|
15.6.2021 |
SK |
Úradný vestník Európskej únie |
C 229/16 |
Zhrnutie stanoviska európskeho dozorného úradníka pre ochranu údajov k návrhu nariadenia Európskeho parlamentu a Rady o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014
(Úplné znenie tohto stanoviska je k dispozícii v anglickom, vo francúzskom a v nemeckom jazyku na webovom sídle európskeho dozorného úradníka pre ochranu údajov www.edps.europa.eu)
(2021/C 229/05)
Európska komisia prijala 24. septembra 2020 návrh nariadenia Európskeho parlamentu a Rady o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014 (ďalej len „návrh“). V tomto návrhu sa stanovuje komplexný rámec pre digitálnu prevádzkovú odolnosť a to na základe piatich kľúčových oblastí, konkrétne riadenie IKT rizika (kapitola II), riadenie, klasifikácia a nahlasovanie incidentov (kapitola III), testovanie digitálnej prevádzkovej odolnosti (kapitola IV), riadenie rizika tretej strany a regulácia poskytovateľov kritických IKT služieb (kapitola V) a výmena informácií (kapitola VI).
EDPS víta ciele návrhu a domnieva sa, že pre stabilitu finančných trhov Európskej únie je nevyhnutné zabezpečenie spoľahlivého, komplexného a riadne zdokumentovaného rámca riadenia IKT rizika.
EDPS zdôrazňuje, že je dôležité zabezpečiť, aby každá spracovateľská operácia v súvislosti s operáciami finančných subjektov vychádzala z jedného z právnych základov stanovených v článku 6 všeobecného nariadenia o ochrane údajov (1). Okrem toho EDPS zdôrazňuje, že pre finančné subjekty je dôležité zakotviť v ich rámcoch pre digitálnu prevádzkovú odolnosť spoľahlivý mechanizmus riadenia v oblasti ochrany osobných údajov, v ktorom sa jednoznačne identifikujú úlohy a zodpovednosti prevádzkovateľa a sprostredkovateľa, ako aj spracovateľské činnosti, ktoré sa budú vykonávať.
Pokiaľ ide o medzinárodné prenosy externým poskytovateľom IKT služieb usadeným v tretích krajinách, EDPS pripomína, že každý medzinárodný prenos osobných údajov musí zodpovedať požiadavkám kapitoly V všeobecného nariadenie o ochrane údajov, ako ich vykladá judikatúra SDEÚ vrátane rozsudku vo veci Schrems II.
Pokiaľ ide o dohody týkajúce sa spravodajských informácií a a informácií o kybernetických hrozbách, EDPS zdôrazňuje, že ochrana osobných údajov nepredstavuje prekážku výmeny spravodajských informácií vo finančnom sektore. Požiadavky na ochranu údajov by sa namiesto toho mali považovať za základnú požiadavku, ktorú je potrebné splniť na zabezpečenie ochrany práv jednotlivcov. V tomto kontexte EDPS podporuje prijatie kódexov správania v súlade s článkom 40 všeobecného nariadenia o ochrane údajov aj vo finančnom sektore, a to najmä s cieľom jasne stanoviť úlohy hlavných zainteresovaných strán pri spracovaní osobných údajov, ako aj zabezpečiť spravodlivé a transparentné spracovanie.
Pokiaľ ide o uverejňovanie správnych pokút, EDPS odporúča, aby sa do kritérií posudzovania príslušným orgánom zahrnuli aj riziká spojené s ochranou osobných údajov jednotlivcov. EDPS ďalej pripomína, že zásada minimalizácie uchovávania si vyžaduje, aby sa osobné údaje uchovávali najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú.
Pokiaľ ide o oznamovanie porušovania ochrany osobných údajov, EDPS zdôrazňuje, že znenie odôvodnenia 42 návrhu nie je zlučiteľné s článkom 33 všeobecného nariadenia o ochrane údajov. EDPS preto odporúča vymazať odkaz na orgány pre ochranu osobných údajov z odôvodnenia 42 návrhu a upraviť článok 17 návrhu v súlade s odporúčaniami uvedenými v tomto stanovisku.
1. SÚVISLOSTI
|
1. |
Európska komisia prijala 24. septembra 2020 návrh nariadenia Európskeho parlamentu a Rady o digitálnej prevádzkovej odolnosti finančného sektora a o zmene nariadení (ES) č. 1060/2009, (EÚ) č. 648/2012, (EÚ) č. 600/2014 a (EÚ) č. 909/2014 (ďalej len „návrh“). V tomto návrhu sa stanovuje komplexný rámec pre digitálnu prevádzkovú odolnosť a to na základe piatich kľúčových oblastí, konkrétne riadenie IKT rizika (kapitola II), riadenie, klasifikácia a nahlasovanie incidentov (kapitola III), testovanie digitálnej prevádzkovej odolnosti (kapitola IV), riadenie rizika tretej strany a regulácia poskytovateľov kritických IKT služieb (kapitola V) a výmena informácií (kapitola VI). |
|
2. |
Tento návrh je súčasťou balíka, ktorý zahŕňa aj návrh nariadenia na vybudovanie trhov s kryptoaktívami (2) (ďalej len „nariadenie o trhoch s kryptoaktívami“), návrh o pilotnom režime pre trhové infraštruktúry založené na DLT (3) a návrh na objasnenie alebo zmenu určitých súvisiacich pravidiel EÚ v oblasti finančných služieb (4). Konzultácie s EDPS o návrhu o pilotnom režime pre trhové infraštruktúry založené na DLT sa uskutočnili 23. apríla 2021, pričom EDPS k tomuto dátumu predložil svoje stanovisko (5). EDPS bol taktiež konzultovaný o nariadení o trhoch s kryptoaktívami 29. apríla 2021 a svoje stanovisko predloží v súlade s článkom 42 ods. 1 nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 (6). |
|
3. |
Európska komisia požiadala 15. marca 2021 európskeho dozorného úradníka (ďalej len „EDPS“), aby vydal stanovisko k návrhu, v súlade s článkom 42 ods. 1 nariadenia (EÚ) 2018/1725. Tieto pripomienky sa obmedzujú na ustanovenia návrhu, ktoré sú relevantné z pohľadu ochrany osobných údajov. |
4. ZÁVERY
Vzhľadom na uvedené, EDPS:
|
— |
Vyzdvihuje význam zabezpečenia toho, aby akákoľvek spracovateľská operácia v kontexte operácií finančných subjektov vychádzala z právneho základu podľa článku 6 všeobecného nariadenia o ochrane údajov a uvádza článok 6 ods. 1 písm. c), e) a f) všeobecného nariadenia o ochrane údajov ako možné právne základy na posúdenie pre finančné subjekty. |
|
— |
EDPS zdôrazňuje, že pre finančné subjekty je dôležité zakotviť v ich rámcoch pre digitálnu prevádzkovú odolnosť spoľahlivý mechanizmus riadenia v oblasti ochrany osobných údajov, v ktorom sa jednoznačne identifikujú úlohy a zodpovednosti prevádzkovateľa a sprostredkovateľa, ako aj spracovateľské činnosti, ktoré sa budú vykonávať. |
|
— |
EDPS pripomína, že každý medzinárodný prenos osobných údajov finančnými subjektmi externým poskytovateľom IKT služieb usadeným v tretích krajinách musí zodpovedať požiadavkám kapitoly V všeobecného nariadenia o ochrane údajov, a v prípade vykonávania podliehať príslušným zárukám v súlade s rámcom ochrany údajov a judikatúrou SDEÚ, najmä rozsudkom vo veci Schrems II. Tieto finančné subjekty môžu využívať štandardné zmluvné doložky, ktoré podľa všetkého predstavujú najrelevantnejší nástroj na prenos. |
|
— |
EDPS zdôrazňuje, že ochrana osobných údajov nepredstavuje prekážku výmeny spravodajských informácií vo finančnom sektore. Požiadavky na ochranu údajov by sa namiesto toho mali považovať za základnú požiadavku, ktorú je potrebné splniť na zabezpečenie ochrany práv jednotlivcov v rámci pre digitálnu prevádzkovú odolnosť finančných subjektov. |
|
— |
EDPS podporuje prijatie kódexov správania v súlade s článkom 40 všeobecného nariadenia o ochrane údajov aj vo finančnom sektore, a to najmä s cieľom jasne stanoviť úlohy hlavných zainteresovaných strán pri spracovaní osobných údajov, ako aj zabezpečiť spravodlivé a transparentné spracovanie. |
|
— |
Pokiaľ ide o uverejňovanie správnych sankcií, EDPS odporúča, aby sa do kritérií posudzovania príslušným orgánom zahrnuli aj riziká spojené s ochranou osobných údajov jednotlivcov. |
|
— |
V súlade so zásadou minimalizácie uchovávania EDPS odporúča finančným subjektom, aby prijali opatrenia na zabezpečenie toho, aby informácie o správnych pokutách boli vymazané z ich webových sídel po uplynutí piatich rokov alebo skôr, ak už nie sú potrebné. |
|
— |
EDPS zdôrazňuje, že znenie odôvodnenia 42 návrhu nie je zlučiteľné s článkom 33 všeobecného nariadenia o ochrane údajov. EDPS preto odporúča vymazať odkaz na orgány pre ochranu osobných údajov z odôvodnenia 42 návrhu a upraviť článok 17 návrhu tak, aby obsahoval odkaz na povinnosť oznamovať porušenia ochrany osobných údajov príslušným orgánom pre ochranu osobných údajov. |
|
— |
EDPS odporúča zmeniť článok 23 ods. 2 návrhu tak, aby sa zabezpečilo, že testovanie, vývoj alebo výskum produktov v oblasti systémov IKT nebudú môcť byť vykonávané na živých produkčných systémoch obsahujúcich osobné údaje zákazníkov. |
V Bruseli 10. mája 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. ES L 119, 4.5.2016, s. 1).
(2) Návrh nariadenia Európskeho parlamentu a Rady o trhoch s kryptoaktívami a o zmene smernice (EÚ) 2019/1937, COM/2020/593 final. K dispozícii na EUR-Lex – 52020PC0593 – EN – EUR-Lex (europa.eu).
(3) Návrh NARIADENIA EURÓPSKEHO PARLAMENTU A RADY o pilotnom režime pre trhové infraštruktúry založené na technológii distribuovanej databázy transakcií. COM/2020/594 final, k dispozícii na EUR-Lex 0 52020PC0594 – EN – EUR-Lex (europa.eu).
(4) Návrh smernice Európskeho parlamentu a Rady, ktorou sa menia smernice 2006/43/ES, 2009/65/ES, 2009/138/ES, 2011/61/EÚ, 2013/36/EÚ, 2014/65/EÚ, (EÚ) 2015/2366 a (EÚ) 2016/2341, COM/2020/596 final. K dispozícii na EUR-Lex – 52020PC0596 – EN – EUR-Lex (europa.eu).
(5) Stanovisko 6/2021 k návrhu o pilotnom režime pre trhové infraštruktúry založené na technológii distribuovanej databázy transakcií, dostupné na 2021-0219_d0912_opinion_6_2021_en_0.pdf (europa.eu).
(6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1727 zo 14. novembra 2018 o Agentúre Európskej únie pre justičnú spoluprácu v trestných veciach (Eurojust) a o nahradení a zrušení rozhodnutia Rady 2002/187/SVV (Ú. v. ES L 295, 21.11.2018, s. 138).