|
15.6.2021 |
NL |
Publicatieblad van de Europese Unie |
C 229/13 |
Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie
(De volledige tekst van dit advies is beschikbaar in het Engels, Frans en Duits op de EDPS-website www.edps.europa.eu)
(2021/C 229/04)
De Europese Commissie heeft op 24 september 2020 haar voorstel vastgesteld voor een verordening van het Europees Parlement en de Raad betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie (COM(2020) 594 final). Het voorstel stelt geharmoniseerde vereisten vast voor bepaalde marktdeelnemers voor het aanvragen en verkrijgen van een vergunning om marktinfrastructuren op basis van “distibuted ledger”-technologie (DLT) te exploiteren.
De EDPS benadrukt dat de bescherming van persoonsgegevens geen belemmering vormt voor innovatie en met name voor de ontwikkeling van nieuwe technologieën in de financiële sector. Tegelijkertijd brengt hij in herinnering dat de maatregelen die op EU-niveau worden genomen met betrekking tot innovatieve technologieën, voor de verwerking van persoonsgegevens in overeenstemming moeten zijn met de algemene beginselen van noodzakelijkheid en evenredigheid. Bovendien is de EDPS, gezien het gebrek aan een volledig beeld van de gevolgen van deze nieuwe technologieën voor onze samenleving, van mening dat het voorzorgsbeginsel moet worden gevolgd.
De EDPS merkt op dat, afhankelijk van de configuratie van de DLT, de daarin opgeslagen meta- of transactiegegevens als persoonsgegevens kunnen worden beschouwd indien zij betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. De verwerkingsverantwoordelijken moeten de configuratie van de DLT dus zorgvuldig analyseren en documenteren om vast te stellen of daardoor persoonsgegevens worden verwerkt en of de activiteiten als gevolg daarvan aan de verplichtingen inzake gegevensbescherming zijn onderworpen.
De EDPS benadrukt dat de technologie achter sommige “digital ledgers” (digitale grootboeken), met name die welke openbaar en “permissionless” (open) zijn, cruciale vragen doet rijzen met betrekking tot de verenigbaarheid ervan met de vereisten inzake gegevensbescherming.
De EDPS is van mening dat er voordat het voorstel in werking treedt, een discussie moet plaatsvinden over de verenigbaarheid van DLT-systemen in het algemeen met het gegevensbeschermingskader.
De EDPS merkt op dat in het geval van DLT’s met “on-chain”-persoonsgegevens, de daarmee verband houdende verwerkingen waarschijnlijk zullen voldoen aan de criteria voor de indeling van de verwerking als zeer risicovol. Daarom moet de verwerkingsverantwoordelijke voorafgaand aan de verwerking van persoonsgegevens een gegevensbeschermingseffectbeoordeling uitvoeren voor de beoogde verwerkingen. Bovendien kan voorafgaande toestemming van de bevoegde gegevensbeschermingsautoriteit vereist zijn.
De EDPS beveelt aan om in het voorstel, in het kader van de informatie in verband met de aanvraag voor een vergunning om een DLT-marktinfrastructuur te exploiteren, in voorkomend geval te verzoeken om de kerngegevens met betrekking tot de beoogde verwerkingen. Voorts beveelt hij aan dat exploitanten van DLT-marktinfrastructuren de privacyverklaring op dezelfde plaats publiceren als de informatie over de exploitatie ervan, zoals dit in het voorstel wordt voorgeschreven.
De EDPS benadrukt dat de in het voorstel opgenomen IT- en cyberregelingen voor de exploitatie van DLT-marktinfrastructuren ook in overeenstemming moeten zijn met de verplichtingen uit hoofde van de artikelen 22 en 32 van de AVG. (1)
Tot slot beveelt de EDPS aan om, in het kader van de melding van operationele kwesties door exploitanten van DLT-marktinfrastructuren, er in een overweging op te wijzen dat inbreuken in verband met persoonsgegevens ook door de exploitant moeten worden gemeld aan de bevoegde gegevensbeschermingsautoriteit, overeenkomstig artikel 33 van de AVG, en, indien van toepassing, aan de betrokkenen, overeenkomstig artikel 34 van de AVG.
3. ACHTERGROND
|
1. |
Op 24 september 2020 stelde de Europese Commissie haar voorstel vast voor een verordening van het Europees Parlement en de Raad betreffende een proefregeling voor marktinfrastructuren op basis van “distributed ledger”-technologie (COM(2020) 594 final, hierna: “het Voorstel”). Het voorstel stelt geharmoniseerde vereisten vast voor specifieke marktdeelnemers, namelijk beleggingsondernemingen, marktexploitanten of centrale effectenbewaarinstellingen, voor het aanvragen en verkrijgen van een vergunning om marktinfrastructuren op basis van “digital ledger”-technologie (“DLT-marktinfrastructuur”) te exploiteren in een onder toezicht staande omgeving, waarbij voor de naleving van financiële voorschriften specifieke vrijstellingen gelden. Het voorstel heeft met name vier doelstellingen: het bieden van rechtszekerheid voor cryptoactiva, het waarborgen van financiële stabiliteit, het beschermen van consumenten en beleggers en het mogelijk maken van innovatie met het oog op het gebruik van blockchain, “distributed ledger”-technologie en cryptoactiva. |
|
2. |
Dit voorstel maakt deel uit van een pakket dat een voorstel omvat voor een verordening om markten voor cryptoactiva op te bouwen (2) (de “MiCA-verordening”), een voorstel voor digitale operationele veerkracht (3) (de “DORA-verordening”), en een voorstel ter verduidelijking of wijziging van een aantal daarmee samenhangende EU-regels voor financiële diensten (4). De EDPS verwacht ook te worden geraadpleegd over de andere verordeningen van het pakket, overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725. |
|
3. |
Op 26 februari 2021 heeft de Europese Commissie de Europese Toezichthouder voor gegevensbescherming (de “EDPS”) overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 verzocht advies uit te brengen over het voorstel. Deze opmerkingen blijven beperkt tot de bepalingen van het voorstel die relevant zijn vanuit het oogpunt van gegevensbescherming. |
5. CONCLUSIES
In het licht van het bovenstaande:
|
— |
brengt de EDPS in herinnering dat de bescherming van persoonsgegevens geen belemmering vormt voor innovatie en meer bepaald voor de ontwikkeling van nieuwe technologieën, met name in de financiële sector; |
|
— |
benadrukt de EDPS dat de technologie achter sommige “digital ledgers” (digitale grootboeken), met name die welke openbaar en “permissionless” (open) zijn, cruciale vragen doet rijzen met betrekking tot de vereisten inzake gegevensbescherming en beveelt de EDPS derhalve aan om de discussie over de mogelijke manier om de verenigbaarheid van DLT-systemen met het gegevensbeschermingskader te waarborgen te voeren voordat het voorstel in werking treedt; |
|
— |
benadrukt de EDPS dat cryptoactiva die worden verhandeld in de DLT-marktinfrastructuren waarop het voorstel betrekking heeft, alleen de activa mogen zijn die gebruikmaken van een DLT-configuratie die in overeenstemming is met het gegevensbeschermingskader; |
|
— |
stelt de EDPS voor om, als onderdeel van de informatie die de exploitant in het kader van zijn aanvraag voor de exploitatie van een DLT-marktinfrastructuur moet geven, in voorkomend geval ook de lijst op te nemen van de geplande verwerkingen met persoonsgegevens, de toewijzing van taken en verantwoordelijkheden van elke exploitant uit hoofde van de AVG binnen de DLT-marktinfrastructuur, alsmede de belangrijkste ingeschatte risico’s en risicobeperkende strategieën voor gegevensbescherming. |
|
— |
benadrukt de EDPS dat IT- en cyberregelingen waarin het voorstel voor de exploitatie van DLT-marktinfrastructuren voorziet, ook in overeenstemming moeten zijn met de verplichtingen van de artikelen 22 en 32 van de AVG; |
|
— |
beveelt de EDPS aan om er in een overweging, in het kader van de melding van operationele kwesties door exploitanten van DLT-marktinfrastructuren, aan te herinneren dat inbreuken in verband met persoonsgegevens ook door de exploitant moeten worden gemeld aan de bevoegde toezichthoudende autoriteit voor gegevensbescherming, overeenkomstig artikel 33 van de AVG, en, indien van toepassing, aan de betrokkenen, overeenkomstig artikel 34 van de AVG. |
Brussel, 23 april 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(2) Voorstel voor een verordening van het Europees Parlement en de Raad betreffende markten in cryptoactiva en tot wijziging van Richtlijn (EU) 2019/1937, COM/2020/593 final. Beschikbaar op eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52020PC0593
(3) Voorstel voor een verordening van het Europees Parlement en de Raad betreffende digitale operationele veerkracht voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 en (EU) nr. 909/2014, COM/2020/595 final, beschikbaar op EUR-Lex https://eur-lex.europa.eu/legal-content/nl/ALL/?uri=CELEX:52020PC0595
(4) Voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van de Richtlijnen 2006/43/EG, 2009/65/EG, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 en EU/2016/2341, COM/2020/596 final. Beschikbaar op https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52020PC0596