25.5.2012   

PL

Dziennik Urzędowy Unii Europejskiej

C 147/1

1.

Niniejsza opinia wchodzi w skład pakietu czterech opinii EIOD dotyczących sektora finansowego, wydanych tego samego dnia (3).

2.

W dniu 20 października 2011 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie rynków instrumentów finansowych uchylającej dyrektywę 2004/39/WE Parlamentu Europejskiego i Rady (4) („proponowana dyrektywa”) oraz wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków instrumentów finansowych oraz zmieniającego rozporządzenie (EMIR) w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, partnerów centralnych i repozytoriów transakcji („proponowane rozporządzenie”) (zwane dalej łącznie „wnioskami”).

3.

Przed przyjęciem wniosków przeprowadzono nieformalną konsultację z EIOD. EIOD odnotowuje fakt, iż kilka z jego uwag zostało uwzględnionych we wnioskach.

4.

Dyrektywa w sprawie rynków instrumentów finansowych („MiFID”), obowiązująca od listopada 2007 r., jest jednym z głównych filarów integracji unijnych rynków finansowych. Obecnie obejmuje ona dyrektywę ramową (dyrektywa 2004/39/WE), dyrektywę wykonawczą (dyrektywa 2006/73/WE) oraz rozporządzenie wykonawcze (rozporządzenie (WE) nr 1287/2006).

5.

Dyrektywa MiFID ustanawia ramy regulacyjne dotyczące świadczenia usług inwestycyjnych w zakresie instrumentów finansowych (takich jak usługi maklerskie, doradztwo, operacje dealerskie, zarządzanie portfelem, gwarantowanie emisji itp.) przez banki i firmy inwestycyjne oraz prowadzenia rynków regulowanych przez podmioty zarządzające rynkiem. Określa ona także uprawnienia i obowiązki właściwych organów krajowych w odniesieniu do tych rodzajów działalności. W ujęciu szczegółowym znosi ona możliwość formułowania przez państwa członkowskie wymogu, zgodnie z którym cały obrót instrumentami finansowymi miałby odbywać się wyłącznie na określonych giełdach, oraz umożliwia ogólnoeuropejską konkurencję pomiędzy tradycyjnymi giełdami a alternatywnymi systemami obrotu.

6.

Po ponadtrzyletnim okresie obowiązywania daje się zauważyć wzrost konkurencji pomiędzy systemami obrotu instrumentami finansowymi oraz większą możliwość wyboru dla inwestorów w zakresie usługodawców i dostępnych instrumentów finansowych. Pojawiły się jednak także pewne problemy. Na przykład nie wszyscy uczestnicy rynku w jednakowym stopniu objęci zostali korzyściami ze wzrostu konkurencji, i nie zawsze docierają one do detalicznych bądź hurtowych inwestorów końcowych, niektóre przepisy MiFID nie dotrzymują kroku rozwojowi rynków i technologii, a kryzys finansowy obnażył słabe punkty uregulowań dotyczących niektórych instrumentów.

7.

Celem przeglądu dyrektywy MiFID jest dostosowanie i aktualizacja obecnych przepisów pod kątem rozwoju rynków, w tym kryzysu finansowego i rozwoju technologii, oraz poprawa ich skuteczności.

8.

Wiele aspektów przedmiotowych wniosków ma wpływ na prawa osób fizycznych w związku z przetwarzaniem ich danych osobowych. Są to: 1) obowiązek prowadzenia rejestrów i sprawozdawczości z transakcji; 2) uprawnienia właściwych organów (w tym prawo do przeprowadzania kontroli oraz prawo do żądania wydania rejestrów połączeń telefonicznych i rejestrów przesyłu danych); 3) publikacja sankcji; 4) zgłaszanie przypadków naruszenia, w szczególności przepisy dotyczące informowania o nieprawidłowościach (ang. whistle-blowing); 5) współpraca pomiędzy właściwymi organami państw członkowskich a EUNGiPW.

9.

W wielu motywach (5) wniosków wzmiankowane są: Karta praw podstawowych, dyrektywa 95/46/WE oraz rozporządzenie (WE) nr 45/2001. Należy jednak wprowadzić odniesienie do obowiązującego ustawodawstwa dotyczącego ochrony danych w jednym z artykułów materialnoprawnych.

10.

Dobrym przykładem takiego przepisu materialnoprawnego jest art. 22 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (6), w którym określono wyraźnie jako ogólną zasadę, że przetwarzanie danych w ramach wniosku podlega przepisom dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. EIOD wydał ostatnio opinię w sprawie tego wniosku, gdzie z dużym uznaniem przyjmuje taki nadrzędny przepis. EIOD sugeruje jednak ujednoznacznienie odniesienia do dyrektywy 95/46/WE poprzez wskazanie, iż przedmiotowe przepisy będą stosowane zgodnie z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE.

11.

W związku z powyższym EIOD sugeruje wprowadzenie podobnego przepisu materialnoprawnego, jak w art. 22 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (7), z zastrzeżeniem sugestii, jakie przedstawił na temat tego wniosku (8), tj. podkreślenie faktu stosowania istniejącego ustawodawstwa dotyczącego ochrony danych oraz ujednoznacznienie odniesienia do dyrektywy 95/46/WE poprzez wskazanie, iż przedmiotowe przepisy będą stosowane zgodnie z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE.

12.

Ponadto brzmienie motywów powinno konsekwentnie wskazywać, iż państwa członkowskie „są obowiązane”, a nie jedynie „powinny” przestrzegać odnośnego ustawodawstwa dotyczącego ochrony danych, ponieważ pozostaje ono w mocy, a jego stosowanie nie jest uznaniowe.

13.

W treści motywu 27 oraz art. 21–23 proponowanego rozporządzenia wprowadzono zasadę, zgodnie z którą właściwe organy koordynowane przez EUNGiPW monitorują działalność firm inwestycyjnych, co ma zapewnić ich działanie w sposób uczciwy, rzetelny i profesjonalny oraz promujący integralność rynku. W tym celu organy muszą mieć możliwość identyfikacji osoby, która podjęła decyzję inwestycyjną oraz osób odpowiedzialnych za jej wykonanie (motyw 28).

14.

W celu wdrożenia takiej działalności monitoringowej art. 22 zobowiązuje firmy inwestycyjne do przechowywania do dyspozycji właściwych władz, przez przynajmniej pięć lat, właściwych danych odnoszących się do wszystkich transakcji na instrumentach finansowych, które realizują. Zapisy takie obejmują wszelkie informacje i szczegółowe dane dotyczące tożsamości klienta. Szczegółowe dane dotyczące transakcji na instrumentach finansowych należy zgłaszać właściwym organom, aby umożliwić im wykrywanie i badanie potencjalnych przypadków nadużyć na rynku, monitorowania uczciwego i należytego funkcjonowania rynków oraz działalności przedsiębiorstw inwestycyjnych. O udostępnienie takich danych może również występować EUNGiPW.

15.

Firma inwestycyjna obowiązana jest możliwie najszybciej przedkładać dane szczegółowe dotyczące takich transakcji, w tym tożsamość klientów, właściwym organom (art. 23). W przypadku gdy klienci są osobami fizycznymi, operacje takie wiążą się z przetwarzaniem danych osobowych w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 oraz ewentualnie z tworzeniem ogólnych baz danych.

16.

W ocenie skutków nie uwzględniono, jak się wydaje, oceny pięcioletniego okresu zatrzymywania sprawozdań z transakcji. Zgodnie z art. 6 ust. 1 lit. e) dyrektywy 95/46/WE dane osobowe nie powinny być przechowywane przez czas dłuższy niż to konieczne do celu, dla którego dane były gromadzone. W celu zachowania tego wymogu EIOD sugeruje zastąpienie minimalnego pięcioletniego okresu przechowywania maksymalnym okresem przechowywania. Wybrany okres powinien być niezbędny i proporcjonalny do celu, dla którego dane były gromadzone.

17.

Artykuł 16 dyrektywy zawiera wymogi organizacyjne dotyczące firm inwestycyjnych. Firmy obowiązane są w szczególności zapewnić prowadzenie rejestrów wszystkich zawieranych przez siebie usług i transakcji umożliwiających właściwym organom monitorowanie zgodności z wymogami ustanowionymi na podstawie dyrektywy. Rejestry takie powinny umożliwić ustalenie, czy dana firma inwestycyjna wypełniła wszystkie zobowiązania w odniesieniu do klientów lub potencjalnych klientów. Należy przyjąć, że, choć nie zostało to określone w samym tekście, dane takie zawierałyby również dane osobowe klientów i pracowników.

18.

Zgodnie z art. 16 ust. 12 Komisja jest uprawniona do przyjmowania aktów delegowanych w odniesieniu do środków służących określeniu konkretnych wymogów organizacyjnych określonych w dyrektywie. W związku z tym EIOD wzywa Komisję do przeprowadzania z nim konsultacji w chwili przyjęcia aktów delegowanych. Środki takie w każdym przypadku powinny mieć na celu ograniczenie do minimum przechowywania i przetwarzania danych, które mają być rejestrowane przez firmy inwestycyjne. Jak już wskazano w odniesieniu do rozporządzenia, Komisja powinna również szczegółowo ocenić, jaki okres zatrzymywania powinien zostać określony w stosunku do takich danych, aby zatrzymywanie takie miało charakter odpowiedni i proporcjonalny.

19.

Zgodnie z proponowaną dyrektywą prowadzona będzie rejestracja rozmów telefonicznych lub korespondencji elektronicznej.

20.

Rejestry rozmów telefonicznych lub korespondencji elektronicznej zazwyczaj zawierają dane osobowe stron takiej komunikacji, nawet jeśli dotyczą one transakcji finansowych lub działalności zawodowej. Dane dotyczące korespondencji elektronicznej mogą być źródłem różnorodnych informacji osobowych, w tym danych o ruchu, a także treści. Ponadto użycie terminu „rozmowa” sugeruje, że treść wiadomości będzie rejestrowana.

21.

W zakresie, w jakim występuje związek z danymi osobowymi w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, zastosowanie mają główne zasady dotyczące ochrony danych, w szczególności zasady celowości, niezbędności i proporcjonalności oraz obowiązek nieprzechowywania danych dłużej, niż to konieczne.

22.

Zgodnie z art. 6 ust. 1 lit. b) dyrektywy 95/46/WE dane osobowe muszą być gromadzone do określonych, jednoznacznych i legalnych celów oraz nie mogą być poddawane dalszemu przetwarzaniu w sposób niezgodny z tymi celami.

23.

W art. 16 ust. 7 proponowanej dyrektywy nie określono wyraźnie celu rejestrowania rozmów telefonicznych i korespondencji elektronicznej. Wiele różnych celów wymieniono jednak w motywie 42 i art. 16 ust. 6 proponowanej dyrektywy, we wskazówkach CESR oraz w ocenie skutków.

24.

W art. 16 ust. 6 proponowanej dyrektywy określono, iż firma inwestycyjna prowadzi rejestry wszystkich usług i transakcji zawieranych przez tę firmę „umożliwiające właściwemu organowi należyte monitorowanie zgodności z wymogami ustanowionymi przez proponowaną dyrektywę, w szczególności gwarantujące, że firma inwestycyjna wypełniła wszystkie zobowiązania w odniesieniu do klientów lub potencjalnych klientów”.

25.

W motywie 42 proponowanej dyrektywy wskazano, iż „[r]ejestrowanie rozmów telefonicznych lub korespondencji elektronicznej dotyczących zleceń klientów […] jest uzasadnione w celu wzmocnienia poziomu ochrony inwestorów, zwiększenia skuteczności nadzoru rynku oraz zwiększenia pewności prawa w interesie firm inwestycyjnych i ich klientów”. Motyw zawiera również odniesienie do wskazówek technicznych dla Komisji Europejskiej wydanych przez Komitet Europejskich Organów Nadzoru nad Rynkiem Papierów Wartościowych (CESR) w dniu 29 lipca 2010 r. w kwestii znaczenia takich rejestrów (9).

26.

We wskazówkach CESR podkreślono, iż w opinii właściwych organów rejestrowanie rozmów byłoby konieczne: (i) w celu zapewnienia materiału dowodowego dla potrzeb rozstrzygania sporów pomiędzy firmą ubezpieczeniową a jej klientami w związku z warunkami transakcji; (ii) dla umożliwienia działań nadzorczych dotyczących zasad prowadzenia działalności oraz (iii) w celu wsparcia zapobiegania przypadkom nadużyć na rynku i ich wykrywania oraz ułatwienia egzekwowania przepisów w tej dziedzinie. Rejestracja nie byłaby jedynym środkiem służącym prowadzeniu nadzoru przez organy, ale „może ona pomóc” właściwemu organowi w kontroli zgodności, np. z określonymi w dyrektywie MiFID wymogami dotyczącymi informacji dla klientów i potencjalnych klientów, najlepszego wykonania oraz obsługi zleceń klientów.

27.

W ocenie skutków wskazano, iż „informacje takie (tj. rejestry telefoniczne i elektroniczne) są potrzebne właściwym organom do zapewnienia integralności rynków oraz egzekwowania zgodności z zasadami prowadzenia działalności” (10).

28.

Różne cele, o których mowa w motywie 42 i art. 16 ust. 6 proponowanej dyrektywy, we wskazówkach CESR i w ocenie skutków, nie są opisane w logiczny i konsekwentny sposób, ale można je znaleźć w kilku miejscach we wniosku i w dokumentach towarzyszących. Zgodnie z art. 6 ust. 1 dyrektywy 95/46/WE dane należy gromadzić do określonych, jednoznacznych i legalnych celów. Z tego względu EIOD wzywa ustawodawcę do przejrzystego i precyzyjnego zdefiniowania celu rejestrowania rozmów telefonicznych i korespondencji elektronicznej w art. 16 ust. 7 proponowanej dyrektywy.

29.

Zgodnie z art. 6 ust. 1 lit. c) dyrektywy 95/46/WE dane osobowe muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone, tj. gromadzone dane muszą ograniczać się do tego, co właściwe dla osiągnięcia zamierzonego celu, i nie mogą wykraczać poza to, co niezbędne dla jego realizacji.

30.

W art. 16 ust. 7 jest mowa o rozmowach telefonicznych lub korespondencji elektronicznej dotyczących przynajmniej transakcji przeprowadzonych w ramach realizacji transakcji na własny rachunek oraz zleceń klientów w przypadku świadczenia usług w zakresie przyjmowania i przesyłania zleceń oraz ich realizacji w imieniu klientów.

31.

Po pierwsze, z wyjątkiem wyszczególnionych transakcji, w art. 16 ust. 7 nie określono, jakich rozmów telefonicznych i korespondencji elektronicznej dotyczą rejestry. EIOD zakłada, iż dotyczą one komunikacji związanej z usługami i transakcjami realizowanymi przez firmę inwestycyjną. Należy to jednak określić w sposób jednoznaczny. Ponadto użycie sformułowania „dotyczących przynajmniej” pozwala na rejestrowanie różnych serii rozmów telefonicznych lub korespondencji elektronicznej. Przepis ten powinien natomiast jednoznacznie definiować komunikację podlegającą rejestracji i ograniczać jej zakres do komunikacji niezbędnej do celu rejestracji.

32.

Po drugie, w przepisie nie sprecyzowano, jakie kategorie danych będą przechowywane. Jak wspomniano wcześniej, dane dotyczące korespondencji elektronicznej mogą być źródłem różnorodnych informacji osobowych, takich jak tożsamość osób wykonujących i odbierających połączenie, wskazania na temat czasu, wykorzystywana sieć, lokalizacja geograficzna użytkownika w przypadku urządzeń przenośnych itp. Sugeruje to również dostęp do treści wiadomości. Ponadto wskazanie na „rozmowy” sugeruje, że treść wiadomości będzie rejestrowana. Zgodnie z zasadą proporcjonalności dane osobowe zawarte w rejestrach rozmów telefonicznych i korespondencji elektronicznej muszą ograniczać się do tego, co niezbędne do celu, dla którego były gromadzone.

33.

Jeżeli rejestracja komunikacji ma na celu np. udokumentowanie transakcji dla celów dowodowych, to, jak się wydaje, jedynym możliwym sposobem na pozyskanie materiału dowodowego na temat transakcji jest rejestrowanie treści wiadomości. Rejestrowanie treści wiadomości dla ułatwienia wykrywania przypadków nadużyć na rynku lub dla celów ogólnego monitoringu zgodności z wymogami ustanowionymi w proponowanej dyrektywie byłoby jednak środkiem nadmiernym i nieproporcjonalnym. Z tego względu w art. 71 ust. 2 lit. d) proponowanej dyrektywy – który uprawnia właściwy organ do żądania wydania rejestrów połączeń telefonicznych i rejestrów przesyłu danych w posiadaniu firmy inwestycyjnej, jeżeli istnieje uzasadnione podejrzenie naruszenia przepisów proponowanej dyrektywy – wyraźnie wykluczono treść wiadomości. Na tej samej zasadzie również w przepisie art. 17 ust. 2 lit. f) wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (11) – nadającym właściwemu organowi takie same uprawnienia śledcze dla celów udowodnienia przypadków wykorzystywania informacji poufnych lub manipulacji na rynku – wyraźnie wykluczono treść wiadomości.

34.

W związku z powyższym EIOD zdecydowanie zaleca doprecyzowanie w art. 16 ust. 7 proponowanej dyrektywy, jakiego rodzaju rozmowy telefoniczne i korespondencja elektroniczna oraz jakie kategorie danych dotyczących takich rozmów i korespondencji będą rejestrowane. Dane takie muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do tego samego celu.

35.

Zgodnie z art. 6 ust. 1 lit. e) dyrektywy 95/46/WE dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osób, których dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których zostały zgromadzone (12). Okres zatrzymywania danych określony w art. 16 ust. 7 wynosi trzy lata. W ocenie skutków uznano, iż każdy środek z tej dziedziny powinien być zgodny z unijnymi zasadami ochrony danych określonymi w dyrektywie 95/46/WE. Podkreślono jednak, że wyznaczony okres zatrzymywania powinien uwzględniać istniejące ustawodawstwo unijne dotyczące zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej dla celów zwalczania poważnej przestępczości. W ocenie skutków stwierdza się zatem, iż maksymalny okres trzech lat uznano za zgodny z zasadami niezbędności i proporcjonalności mającymi zapewnić legalność ingerencji w jedno z praw podstawowych (13).

36.

W opinii EIOD analiza dotycząca niezbędności i proporcjonalności czasu trwania przedmiotowego środka jest niezadowalająca. W żadnym z różnych (i dość niejasnych) celów rejestrowania rozmów telefonicznych i korespondencji elektronicznej, o których mowa w art. 16 ust. 6, w motywie 42, w ocenie skutków lub we wskazówkach CESR, nie wymienia się zwalczania poważnej przestępczości.

37.

Należy dokonać oceny pod kątem celów rejestrowania w ramach proponowanej dyrektywy. Jeżeli np. celem jest „zapewnienie materiału dowodowego dla potrzeb rozstrzygania sporów pomiędzy firmą ubezpieczeniową a jej klientami w związku z warunkami transakcji” (14), to w ocenie skutków należy oszacować, jak długo powinny być przechowywane dane w kontekście przedawnienia praw, na podstawie których wszcząć można postępowanie sporne.

38.

W związku z powyższym EIOD wzywa ustawodawcę do dokładnego oszacowania, jaki okres zatrzymywania jest niezbędny do celu rejestrowania rozmów telefonicznych i korespondencji elektronicznej w szczególnym zakresie objętym wnioskiem.

39.

Artykuł 71 dyrektywy wymienia uprawnienia nadzorcze i śledcze właściwych organów.

40.

Artykuł 71 ust. 4 odwołuje się do dyrektywy 95/46/WE poprzez stwierdzenie, iż przetwarzanie danych osobowych gromadzonych w ramach wykonywania uprawnień nadzorczych i śledczych prowadzone jest w każdym przypadku z poszanowaniem podstawowego prawa do prywatności i podstawowego prawa do ochrony danych. EIOD z uznaniem przyjmuje ten przepis, który wyraźnie odnosi się do związku pomiędzy rolą właściwych organów jako podmiotów nadzorujących a przetwarzaniem danych osobowych w ramach ich czynności.

41.

W art. 71 ust. 2 lit. c) określono uprawnienie właściwych organów do przeprowadzania kontroli na miejscu. W odróżnieniu od wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (15), w przedmiotowym przepisie brak jest odniesienia do uprawnień właściwych organów do „wchodzenia na teren prywatny w celu zajęcia dokumentów”. Może to sugerować, że uprawnienia śledcze ograniczają się do terenu firm inwestycyjnych i nie obejmują terenu prywatnego. Z tego względu dla większej przejrzystości proponujemy wyraźne doprecyzowanie tego ograniczenia w tekście. Gdyby natomiast Komisja zamierzała dopuścić kontrolę na terenie prywatnym, EIOD przywołuje swój komentarz na ten temat w opinii wydanej na temat powyższego rozporządzenia (16), w którym uznaje, że ze względu na potencjalnie ingerencyjny charakter przedmiotowego uprawnienia uzasadniony byłby ogólny wymóg uprzedniego uzyskania upoważnienia sądowego, niezależnie od tego, czy wymaga tego prawo krajowe.

42.

W art. 71 ust. 2 lit. d) proponowanej dyrektywy określono uprawnienie właściwych organów do „żądania wydania rejestrów połączeń telefonicznych i rejestrów przesyłu danych w posiadaniu firm inwestycyjnych”. W przepisie wskazano, iż warunkiem takiego żądania jest istnienie „uzasadnionego podejrzenia”, że rejestry takie „mogą mieć znaczenie dla udowodnienia naruszenia przez firmę inwestycyjną obowiązków” wynikających z dyrektywy. W żadnym przypadku rejestry nie mogą jednak obejmować „treści wiadomości, których dotyczą”. EIOD docenia fakt, że w tekście dokonano kwalifikacji uprawnień właściwych organów poprzez ustanowienie wymogu uzasadnionego podejrzenia naruszenia jako warunku udostępnienia rejestrów oraz wykluczenie udostępniania właściwym organom treści wiadomości.

43.

W proponowanej dyrektywie brak jest jednak definicji pojęć „rejestr połączeń telefonicznych i rejestr przesyłu danych”. W dyrektywie 2002/58/WE (dyrektywa o prywatności elektronicznej) jest mowa jedynie o „danych ruchu”, bez odniesienia do „rejestrów połączeń telefonicznych i rejestrów przesyłu danych”. Nie ulega wątpliwości, że ścisłe znaczenie tych pojęć determinuje wpływ, jaki na prywatność i ochronę danych zainteresowanych osób mogą mieć uprawnienia śledcze. EIOD sugeruje wykorzystanie terminologii już dostępnej w definicji „danych o ruchu” w dyrektywie 2002/58/WE.

44.

Dane związane z wykorzystaniem środków łączności elektronicznej mogą być źródłem różnorodnych informacji osobowych, takich jak tożsamość osób wykonujących i odbierających połączenie, czas i długość połączenia, wykorzystywana sieć, lokalizacja geograficzna użytkownika w przypadku urządzeń przenośnych, itp. Niektóre dane dotyczące przesyłu danych w ramach korzystania z Internetu i poczty elektronicznej (np. wykaz odwiedzonych stron internetowych) mogą również być źródłem szczegółowych informacji na temat treści wiadomości. Ponadto przetwarzanie danych o ruchu koliduje z tajemnicą korespondencji. W świetle tego, dyrektywą 2002/58/WE wprowadzono zasadę, że dane o ruchu muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu (17). Zgodnie z art. 15 ust. 1 tej dyrektywy państwa członkowskie mogą wprowadzić w prawodawstwie krajowym odstępstwa dla szczególnych, prawnie dopuszczalnych celów, przy czym muszą one być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia realizacji tych celów (18).

45.

EIOD przyznaje, że cele określone przez Komisję w rozporządzeniu w sprawie agencji ratingowych są prawnie dopuszczalne. Inspektor rozumie potrzebę inicjatyw zmierzających do wzmocnienia nadzoru rynków finansowych w celu zachowania ich solidności oraz lepszej ochrony inwestorów i gospodarki ogółem. Uprawnienia śledcze dotyczące bezpośrednio danych o ruchu, przez wzgląd na swój potencjalnie ingerencyjny charakter, muszą jednak spełniać wymogi niezbędności i proporcjonalności, tj. muszą ograniczać się do tego, co właściwe dla osiągnięcia zamierzonego celu, i nie wykraczać poza to, co niezbędne dla jego realizacji (19). W tym kontekście jest więc istotne, by przepisy zostały przejrzyście sformułowane pod kątem zakresu podmiotowego i przedmiotowego, a także okoliczności i warunków ich stosowania. Ponadto należy zapewnić odpowiednie gwarancje pod kątem ryzyka nadużyć.

46.

Rejestry rozmów telefonicznych i rejestry przepływu danych w oczywisty sposób będą wiązały się z danymi osobowymi w rozumieniu dyrektywy 95/46/WE, dyrektywy 2002/58/WE i rozporządzenia (WE) nr 45/2001. Z tego względu należy zadbać o pełne poszanowanie warunków uczciwego i zgodnego z prawem przetwarzania danych osobowych określonych w powyższych dyrektywach i rozporządzeniu.

47.

EIOD zwraca uwagę na fakt, że zgodnie z art. 71 ust. 3 uzyskanie upoważnienia sądowego jest obligatoryjne w każdym przypadku, gdy wymaga tego prawo krajowe. EIOD uważa jednak, że ogólny wymóg uprzedniego uzyskania upoważnienia od organu sądowego we wszystkich przypadkach – niezależnie od tego, czy jest on określony w prawie krajowym – byłby uzasadniony ze względu na potencjalnie ingerencyjny charakter przedmiotowego uprawnienia oraz sprzyjałby zharmonizowanemu stosowaniu ustawodawstwa we wszystkich państwach członkowskich UE. Należy również uwzględnić fakt, że w różnych regulacjach prawnych państw członkowskich przewidziano szczególne gwarancje ochrony miru domowego przed przypadkami nieproporcjonalnych i niedostatecznie uregulowanych kontroli, rewizji lub konfiskat, szczególnie przeprowadzanych przez instytucje o charakterze administracyjnym.

48.

Ponadto EIOD zaleca wprowadzenie wymogu, zgodnie z którym występowanie przez EUNGiPW z żądaniem wydania rejestrów połączeń telefonicznych i rejestrów przesyłu danych musiałoby odbywać się w drodze formalnej decyzji, określającej podstawę prawną i cel takiego żądania, żądane informacje, termin udostępnienia informacji oraz prawo odbiorcy decyzji do jej zaskarżenia do Trybunału Sprawiedliwości.

49.

Sformułowanie „rejestry połączeń telefonicznych i rejestry przesyłu danych” nie wydaje się wystarczająco jasne. Brak jest definicji rejestrów telefonicznych i rejestrów przesyłu danych, choć w art. 71 ust. 2 pkt 2 wniosku w sprawie dyrektywy MiFID określa, iż są to jedynie rejestry „w posiadaniu firm inwestycyjnych”. Danymi w posiadaniu firm inwestycyjnych są prawdopodobnie dane wskazane w przepisach art. 16 ust. 6 i 7, które zostały omówione powyżej. To powinno oznaczać, że tekst wyklucza rejestry w posiadaniu dostawców usług łączności elektronicznej posiadających umowę na świadczenie usług z daną firmą inwestycyjną. Dla zapewnienia większej przejrzystości EIOD zaleca doprecyzowanie, czego dotyczą rejestry telefoniczne i rejestry przesyłu danych w posiadaniu firmy inwestycyjnej.

50.

Artykuł 74 proponowanej dyrektywy zobowiązuje państwa członkowskie do zadbania o to, by właściwe organy bez zbędnej zwłoki publikowały informacje o wszystkich sankcjach i środkach, które nałożono za naruszenie przepisów proponowanego rozporządzenia, w tym informacji o rodzaju i charakterze naruszenia oraz tożsamości osób za nie odpowiedzialnych, chyba że ujawnienie tych informacji stanowiłoby poważne zagrożenie dla rynków finansowych. Wymóg został złagodzony jedynie w sytuacji, gdy publikacja tych informacji wyrządziłaby zaangażowanym stronom „niewspółmierne szkody”; w takim przypadku właściwe organy publikują informacje o nałożeniu sankcji anonimowo.

51.

Publikacja sankcji przyczyniłaby się do wzmocnienia działania odstraszającego, ponieważ faktycznych i potencjalnych sprawców zniechęcałaby do popełniania przestępstw perspektywa poważnego uszczerbku dla reputacji. Zwiększyłaby ona również przejrzystość, ponieważ podmioty gospodarcze dowiadywałyby się o popełnieniu naruszenia przez konkretną osobę (20). Wymóg ten został złagodzony jedynie w sytuacji, gdy publikacja wyrządziłaby niewspółmierną szkodę zaangażowanym stronom; w takim przypadku właściwe organy publikują informacje o nałożonych sankcjach w sposób anonimowy. Ponadto, choć w ocenie skutków potwierdzono, iż wprowadzenie systemu sankcji (poprzez harmonizację minimalną lub pełną) miałoby wpływ na prawa podstawowe, np. z art. 7 (poszanowanie życia prywatnego i rodzinnego) i art. 8 (ochrona danych osobowych) oraz ewentualnie z art. 47 (prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu) i art. 48 (domniemanie niewinności i prawo do obrony) Karty praw podstawowych Unii Europejskiej (21), to brak jest w niej, jak się wydaje, analizy możliwych skutków samej publikacji sankcji na te prawa.

52.

Zgodnie z art. 75 ust. 2 lit. a) właściwe organy posiadają już wśród swoich uprawnień do nakładania sankcji prawo do wydawania publicznego oświadczenia wskazującego odpowiedzialną osobę oraz charakter naruszenia (22). Nie jest jasne, w jaki sposób obowiązek publikacji wynikający z art. 74 można pogodzić z prawem do wydawania publicznego oświadczenia na mocy art. 75 ust. 2 lit. a). Ustanowienie w art. 75 ust. 2 lit. a) prawa do wydawania publicznego oświadczenia dowodzi, że publikacja jako taka jest realną sankcją, która powinna podlegać indywidualnej ocenie w świetle kryterium proporcjonalności określonego w art. 76 (23).

53.

EIOD nie jest przekonany, czy obowiązkowa publikacja sankcji, zgodnie z obecnym sformułowaniem, spełnia wymogi przepisów dotyczących ochrony danych w wykładni Trybunału Sprawiedliwości przedstawionej w wyroku w sprawie Schecke  (24). Inspektor jest zdania, iż cel, niezbędność i proporcjonalność środka nie zostały w wystarczającym stopniu ustalone, oraz że, w każdym przypadku, należało określić odpowiednie gwarancje pod kątem ryzyk dla praw osób fizycznych.

54.

W wyroku w sprawie Schecke Trybunał Sprawiedliwości stwierdził nieważność przepisów rozporządzenia Rady i rozporządzenia Komisji, w których przewidziano obowiązkową publikację informacji dotyczących beneficjentów funduszy rolnych, w tym tożsamości beneficjentów i otrzymanych kwot. Trybunał uznał, iż rzeczona publikacja stanowi przetwarzanie danych osobowych podlegające art. 8 ust. 2 europejskiej Karty praw podstawowych („Karta”), a tym samym stanowi ingerencję w prawa uznane w art. 7 i 8 Karty.

55.

Stwierdziwszy, iż „odstępstwa i ograniczenia ochrony danych powinny ograniczać się do tego, co absolutnie konieczne”, Trybunał przystąpił do zbadania celu publikacji oraz jej proporcjonalności. Uznał on, iż nic nie wskazuje na to, by, przyjmując przedmiotowe ustawodawstwo, Rada i Komisja rozpatrzyły szczegółowe zasady publikacji informacji, które byłyby zgodne z celem takiej publikacji, a jednocześnie słabiej ingerowały w prawa tych beneficjentów.

56.

Wydaje się, że art. 74 proponowanej dyrektywy wykazuje te same braki, które podkreślił ETS w wyroku w sprawie Schecke. Należy wziąć pod uwagę, że dla dokonania oceny zgodności przepisu wymagającego publicznego ujawnienia informacji osobowych z wymogami ochrony danych kluczowe znaczenie ma istnienie jasnego i dobrze zdefiniowanego celu, któremu ma służyć zamierzona publikacja. Jedynie w oparciu o jasny i dobrze zdefiniowany cel można ocenić, czy dana publikacja danych osobowych jest faktycznie niezbędna i proporcjonalna (25).

57.

Po zapoznaniu się z wnioskiem i dokumentami towarzyszącymi (tj. ze sprawozdaniem z oceny skutków) EIOD ma wrażenie, iż cel taki, a w następstwie tego – konieczność przedmiotowego środka, nie zostały jednoznacznie ustalone. O ile w motywach brak jest jakiejkolwiek wzmianki na temat tych kwestii, o tyle w ocenie skutków wspomina się jedynie, że „publikacja sankcji jest istotnym elementem zapewniającym odstraszające dla odbiorców działanie takich sankcji oraz jest niezbędna dla zapewnienia działania odstraszającego w stosunku do ogółu społeczeństwa” (26). Jak się wydaje, tego rodzaju ogólne stwierdzenie nie wystarcza do wykazania niezbędności zaproponowanego środka. Jeżeli celem ogólnym jest wzmocnienie działania odstraszającego, to, jak można sądzić, Komisja powinna była wyjaśnić, w szczególności, dlaczego nie wystarczyłyby tu wyższe kary finansowe (bądź inne sankcje niemające charakteru napiętnowania).

58.

Ponadto, jak się wydaje, w sprawozdaniu z oceny skutków nie wzięto pod uwagę mniej ingerencyjnych metod, takich jak ograniczenie publikacji do instytucji kredytowych lub publikacja na podstawie indywidualnej decyzji dotyczącej danego przypadku. W szczególności ten ostatni wariant może wydawać się rozwiązaniem prima facie bardziej proporcjonalnym, zwłaszcza biorąc pod uwagę fakt, że – jak uznano w art. 75 ust. 2 lit. a) – publikacja jest sankcją, która w związku z tym winna być oceniana indywidualnie przy uwzględnieniu istotnych okoliczności, takich jak waga naruszenia, stopień odpowiedzialności osobistej, recydywa, straty osób trzecich itp. (27).

59.

W opinii EIOD możliwość oceny danego przypadku w świetle szczególnych okoliczności jest bardziej proporcjonalnym, a tym samym bardziej preferowanym wariantem niż obowiązkowa publikacja we wszystkich przypadkach. Uznaniowość taka pozwoliłaby właściwemu organowi np. uniknąć publikacji w przypadku mniej poważnego naruszenia, gdy naruszenie takie nie spowodowało poważnych szkód, gdzie strona wykazała gotowość do współpracy, itd.

60.

Artykuł 35 ust. 6 proponowanego rozporządzenia dotyczy publikacji na stronie internetowej EUNGiPW komunikatu o każdej decyzji dotyczącej nałożenia lub przedłużenia ograniczenia możliwości zawarcia przez osobę transakcji obejmującej towarowy instrument pochodny. Tym samym publikacji podlega tożsamość osób, których zdolność negocjacyjna została ograniczona przez EUNGiPW, stosowne instrumenty finansowe, odnośne wskaźniki ilościowe, takie jak maksymalna liczba umów, jakie może zawrzeć dana osoba lub klasa osób, wraz z uzasadnieniem. Wejście środka w życie jest powiązane z samą publikacją (art. 35 ust. 7). W oparciu o argumentację dotyczącą przepisów dyrektywy, EIOD wzywa ustawodawcę do rozważenia, czy publikacja jest niezbędna oraz czy dostępne są inne, mniej restrykcyjne środki w przypadku osób fizycznych.

61.

W proponowanej dyrektywie należało określić odpowiednie gwarancje w celu sprawiedliwego zrównoważenia różnych zaangażowanych interesów. Po pierwsze, konieczne są gwarancje w związku z prawem oskarżonego do zaskarżenia decyzji w sądzie oraz w związku z domniemaniem niewinności. W tym kontekście należało w tekście art. 74 zastosować odpowiednie sformułowania, aby zobowiązać właściwe organy do podjęcia odpowiednich środków w sytuacji, gdy decyzja zostaje zaskarżona, i gdy zostaje ostatecznie uchylona przez sąd (28).

62.

Po drugie, w proponowanym rozporządzeniu należy zagwarantować czynne poszanowanie praw osób, których dane dotyczą. EIOD docenia fakt, że w wersji ostatecznej wniosku przewidziano możliwość wykluczenia publikacji w sytuacji, gdy wyrządziłaby ona niewspółmierną szkodę. Podejście czynne powinno jednakże oznaczać, że osoby, których dane dotyczą, będą z wyprzedzeniem informowane o tym, że decyzja nakładająca na nie sankcje zostanie opublikowana, oraz że zgodnie z art. 14 dyrektywy 95/46/WE przysługuje im prawo sprzeciwu z ważnych i uzasadnionych przyczyn (29).

63.

Po trzecie, choć proponowana dyrektywa nie precyzuje, jakie medium powinno być wykorzystane do publikacji przedmiotowych informacji, w praktyce, jak można sobie wyobrazić, w większości państw członkowskich publikacja będzie miała miejsce w Internecie. Publikacje internetowe wiążą się ze szczególnymi problemami i ryzykami, dotyczącymi w szczególności potrzeby zadbania o to, by informacje nie były udostępnianie w trybie online dłużej, niż to niezbędne, oraz by nie mogły one zostać zmanipulowane lub zmodyfikowane. Również fakt wykorzystania zewnętrznych wyszukiwarek niesie ze sobą ryzyko wyrwania informacji z kontekstu oraz przekazywania ich w sieci i poza nią w sposób trudny do kontrolowania (30).

64.

W związku z powyższym należy zobowiązać państwa członkowskie do zadbania o to, by dane osobowe zainteresowanych osób były udostępnianie w trybie online wyłącznie przez uzasadniony okres, po którym będą systematycznie usuwane (31). Ponadto należy zobowiązać państwa członkowskie do zapewnienia odpowiednich środków bezpieczeństwa i gwarancji, szczególnie mających chronić przed ryzykiem związanym z wykorzystaniem zewnętrznych wyszukiwarek (32).

65.

EIOD wyraża przekonanie, że przepis dotyczący obowiązkowej publikacji sankcji – w obecnym brzmieniu – jest niezgodny z podstawowym prawem do prywatności i prawem do ochrony danych. Ustawodawca powinien dokonać starannej oceny niezbędności proponowanego systemu i zbadać, czy obowiązek publikacji nie wykracza poza to, co niezbędne dla realizacji przyjętego celu leżącego w interesie ogółu, oraz czy nie są dostępne mniej restrykcyjne środki dla realizacji tego samego celu. Niezależnie od wyniku takiego testu proporcjonalności, obowiązkowi publikacji w każdym przypadku powinny towarzyszyć odpowiednie gwarancje dla zapewnienia poszanowania zasady domniemania niewinności, prawa zainteresowanej osoby do sprzeciwu, bezpieczeństwa/poprawności danych oraz ich usuwania po upływie odpowiedniego okresu.

66.

Artykuł 77 proponowanej dyrektywy dotyczy mechanizmów zgłaszania przypadków naruszenia, zwanych również systemami informowania o nieprawidłowościach (ang. whistle-blowing schemes). Choć mogą one być skutecznym narzędziem do zapewniania zgodności, to z punktu widzenia ochrony danych systemy takie wiążą się z istotnymi problemami (33). EIOD z uznaniem odnotowuje w treści proponowanej dyrektywy fakt ustanowienia szczególnych gwarancji – które mają być dalej rozwijane na poziomie krajowym – w związku z ochroną osób zgłaszających domniemane przypadki naruszenia, a w bardziej ogólnym ujęciu, z ochroną danych osobowych. W ocenie skutków wymienia się systemy informowania o nieprawidłowościach w ramach wariantów wprowadzenia sankcji w związku z oceną pod kątem praw podstawowych (34) oraz przypomina się o konieczności wdrożenia ustawodawstwa dla zapewnienia zgodności z zasadami i kryteriami dotyczącymi ochrony danych wskazanymi przez organy do spraw ochrony danych. EIOD jest świadomy faktu, że dyrektywa określa jedynie główne elementy systemu, który ma być wdrażany przez państwa członkowskie. Inspektor pragnie jednak zwrócić uwagę na opisane poniżej kwestie dodatkowe.

67.

Podobnie jak w przypadku innych opinii (35), EIOD podkreśla potrzebę wprowadzenia szczególnego zapisu o konieczności zachowania poufności tożsamości osób zgłaszających przypadki naruszenia (ang. whistleblowers) i informatorów. EIOD podkreśla, iż położenie osób zgłaszających przypadki naruszenia jest położeniem ryzykownym. Osobom, które udzielają takich informacji, należy zagwarantować poufność tożsamości, szczególnie wobec osób, których dotyczy zgłoszenie domniemanego przypadku naruszenia (36). Poufność tożsamości osób zgłaszających przypadki naruszenia należy zagwarantować na wszystkich etapach postępowania, o ile nie koliduje to z krajowymi przepisami dotyczącymi postępowania sądowego. Konieczność ujawnienia tożsamości może występować szczególnie w kontekście dalszego śledztwa lub postępowania sądowego wszczętego w dalszym trybie w związku z dochodzeniem (w tym także w przypadku ustalenia, iż umyślnie złożono fałszywe zeznanie na temat danej osoby) (37). W związku z powyższym EIOD zaleca dodanie w art. 77 ust. 1 lit. b) następującego zapisu: „na wszystkich etapach postępowania należy zapewnić ochronę tożsamości takich osób, o ile jej ujawnienie nie jest wymagane przez przepisy krajowe w kontekście dalszego śledztwa lub wszczętego w dalszym trybie postępowania sądowego”.

68.

Ponadto EIOD podkreśla znaczenie zapewnienia odpowiednich przepisów w celu zagwarantowania praw dostępu dla osób oskarżonych, które wiążą się ściśle z prawami do obrony (38). Procedury odbierania zgłoszeń i działania następcze, o których mowa w art. 77 ust. 1 lit. a), powinny zapewniać odpowiednie poszanowanie i ograniczenie jedynie w niezbędnym zakresie praw osób oskarżonych do obrony, takich jak prawo do informacji, prawo dostępu do akt dochodzenia oraz domniemanie niewinności (39). W związku z tym EIOD sugeruje również dodanie w proponowanej dyrektywie przepisu z art. 29 lit. d) wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku, zgodnie z którym państwa członkowskie zapewniają „właściwe procedury zapewniające prawo osoby, której zarzuca się popełnienie naruszenia, do obrony oraz złożenia oświadczenia przed przyjęciem decyzji dotyczącej takiej osoby, a także do skutecznego wykorzystania środków prawnych wobec decyzji lub środka jej dotyczącego”.

69.

Wreszcie, w związku z art. 77 ust. 1 lit. c), EIOD z zadowoleniem odnotowuje fakt, iż przepis ten zobowiązuje państwa członkowskie do ochrony danych osobowych zarówno osoby oskarżonej, jak i osoby oskarżającej, zgodnie z zasadami określonymi w dyrektywie 95/46/WE. Inspektor proponuje jednak wykreślenie słów „zasadami określonymi w”, aby odniesienie do dyrektywy było bardziej wszechstronne i wiążące. W kwestii konieczności przestrzegania ustawodawstwa dotyczącego ochrony danych w ramach praktycznego wdrożenia systemów EIOD pragnie w szczególności podkreślić zalecenia przedstawione przez Grupę Roboczą Art. 29 w opinii z 2006 r. w sprawie informowania o nieprawidłowościach. W trakcie wdrażania systemów krajowych zaangażowane podmioty powinny m.in. uwzględnić potrzebę zachowania proporcjonalności poprzez ograniczenie, w miarę możliwości, kategorii osób uprawnionych do zgłaszania, kategorii osób, które mogą zostać oskarżone, oraz przypadków naruszenia, o które mogą one zostać oskarżone, potrzebę propagowania zidentyfikowanych i poufnych zgłoszeń w stosunku do zgłoszeń anonimowych, potrzebę dopuszczenia ujawnienia tożsamości osób zgłaszających przypadki naruszenia w przypadku, gdy osoba zgłaszająca przypadki naruszenia umyślnie złożyła fałszywe zeznanie, oraz potrzebę zachowania ścisłych okresów zatrzymywania danych.

70.

W art. 83 określono zobowiązanie właściwych organów państw członkowskich do podejmowania współpracy z EUNGiPW. W szczególności, art. 83 ust. 5 zobowiązuje właściwe organy do przekazywania EUNGiPW oraz innym właściwym organom szczegółowych informacji na temat: a) każdego żądania wobec osoby, która udzieliła informacji o całkowitym zaangażowaniu, dotyczącego podjęcia kroków w celu ograniczenia wielkości takiego zaangażowania (zgodnie z art. 72 ust. 1 lit. f)) oraz b) wszelkich ograniczeń możliwości zawierania przez poszczególne osoby kontraktów towarowych (zgodnie z art. 72 ust. 1 lit. g)). Powiadomienie takie zawiera szczegółowe informacje na temat tożsamości osoby, do której środki takie są skierowane, a także zakresu ograniczeń i kategorii instrumentów finansowych, których one dotyczą, oraz inne informacje.

71.

Ponadto określono, iż właściwy organ państwa członkowskiego, który otrzyma opisane powyżej powiadomienie, „może podjąć środki zgodnie z art. 72 ust. 1 lit. f) lub g), jeżeli zyska pewność, że dany środek jest konieczny do osiągnięcia celu przyświecającego innemu właściwemu organowi”. EIOD pragnie podkreślić, że tego rodzaju decyzja, którą ma podejmować właściwy organ, może być interpretowana jako decyzja spełniająca kryteria „zautomatyzowanej decyzji indywidualnej” w rozumieniu art. 15 dyrektywy 95/46/WE: interpretacja taka wynika z faktu, że art. 72 zobowiązuje otrzymujący powiadomienie właściwy organ do ustalenia, czy dany środek umożliwia realizację celu innego właściwego organu. Tym samym właściwy organ otrzymujący powiadomienie nie jest wyraźnie zobowiązany do przeprowadzenia niezależnej analizy okoliczności sprawy – w tym również w oparciu o dane osobowe osoby, której dane dotyczą – w celu określenia środka ograniczającego takie prawa. Artykuł 15 dyrektywy 95/46/WE stanowi, iż każda osoba może być wyłączona z zakresu objętego decyzją, która wywołuje skutki prawne, dotyczące takiej osoby lub mające na nią istotny wpływ, oraz która oparta jest wyłącznie na zautomatyzowanym przetwarzaniu danych, którego celem jest dokonanie oceny niektórych dotyczących ją aspektów o charakterze osobistym, jak np. wyniki osiągane w pracy, zdolność kredytowa, wiarygodność itp. W analizowanym kontekście istotne znaczenie ma art. 15 ust. 2 dyrektywy 95/46/WE: stanowi on, że osoba może zostać objęta decyzją, o jakiej mowa powyżej, jeżeli decyzja taka „zostanie dozwolona przez prawo” oraz jeśli zapewniono gwarancje ochrony uzasadnionych interesów osoby, której dane dotyczą. Podstawę prawną dla zastosowania wyjątku przewidzianego w art. 15 ust. 2 dyrektywy 95/46/WE powinny stanowić przepisy prawa krajowego, przy czym nie określono żadnych szczególnych gwarancji ochrony uzasadnionych interesów osób, których dane dotyczą.

72.

Tym samym wydaje się, że w tekście proponowanej dyrektywy dopuszczono możliwość zautomatyzowanej decyzji indywidualnej mającej wpływ na zdolność do zawierania umów, wydawanej przez organ z siedzibą w innym państwie członkowskim niż to, w którym pierwotnie nałożono daną sankcję. Ze względu na wpływ, jaki taka decyzja może mieć na prawa osoby zawodowo zajmującej się działalnością inwestycyjną, EIOD podkreśla, iż w tekście należy umieścić wyraźne odniesienie do prawa do sprzeciwu wobec zautomatyzowanych decyzji indywidualnych na podstawie art. 15 dyrektywy 95/46/WE. W tekście należy wprowadzić wyraźne gwarancje zapewniające, iż osoba, której dane dotyczą, będzie miała wiedzę na temat faktu przekazania danych oraz istnienia procesu uruchomionego przez otrzymujący właściwy organ w celu podjęcia takiej decyzji, dzięki którym osoba będzie miała możliwość skutecznego wykonania prawa do sprzeciwu.

73.

Artykuł 34 ust. 2 rozporządzenia stanowi, iż po otrzymaniu powiadomienia o dowolnym środku przewidzianym w art. 83 ust. 5 dyrektywy EUNGiPW odnotowuje środek oraz przyczyny jego nałożenia, jak również prowadzi i publikuje na swojej stronie internetowej bazę danych ze streszczeniami obowiązujących środków w odniesieniu do środków przewidzianych w art. 72 ust. 1 lit. f) i g) dyrektywy „wraz z informacjami na temat osoby lub klasy osób, których dotyczą”.

74.

Publikacja taka jest czynnością dalszego przetwarzania związaną z danymi osobowymi. Analogiczne uwagi przedstawione w związku z publikacją w pkt 2.5. powyżej dotyczą również niniejszego przypadku. W ocenie skutków brak jest, jak się wydaje, analizy skutków tego rodzaju publikacji internetowej dla praw podstawowych. Z tego względu EIOD wzywa ustawodawcę do rozważenia rzeczywistej niezbędności i proporcjonalności tego środka.

75.

EIOD odnotowuje w art. 92 proponowanej dyrektywy odniesienie do dyrektywy 95/46/WE, szczególnie do rozdziału IV, oraz do rozporządzenia (WE) nr 45/2001.

76.

Ze względu na ryzyka związane z takim przekazywaniem danych EIOD zaleca jednak dodanie odpowiednich gwarancji, takich jak indywidualna ocena poszczególnych przypadków, zapewnienie niezbędności przekazania danych, wymóg uprzedniego uzyskania wyraźnego upoważnienia właściwego organu na przekazanie danych dalej do państwa trzeciego i przez państwo trzecie oraz istnienie odpowiedniego poziomu ochrony danych osobowych w państwie trzecim otrzymującym dane osobowe.

77.

Dobrym przykładem przepisu zawierającego odpowiednie gwarancje jest art. 23 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (40).

78.

EIOD zaleca, co następuje: