moeten de garantie krijgen dat hun identiteit vertrouwelijk wordt gehouden, met name tegenover de persoon van wie een vermeende overtreding wordt gemeld (30). De vertrouwelijkheid van de identiteit van klokkenluiders zou in alle fasen van de procedure moeten worden gegarandeerd, zolang dit niet in strijd is met de nationale voorschriften voor gerechtelijke procedures. Met name bestaat de mogelijkheid dat de identiteit bekend moet worden gemaakt in het kader van nader onderzoek of een daaropvolgende, als gevolg van het onderzoek ingestelde gerechtelijke procedure (ook als is vastgesteld dat er opzettelijk valse verklaringen over hem/haar zijn afgelegd) (31). Gezien het bovenstaande beveelt de EDPS aan om in artikel 29, lid 1, onder b), de volgende bepaling toe te voegen: „de vertrouwelijkheid van de identiteit van deze personen moet in alle fasen van de procedure worden gegarandeerd, tenzij openbaarmaking vereist wordt door het nationaal recht in het kader van nader onderzoek of een daaropvolgende gerechtelijke procedure”.

55.

Tot slot, met betrekking tot artikel 29, lid 1, onder c), is de EDPS ingenomen met het feit dat deze bepaling de lidstaten verplicht om voor de bescherming van persoonsgegevens van zowel de beschuldigende als de beschuldigde persoon te zorgen, in overeenstemming met de beginselen van Richtlijn 95/46/EG. De EDPS stelt echter voor om de zinsnede „de beginselen van” te schrappen teneinde de verwijzing naar de richtlijn meer omvattend en bindend te maken. Wat betreft de noodzaak om bij de praktische tenuitvoerlegging van de regelingen de gegevensbeschermingswetgeving te eerbiedigen, wenst de EDPS met name de door de Groep Gegevensbescherming artikel 29 in zijn advies van 2006 betreffende klokkenluidersregelingen geformuleerde aanbevelingen te onderstrepen. Bij de tenuitvoerlegging van nationale regelingen moeten de betrokken entiteiten onder meer rekening houden met de noodzaak om het evenredigheidsbeginsel te respecteren door, voor zover mogelijk, de categorieën van personen die kunnen worden beschuldigd en de schendingen waarvan ze kunnen worden beschuldigd te beperken, evenals met de noodzaak om geïdentificeerde en vertrouwelijke meldingen te bevorderen ten opzichte van anonieme meldingen, de noodzaak om de identiteit van klokkenluiders openbaar te maken wanneer ze opzettelijk valse verklaringen afleggen en de noodzaak om zich te houden aan strikte bewaringsperioden voor de gegevens.

56.

De EDPS is ingenomen met het feit dat in de voorgestelde verordening specifiek aandacht aan gegevensbescherming wordt besteed.

57.

De EDPS doet de volgende aanbevelingen: