Rezumatul avizului Autorității Europene pentru Protecția Datelor cu privire la propunerea de Regulament privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014 și (UE) nr. 909/2014

(Textul integral al prezentului aviz poate fi consultat în limbile engleză, franceză și germană pe site-ul AEPD www.edps.europa.eu)

(2021/C 229/05)

La 24 septembrie 2020, Comisia Europeană a adoptat o propunere de regulament privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014 și (UE) nr. 909/2014 („propunerea”). Propunerea stabilește un cadru cuprinzător privind reziliența operațională digitală pentru entitățile financiare din UE, bazat pe cinci domenii-cheie, și anume gestionarea riscurilor TIC (capitolul II), gestionarea, clasificarea și raportarea incidentelor (capitolul III), testarea rezilienței operaționale digitale (capitolul IV), gestionarea riscurilor generate de terți și reglementarea furnizorilor de servicii TIC critice (capitolul V) și schimbul de informații (capitolul VI).

AEPD salută obiectivele propunerii și consideră că pentru stabilitatea pieței financiare a Uniunii Europene este esențial ca instituțiile financiare să dispună de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC.

AEPD subliniază importanța asigurării faptului că orice operațiune de prelucrare în contextul operațiunilor entităților financiare se bazează pe unul dintre temeiurile juridice prevăzute la articolul 6 din RGPD (1). Mai mult, AEPD subliniază importanța ca entitățile financiare să încorporeze în cadrul lor de reziliență operațională digitală un mecanism puternic de guvernanță a protecției datelor cu caracter personal, care să identifice clar rolurile și responsabilitățile operatorului și ale persoanei împuternicite de operator, precum și activitățile de prelucrare care vor avea loc.

În ceea ce privește transferurile internaționale către furnizorii terți de servicii TIC stabiliți într-o țară terță, AEPD reamintește că orice transfer internațional de date cu caracter personal trebuie să respecte cerințele din capitolul V din RGPD, așa cum sunt interpretate în jurisprudența CJUE, inclusiv în hotărârea Schrems II.

În ceea ce privește acordurile de schimb de informații și date operative privind amenințările cibernetice între entitățile financiare, AEPD subliniază că protecția datelor cu caracter personal nu constituie un obstacol în calea schimbului de informații în sectorul financiar. Dimpotrivă, cerințele privind protecția datelor cu caracter personal trebuie percepute ca o cerință de bază care trebuie respectată pentru a asigura protecția drepturilor persoanelor fizice. În acest context, AEPD încurajează adoptarea și în sectorul financiar de coduri de conduită conform articolului 40 din RGPD, în special în vederea stabilirii clare a rolurilor principalelor părți interesate în prelucrarea datelor cu caracter personal, precum și în vederea asigurării unei prelucrări corecte și transparente.

În ceea ce privește publicarea amenzilor administrative, AEPD recomandă includerea riscurilor pentru protecția datelor cu caracter personal ale persoanelor fizice în rândul criteriilor de luare în considerare ale autorității competente. Mai mult, AEPD reamintește că principiul limitării stocării impune ca datele cu caracter personal să fie stocate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele cu caracter personal.

În ceea ce privește notificarea privind încălcarea securității datelor cu caracter personal, AEPD subliniază că formularea considerentului 42 din propunere este incompatibilă cu articolul 33 din RGPD. Prin urmare, AEPD recomandă eliminarea referinței la autoritățile pentru protecția datelor din considerentul 42 din propunere, precum și modificarea ușoară a articolului 17 din propunere în conformitate cu recomandările prezentului aviz.

1. CONTEXT

Propunerea face parte dintr-un pachet care include și o propunere de regulament privind crearea de piețe de criptoactive (2) („Regulamentul MICA”), o propunere privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite (3) și o propunere de clarificare sau de modificare a anumitor norme ale UE privind serviciile financiare (4). AEPD a fost consultat cu privire la propunerea privind regimul-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite și a emis un aviz la 23 aprilie 2021 (5). De asemenea, a fost consultat cu privire la Regulamentul MICA la 29 aprilie 2021 și va emite un aviz conform articolului 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (6).

La 15 martie 2021, Comisia Europeană a solicitat Autorității Europene pentru Protecția Datelor („AEPD”) să emită un aviz cu privire la propunere, în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725. Prezentele observații se limitează la dispozițiile cuprinse în propunere care sunt relevante din perspectiva protecției datelor.

4. CONCLUZII

Având în vedere cele de mai sus, AEPD:

—

Subliniază importanța asigurării faptului că orice operațiune de prelucrare în contextul operațiunilor entităților financiare se bazează pe unul dintre temeiurile juridice prevăzute la articolul 6 din RGPD și indică articolul 6 alineatul (1) literele (c), (e) și (f) din RGPD ca posibil temei juridic pentru luarea în considerare de către entitățile financiare.

—

AEPD subliniază importanța ca entitățile financiare să încorporeze în cadrul lor de reziliență operațională digitală un mecanism puternic de guvernanță a protecției datelor cu caracter personal, care să identifice clar rolurile și responsabilitățile operatorului și ale persoanei împuternicite de operator, precum și activitățile de prelucrare care vor avea loc.

—

AEPD reamintește că orice transfer internațional de date cu caracter personal efectuat de entitățile financiare către un furnizor terț de servicii TIC stabilit într-o țară terță trebuie să respecte cerințele din capitolul V din RGPD și, în cazul în care acesta este efectuat, trebuie să facă obiectul unor garanții adecvate conform cadrului de protecție a datelor cu caracter personal și cu jurisprudența CJUE, în special cauza Schrems II. Astfel de entități financiare pot recurge la clauze contractuale standard, deoarece acestea par să reprezinte cel mai relevant instrument de transfer.

—

AEPD subliniază că protejarea datelor cu caracter personal nu constituie un obstacol în calea schimbului de informații în sectorul financiar. Dimpotrivă, cerințele privind protecția datelor cu caracter personal trebuie percepute ca o cerință de bază care trebuie respectată pentru a asigura protejarea drepturilor persoanelor fizice în cadrul de reziliență operațională digitală al entităților financiare.

—

AEPD încurajează adoptarea și în sectorul financiar de coduri de conduită conform articolului 40 din RGPD, în special în vederea stabilirii clare a rolurilor principalelor părți interesate în prelucrarea datelor cu caracter personal, precum și în vederea asigurării unei prelucrări corecte și transparente.

—	În ceea ce privește publicarea sancțiunilor administrative, AEPD recomandă includerea riscurilor pentru protecția datelor cu caracter personal ale persoanelor fizice în rândul criteriilor de luare în considerare ale autorității competente.

—	Conform principiului limitării stocării, AEPD recomandă entităților financiare să adopte măsuri pentru a se asigura că informațiile privind amenzile administrative sunt șterse de pe site-urile acestora după expirarea perioadei de cinci ani sau înainte, dacă informațiile nu mai sunt necesare.

—

AEPD subliniază că formularea considerentului 42 din propunere este incompatibilă cu articolul 33 din RGPD. Prin urmare, AEPD recomandă eliminarea referinței la autoritățile pentru protecția datelor din considerentul 42 din propunere, precum și modificarea articolului 17 din propunere astfel încât să includă o referire la obligația privind notificarea încălcărilor securității datelor cu caracter personal către autoritățile relevante pentru protecția datelor.

—	AEPD recomandă modificarea articolului 23 alineatul (2) din propunere pentru a asigura faptul că testarea, dezvoltarea produselor sau cercetarea sistemelor TIC nu pot fi efectuate pe sisteme de producție în timp real care conțin date personale ale clienților.

Bruxelles, 10 mai 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(2) Propunere de regulament al Parlamentului European și al Consiliului privind piețele criptoactivelor și de modificare a Directivei (UE) 2019/1937, COM/2020/593 final. Disponibilă la adresa: EUR-Lex - 52020PC0593 - EN - EUR-Lex (europa.eu).

(3) Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuiteCOM/2020/594 final, disponibilă la adresa: EUR-Lex - 52020PC0594 - EN - EUR-Lex (europa.eu).

(4) Propunere de directivă a Parlamentului European și a Consiliului de modificare a Directivelor 2006/43/CE, 2009/65/CE, 2009/138/UE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 și (UE) 2016/2341, COM/2020/596 final. Disponibilă la adresa: EUR-Lex - 52020PC0596 - EN - EUR-Lex (europa.eu)

(5) Avizul 6/2021 cu privire la Propunerea privind un regim-pilot pentru infrastructurile pieței bazate pe tehnologia registrelor distribuite, disponibilă la adresa: 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu)

(6) Regulamentul (UE) 2018/1727 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind Agenția Uniunii Europene pentru Cooperare în Materie de Justiție Penală (Eurojust) și de înlocuire și abrogare a Deciziei 2002/187/JAI a Consiliului (JO L 295, 21.11.2018, p. 138).