26.7.2011   

SL

Uradni list Evropske unije

C 220/1

1.

Evropska komisija je 24. februarja 2011 sprejela predlog direktive Evropskega parlamenta in Sveta o spremembi direktiv 89/666/EGS, 2005/56/ES in 2009/101/ES glede povezovanja centralnih in trgovinskih registrov ter registrov družb (3) (v nadaljnjem besedilu: predlog) ter se naknadno posvetovala z Evropskim nadzornikom za varstvo podatkov (v nadaljnjem besedilu: ENVP).

2.

ENVP je zadovoljen, da je bil v skladu s členom 28(2) Uredbe št. 45/2001 zaprošen za mnenje in da je sklic na to mnenje vključen v preambulo predloga.

3.

Cilj predloga je lajšati in krepiti čezmejno sodelovanje in izmenjavo informacij med poslovnimi registri v evropskem gospodarskem prostoru, s čimer naj bi se povečali preglednost in zanesljivost čezmejno razpoložljivih infomacij. Učinkoviti postopki upravnega sodelovanja v zvezi s poslovnimi registri so ključni za povečanje zaupanja v enotni evropski trg z zagotavljanjem varnejšega poslovnega okolja za potrošnike, upnike in druge poslovne partnerje, z zmanjšanjem upravne obremenitve in povečanjem pravne varnosti. Izboljšanje postopkov upravnega sodelovanja v zvezi s poslovnimi registri v Evropi je zlasti pomembno v postopkih čezmejnih združitev, prenosov sedeža in posodabljanja registracije tujih podružnic, kjer mehanizmov sodelovanja ni ali pa so omejeni.

4.

Za ta namen je cilj predloga spremeniti tri veljavne direktive, kot sledi:

5.

Poslovne registre imajo vse države članice in so organizirani na nacionalni, regionalni ali lokalni ravni. Leta 1968 so bila sprejeta skupna pravila za oblikovanje minimalnih standardov za razkritje (vpis in objavo) poslovnih informacij (7). Države članice morajo od 1. januarja 2007 voditi tudi elektronske poslovne registre (8) in tretjim stranem omogočati spletni dostop do vsebine registra.

6.

Nekateri evropski pravni instrumenti izrecno zahtevajo sodelovanje v zvezi s poslovnimi registri iz različnih držav članic za lajšanje čezmejnih združitev kapitalskih družb (9) ter čezmejnega prenosa sedeža evropske družbe (SE) (10) in evropske zadruge (SCE) (11).

7.

V zvezi s poslovnimi registri v Evropi je bil leta 1992 oblikovan mehanizem prostovoljnega sodelovanja. Tako imenovani evropski poslovni register (v nadaljnjem besedilu: EBR) (12) zdaj združuje uradne poslovne registre iz 19 držav članic in šestih drugih evropskih jurisdikcij. EBR je med letoma 2006 in 2009 sodeloval v raziskovalnem projektu, imenovanem BRITE (13), katerega cilj je bil razviti tehnološki vmesnik za interoperabilnost poslovnih registrov po vsej Evropi. V oceni učinka, priloženi predlogu, pa je pojasnjeno, da se EBR spopada s pomembnimi izzivi v zvezi s širitvijo, financiranjem in upravljanjem: glede na oceno učinka mehanizem sodelovanja v svoji zdajšnji obliki ni v celoti zadovoljiv za morebitne uporabnike.

8.

V obrazložitvenem memorandumu, priloženem predlogu, je navedeno, da bo evropski portal e-pravosodja (14) postal ključna točka dostopa do pravnih informacij, pravnih in upravnih ustanov, registrov, zbirk podatkov in drugih storitev v EU. Poleg tega je v njem potrjeno, da predlog dopolnjuje projekt e-pravosodja in naj bi prispeval k lažjemu dostopu tretjih strani do poslovnih informacij prek portala.

9.

V skladu z oceno učinka je drug pomemben projekt z mogočimi sinergijami informacijski sistem za notranji trg (v nadaljnjem besedilu: IMI) (15). IMI je elektronsko orodje, načrtovano za podporo tekočemu upravnemu sodelovanju med javnimi upravami v okviru direktive o storitvah (2006/123/ES) in direktive o poklicnih kvalifikacijah (2005/36/ES). Orodje IMI je trenutno v postopku širitve in bi lahko v skladu z oceno učinka pripomoglo tudi k izvrševanju drugih direktiv, vključno na področju prava gospodarskih družb.

10.

Člen 3 predloga spreminja Direktivo 2009/101/ES v več pogledih. Od teh sta dve spremembi zelo pomembni za varstvo podatkov.

11.

Člen 2 veljavne Direktive 2009/101/ES že zahteva, da se v poslovnem registru v vsaki državi članici objavijo nekatere minimalne informacije, da tretje strani lahko preverijo informacije o družbah. Kot je pojasnjeno v oddelku 1.2 zgoraj, morajo države članice voditi tudi elektronske poslovne registre in tretjim stranem omogočiti spletni dostop do vsebine teh registrov.

12.

V členu 2 je naštetih enajst osnovnih informacij o družbah, ki jih je treba objaviti, vključno s/z:

13.

Z vidika varstva podatkov je pomembno, da člen 2 zahteva tudi razkritje „imenovanja, odpoklica in podatkov“ (dodan poudarek) o osebah, ki so (i) pooblaščene za zastopanje družbe in/ali (ii) kako drugače udeležene pri „upravljanju, nadzoru ali obvladovanju“.

14.

Seznam informacij, ki jih je treba razkriti v skladu s členom 2, je v predlogu ostal nespremenjen. Nova ni niti zahteva, da mora vsaka država članica omogočiti javni elektronski dostop do teh informacij. Novost predloga je, da bodo informacije, ki so bile doslej na voljo razdrobljeno, pogosto le v lokalnih jezikih in prek lokalnih spletnih strani, zdaj zlahka dostopne prek enotnega evropskega vmesnika/točke dostopa v večjezičnem okolju.

15.

Zato bi predlog vstavil nov člen 3a v direktivo, s čimer bi določil, da „[d]ržave članice zagotovijo, da vlagatelj lahko na zahtevo v elektronski obliki prek enotnega evropskega elektronskega vmesnika, ki je dostopen iz vsake države članice, dobi dokumente in podatke iz člena 2, ki so bili vpisani v njihov register“. Predlog prepušča vse nadaljnje podrobnosti delegiranim aktom.

16.

Predlog bi poleg tega vstavil nov člen 4a v isto Direktivo 2009/101/ES, s čimer bi določil, da „[d]ržave članice sprejmejo potrebne ukrepe za zagotovitev, da so [poslovni registri] interoperabilni in tvorijo elektronsko omrežje“. Predlog spet prepušča nadaljnje podrobnosti delegiranim aktom.

17.

Predlog bi za obravnavo pomislekov v zvezi z varstvom podatkov v besedilo vseh treh direktiv, ki jih je treba spremeniti, vstavil poseben člen o varstvu podatkov, ki določa, da „[z]a obdelavo osebnih podatkov, ki se opravlja v okviru te direktive, velja Direktiva 95/46/ES“.

18.

ENVP se strinja s Komisijo, da (i) lahko uporaba informacijskih in komunikacijskih tehnologij prispeva k učinkovitejšemu sodelovanju v zvezi s poslovnimi registri ter (ii) da lahko večja dostopnost informacij iz poslovnega registra omogoča večjo preglednost. Zato podpira cilje predloga. Njegove pripombe je treba ovrednotiti z vidika tega konstruktivnega pristopa.

19.

ENVP hkrati še poudarja, da večja dostopnost osebnih podatkov vodi tudi k večjim tveganjem za osebne podatke. Medtem ko bi bila na primer ustrezna identifikacija zastopnika družbe lažja, če bi bil razkrit njegov zasebni naslov, bi lahko razkritje tudi negativno vplivalo na pravico tega posameznika do varstva osebnih podatkov. To še zlasti drži za osebne podatke, ki so široko dostopni na svetovnem spletu v digitalni obliki v več jezikih in prek zlahka dostopnega evropskega vmesnika/točke dostopa.

20.

Še do pred kratkim so se osebni podatki iz poslovnih registrov (npr. ime, naslov in vzorčni podpis direktorja) razkrivali javnosti v papirni obliki in v lokalnem jeziku, pogosto le po tem, ko se je vlagatelj osebno oglasil na lokalnem registrskem uradu. Treba je priznati, da se ta položaj kvalitativno razlikuje od javnega razkritja podatkov v digitalni obliki prek nacionalne elektronske točke dostopa. Javno razkrivanje osebnih podatkov prek zlahka dostopnega evropskega vmesnika/točk dostopa ta položaj še stopnjuje ter dodatno krepi dostopnost informacij in tveganja za varstvo osebnih podatkov zadevnih posameznikov.

21.

Zdajšnja tveganja za zasebnost (zaradi preproste razpoložljivosti podatkov v digitalni obliki prek enotne elektronske točke dostopa) vključujejo krajo identitete in druge kriminalne dejavnosti ter tveganje, da bodo družbe po profiliranju zadevnih posameznikov razkrite informacije nezakonito zajemale in uporabljale za komercialne namene, ki niso bili prvotno predvideni. Brez ustreznih zaščitnih ukrepov se lahko informacije prodajajo drugim ali se združujejo z drugimi informacijami in se prodajajo nazaj vladam za uporabo za nepovezane in nerazkrite namene (npr. za izvrševanje davčne zakonodaje ali druge kazenske ali upravne preiskave) brez ustrezne pravne podlage (16).

22.

Zato je treba skrbno pretehtati, katere osebne informacije je treba dati na voljo prek enotnega evropskega vmesnika/točke dostopa in katere dodatne zaščitne ukrepe za varstvo podatkov – vključno s tehničnimi ukrepi za omejitev zmogljivosti iskanja ali prenašanja in podatkovnega rudarjenja – je treba uporabljati.

23.

Kot je navedeno v oddelkih 2.1 in 2.2 zgoraj, sta predlagana člena 3a in 4a Direktive 2009/101/ES zelo splošna in številna ključna vprašanja prepuščata delegiranim aktom.

24.

Čeprav ENVP priznava potrebo po prožnosti in s tem tudi potrebo po delegiranih aktih, poudarja, da so potrebni zaščitni ukrepi za varstvo podatkov poglavitni elementi, ki jih je treba jasno in izrecno predvideti neposredno v besedilu samega predloga Direktive. V tej zvezi jih ni mogoče šteti za „nepoglavitne elemente“, ki se lahko vključijo v naknadne delegirane akte, sprejete na podlagi člena 290 Pogodbe o delovanju Evropske unije.

25.

ENVP zato priporoča, da morajo biti določbe predloga o varstvu podatkov bolj specifične in ne vključujejo le sklica na Direktivo 95/46/ES (glej oddelke od 3.4 do 3.13). V delegirane akte se nato lahko vključijo dodatne določbe v zvezi z izvajanjem posebnih zaščitnih ukrepov na podlagi posvetovanja z Evropskim nadzornikom za varstvo podatkov in po potrebi z nacionalnimi organi za varstvo podatkov (glej oddelke 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 in 3.13 spodaj).

26.

V predlogu niso obravnavani le ključni zaščitni ukrepi za varstvo podatkov, ampak je predlog tudi zelo nedorečen v drugih pogledih. Predlog delegiranim aktom zlasti prepušča določitev poglavitnih elementov, kako izvesti predlagano (i) povezovanje poslovnih registrov in (ii) javno razkritje podatkov.

27.

Pojasnitev teh drugih poglavitnih elementov predloga je nujen pogoj za sprejetje ustreznih zaščitnih ukrepov za varstvo podatkov. ENVP zato priporoča, da morajo biti ti poglavitni elementi opredeljeni v samem predlogu direktive (glej oddelka 3.4 in 3.5 spodaj).

28.

Predlog za zdaj delegiranim aktom prepušča določitev pravil o upravljanju, vodenju, delovanju in zastopanju elektronskega omrežja (17).

29.

Čeprav so v oceni učinka in obrazložitvenem memorandumu opredeljene nekatere sinergije z orodjem IMI in portalom e-pravosodja, besedilo predloga direktive pušča odprta vrata različnim možnostim, da se omogoči uresničitev katere koli sinergije ali vseh sinergij, vključno s preoblikovanjem evropskega poslovnega registra (EBR), z uporabo orodja IMI za nekatere izmenjave podatkov in/ali z uporabo portala e-pravosodja kot vmesnika/točke dostopa za zagotavljanje informacij iz poslovnih registrov javnosti.

30.

Izključene niso niti druge možnosti, kot so objava razpisa za dodelitev pravice za načrtovanje in upravljanje elektronskega omrežja ali da Komisija prevzame neposredno vlogo pri načrtovanju in upravljanju sistema. V upravljavsko strukturo elektronskega omrežja so lahko vključeni tudi predstavniki držav članic.

31.

Še več, čeprav je v sedanji obliki predloga predviden „enotni evropski elektronski vmesnik“ (dodan poudarek), ni izključena možnost, da bo pozneje v zakonodajnem postopku besedilo spremenjeno za določitev bolj decentralizirane strukture.

32.

ENVP še ugotavlja, da čeprav sedanji predlog ne obravnava posebej vprašanja povezovanja poslovnih registrov z drugimi podatkovnimi zbirkami (kot so na primer zemljiške knjige ali civilni registri), je to nedvomno tehnična možnost in nekaj, kar se že dogaja v nekaterih državah članicah (18).

33.

Izbira ene ali druge možnosti lahko privede do popolnoma različne strukture upravljanja elektronskega omrežja in elektronskega orodja, ki ju je treba uporabljati za javno razkritje. To nato pripelje do različnih vlog in odgovornosti vključenih strani, posledica pa so tudi različne vloge in odgovornosti z vidika varstva podatkov.

34.

ENVP v zvezi s tem poudarja, da je pri vsakršni obdelavi osebnih podatkov ključno pravilno opredeliti, kdo je „upravljavec“. To je poudarila tudi Delovna skupina iz člena 29 v Mnenju 1/2010 o pojmih „upravljavec“ in „obdelovalec“ (19). Glavni razlog, zakaj je jasna in nedvoumna opredelitev upravljavca tako pomembna, je, da ta opredelitev določa, kdo je odgovoren za skladnost s pravili o varstvu podatkov, pomembna pa je tudi za opredelitev prava, ki se uporablja (20).

35.

Kot je bilo ugotovljeno v mnenju Delovne skupine iz člena 29, „[č]e ni dovolj jasno, kaj se od koga zahteva – npr. nihče ni odgovoren ali je veliko mogočih upravljavcev –, je očitno tveganje, da se bo dogajalo le malo ali nič in da bodo pravne določbe ostale neučinkovite“.

36.

ENVP poudarja, da je jasnost še zlasti potrebna v primerih, kadar je v sodelovanje vključenih več akterjev. To pogosto drži za informacijske sisteme EU, ki se uporabljajo za javne namene, kjer je namen obdelave opredeljen v pravu EU.

37.

ENVP zato priporoča, naj se v besedilu samega predloga direktive izrecno, jasno in nedvoumno opredeli:

38.

Z vidika varstva podatkov morajo biti ta pojasnila tudi izrecna in nedvoumna, da se na podlagi samega predloga direktive opredeli, ali je treba posebnega akterja šteti za „upravljavca“ ali „obdelovalca“.

39.

Predlog naj bi načeloma izrecno prispeval k opredelitvi – kot se zdi na podlagi sedanjega osnutka kot celote –, da je treba vse nosilce poslovnih registrov in upravljavca(-e) sistema v zvezi z njihovimi dejavnosti šteti za upravljavce podatkov. Glede na navedeno ter to, da zdaj v predlogu ni opisana upravljavska struktura in ni opredeljeno, kdo bo(-do) upravljavec(-vci) elektronskega sistema, ni mogoče izključiti, da bodo nekateri subjekti, ki bodo na koncu upravljali sistem na praktični ravni, delovali kot obdelovalci, ne kot upravljavci. To lahko še zlasti drži, če se ta dejavnost dodeli v zunanje izvajanje tretji strani, ki bo dosledno delovala na podlagi navodil. Vsekakor se zdi, da je še vedno več upravljavcev podatkov, vsaj eden v vsaki državi članici: subjekti, ki vodijo poslovne registre. Tega vidika ne spremeni niti to, da so lahko kot upravljavci, „distributerji“ ali kako drugače vključeni drugi (zasebni) subjekti. Vsekakor je treba zaradi jasnosti in pravne varnosti to navesti v predlogu direktive.

40.

Ne nazadnje, v predlogu je treba bolj specifično in celoviteje opisati odgovornosti, ki izhajajo iz teh vlog. Tako je treba na primer v predlog vključiti vlogo upravljavca(-cev) pri zagotavljanju, da je sistem načrtovan tako, da upošteva zasebnost, in usklajevalno vlogo upravljavca v zvezi z vprašanji glede varstva podatkov.

41.

ENVP ugotavlja, da bodo vse te pojasnitve pomembne tudi za opredelitev, kateri organi za nadzor varstva podatkov so pristojni in za katero obdelavo osebnih podatkov.

42.

Zdi se, da elektronsko omrežje v sedanji obliki ni predvideno za zagotavljanje samodejne razpoložljivosti vseh informacij, ki se hranijo v poslovnih registrih, vsem drugim poslovnim registrom v vseh drugih državah članicah: predlog zahteva le povezovanje in interoperabilnost poslovnih registrov in tako določa pogoje, ki omogočajo izmenjave informacij in dostop v prihodnosti. Za zagotovitev pravne varnosti je treba v predlogu pojasniti, ali je to razumevanje pravilno.

43.

Poleg tega v predlogu ni navedeno, kateri pretok podatkov/postopki upravnega sodelovanja lahko potekajo prek povezanih poslovnih registrov (21). ENVP razume, da bo morda potrebna neka raven prožnosti za zagotovitev izpolnjevanja potreb, ki bi se lahko pojavile v prihodnosti. Glede na to ENVP meni, da je poglavitno, da se v predlogu opredelijo okvir za pretok podatkov in postopki upravnega sodelovanja, ki lahko potekajo v prihodnosti z uporabo elektronskega omrežja. To je še zlasti pomembno za zagotovitev, da (i) imajo vse izmenjave podatkov trdno pravno podlago in (ii) so določeni ustrezni zaščitni ukrepi za varstvo podatkov.

44.

ENVP meni, da morajo vsi prenosi podatkov ali druge dejavnosti obdelave podatkov prek elektronskega omrežja (npr. javno razkritje osebnih podatkov prek enotnega vmesnika/točke dostopa) temeljiti na zavezujočem aktu EU, sprejetem na trdni pravni podlagi. To je treba jasno določiti v predlogu direktive (22).

45.

V predlogu je poleg tega določeno, da se v delegiranih aktih opredelijo naslednja vprašanja (23):

46.

ENVP v zvezi s prvo in drugo alineo meni, da je treba nekatere poglavitne zaščitne ukrepe določiti v samem predlogu direktive (glej oddelka 3.12 in 3.13 spodaj). Nadaljnje podrobnosti se nato lahko opredelijo v delegiranih aktih.

47.

V zvezi s samodejnimi izmenjavami podatkov je ENVP zadovoljen, da so v predlogu zahtevani delegirani akti za določitev „opredelitve standardov oblike zapisa, vsebine in omejitve za shranjevanje in priklic dokumentov in podatkov, ki omogoča samodejno izmenjavo podatkov“.

48.

Za zagotovitev večje jasnosti v zvezi s tem ENVP priporoča, naj se v samem predlogu direktive jasno navede, da elektronsko omrežje omogoča (i) posebne ročne izmenjave podatkov med poslovnimi registri v vsakem primeru posebej (kot je določeno v aktu EU na primer v primeru združitve ali prenosa sedeža) in (ii) samodejne prenose podatkov (kot je določeno v aktu EU na primer v primeru posodobitve informacij v registru tujih podružnic).

49.

ENVP za dodatno povečanje jasnosti poleg tega priporoča spremembo predlaganega besedila za zadevni člen 4(a)(3)(i) Direktive 2009/101/ES za zagotovitev, da (i) bodo delegirani akti celovito pokrivali ročne in samodejne izmenjave podatkov, da (ii) so zajeti vsi postopki obdelave, ki lahko vključujejo osebne podatke (ne le shranjevanje in pridobivanje), in da (iii) bodo posebne določbe o varstvu podatkov v delegiranih aktih zagotavljale tudi praktično izvajanje ustreznih zaščitnih ukrepov za varstvo podatkov.

50.

V ponazoritev, člen 4(a)(3)(i) bi se lahko spremenil tako:

51.

ENVP v uvodni pripombi poudarja, da čeprav so imena (in po možnosti drugi podrobni podatki, kot so zasebni naslovi) zastopnikov družb (in drugih posameznikov, ki sodelujejo pri upravljanju družb) nedvomno najočitnejši osebni podatki, ki jih lahko obdeluje elektronsko omrežje in/ali jih je mogoče javno razkriti prek enotnega elektronskega vmesnika/točke dostopa, to nikakor niso edine osebne informacije, ki se hranijo v poslovnih registrih.

52.

Prvič, tudi nekateri dokumenti iz člena 2 Direktive 2009/101/ES (npr. akt o ustanovitvi, statut in računovodske listine) lahko vključujejo osebne podatke drugih posameznikov. Ti podatki lahko med drugim vključujejo imena, naslove, po možnosti številke osebnih izkaznic in rojstne datume ter celo skenirane lastnoročne podpise različnih posameznikov, vključno s posamezniki, ki so ustanovili družbo, delničarji družbe, odvetniki, računovodji, zaposlenimi ali notarji.

53.

Drugič, podatke o družbi, kadar so povezani z imenom posameznika (kot je direktor), je mogoče šteti tudi za osebne podatke, povezane s tem posameznikom. Če na primer podatki iz poslovnega registra kažejo, da je neki posameznik član upravnega odbora družbe v postopku likvidacije, je ta informacija pomembna tudi za zadevnega posameznika.

54.

Za zagotovitev jasnosti, kateri osebni podatki se obdelujejo, in za zagotovitev, da je razpon podatkov, ki se obdelujejo, sorazmeren s cilji predloga, ENVP priporoča pojasnitve, opredeljene v nadaljevanju tega oddelka 3.7.

55.

V členu 2 Direktive 2009/101/ES ni opredeljeno, katere „podatke“ o zadevnih posameznikih (zastopnikih družb in drugih osebah, ki sodelujejo pri upravljanju družb) je treba razkriti.

56.

Dejansko različne jezikovne različice predloga kažejo na velike razlike celo v zvezi s prevodom besedne zveze „podatki o osebah“. Tako je ta na primer v francoščini „l’identité des personnes“ (tj. identiteta oseb), v italijanščini „le generalità delle persone“ (tj. osebni podatki, kot sta ime in priimek), v madžarščini „személyek adatai“ (tj. podatki o posameznikih), v nizozemščini „de identiteit van de personen“ (tj. identiteta oseb) in v romunščini „identitatea persoanelor“ (tj. identiteta oseb).

57.

Poleg tega so v nekaterih državah članicah zasebni naslovi direktorjev družb in/ali drugih posameznikov, kot so nekateri delničarji, rutinsko na voljo javnosti na svetovnem spletu. V nekaterih drugih državah članicah poslovni register, ki so mu bile informacije predložene, ohranja zaupnost teh informacij zaradi pomislekov v zvezi z zaupnostjo, vključno zaradi strahu pred krajo identitete.

58.

ENVP priporoča spremembo člena 2 Direktive 2009/101/ES za pojasnitev, katere – če sploh katere – osebne podatke je treba razkriti poleg imen zadevnih posameznikov (zastopnikov družb in drugih oseb, ki sodelujejo pri upravljanju družbe). Pri tem je treba skrbno preučiti potrebo po preglednosti in natančni identifikaciji teh posameznikov ter jo ovrednotiti glede na druge konkurenčne pomisleke, kot je potreba po varstvu zasebnosti zadevnih posameznikov (24).

59.

Če zaradi razlik v nacionalnih praksah ne bo dosežen sporazum, je treba člen 2 spremeniti vsaj tako, da določa, da je treba razkriti „polno ime zadevnih posameznikov in – če to posebej zahteva nacionalna zakonodaja – dodatne podatke, potrebne za njihovo identifikacijo“. Nato bo jasno, da lahko države članice v nacionalni zakonodaji same določijo, katere – če sploh katere – „podrobnosti“ je treba razkriti poleg imen in da bo treba dodatne osebne podatke razkriti le, če je to potrebno za identifikacijo zadevnih posameznikov.

60.

Druga možnost in ob upoštevanju tega, da so v členu 2 navedene „minimalne informacije“, ne popolna uskladitev vsebine poslovnih registrov v Evropi, bi bilo mogoče besedno zvezo „podrobnosti o osebah“ preprosto nadomestiti z besedno zvezo „polna imena oseb“. Nato bi države članice same odločile, katere – če sploh katere – dodatne informacije želijo razkriti.

61.

V členu 2 Direktive 2009/101/ES se poleg tega zahteva razkritje informacij o osebah, udeleženih pri „upravljanju, nadzoru ali obvladovanju“ družbe. Na podlagi te široke ubeseditve ni popolnoma jasno, ali je treba razkriti informacije o delničarjih: zlasti informacije o delničarjih, (i) ki imajo velik, vpliven ali kontrolni delež nad določenim pragom ali (ii) zaradi zlatega deleža, posebne pogodbene ureditve ali drugačnega dejanskega nadzora/vpliva nad družbo.

62.

ENVP razume, da je široka ubeseditev potrebna za zajetje najrazličnejših struktur upravljanja družb, ki v zvezi z družbami z omejeno odgovornostjo obstajajo v različnih državah članicah. Glede na to je z vidika varstva podatkov ključna pravna varnost v zvezi s kategorijami posameznikov, katerih podatke je mogoče razkriti. ENVP zato priporoča spremembo člena 2 Direktive 2009/101/ES za pojasnitev, katere – če sploh katere – osebne podatke o delničarjih je treba razkriti. Pri tem je treba opraviti tudi analizo sorazmernosti na podlagi zadeve Schecke (kot je bilo navedeno zgoraj).

63.

Čeprav predlog ne zahteva izmenjave ali javnega razkritja osebnih podatkov, ki presega minimalne zahteve iz člena 2 Direktive 2009/101/ES, ni izključeno, da lahko države članice zahtevajo, če se tako odločijo, da njihovi poslovni registri obdelujejo ali razkrivajo dodatne osebne podatke in dajejo take podatke na voljo prek enotnega evropskega vmesnika/točke dostopa in/ali izmenjujejo take podatke s poslovnimi registri v drugih državah članicah.

64.

To je posebej občutljivo vprašanje v zvezi s „črnimi seznami“. V nekaterih državah elektronski register dejansko deluje tudi kot nekakšen „črni seznam“, na katerem lahko katere koli tretje strani prek elektronskega vmesnika iščejo informacije o zastopnikih družb, ki jim je bilo prepovedano opravljanje dejavnosti.

65.

ENVP za obravnavo tega vprašanja priporoča, naj se v predlogu pojasni, ali in v kolikšnem obsegu lahko države članice morebiti javno razkrijejo več informacij prek enotnega portala in/ali morebitno izmenjujejo več informacij na podlagi nacionalne zakonodaje, če to želijo. V tem primeru mora dosledna ocena sorazmernosti (glej zgoraj navedeno zadevo Schecke) temeljiti na nacionalni zakonodaji in upoštevati tudi cilje notranjega trga.

66.

Poleg tega predlaga, naj te pristojnosti postanejo zavezujoče za vlogo, ki jo bodo imeli nacionalni organi za varstvo podatkov, na primer s posvetovanjem.

67.

Ne nazadnje, ENVP poudarja, da je – če bo predvidena evropska shema, ki bo posebej zahtevala take „črne sezname“ – to treba posebej opredeliti v predlogu direktive (25).

68.

ENVP priporoča, naj se v predlogu direktive izrecno navede, da je treba v vseh primerih, v katerih so osebni podatki javno razkriti ali jih drugače souporabljajo poslovni registri, določiti ustrezne zaščitne ukrepe za preprečevanje zlasti zajemanja podatkov, podatkovnega rudarjenja, kombiniranja podatkov in čezmernega iskanja, da se zagotovi, da osebni podatki, ki so zaradi preglednosti dani na voljo, ne bodo zlorabljeni za dodatne nepovezane namene (26).

69.

ENVP poudarja zlasti potrebo po razmisleku o tehnoloških in organizacijskih ukrepih na podlagi načela vgrajene zasebnosti (glej oddelek 3.14 spodaj). Praktično izvajanje teh zaščitnih ukrepov je mogoče prepustiti delegiranim aktom. Vendar je treba načela opredeliti v samem predlogu direktive.

70.

ENVP priporoča, naj predlog direktive vsebuje posebno določbo, ki zahteva, da je treba osebam, na katere se podatki nanašajo, informacije iz členov 10 in 11 Direktive 95/46/ES (in ustreznih določb Uredbe (ES) št. 45/2001, če je primerno) zagotoviti učinkovito in celovito. Poleg tega in glede na upravljavsko strukturo, o kateri se je treba dogovoriti, ter vloge in odgovornosti različnih vključenih strani je mogoče v predlogu direktive izrecno zahtevati, da upravljavec sistema prevzame proaktivno vlogo pri zagotavljanju obvestil in drugih informacij osebam, na katere se podatki nanašajo, na svoji spletni strani, tudi „v imenu“ poslovnih registrov. Nadaljnje podrobnosti se lahko po potrebi vključijo v delegirane akte ali opredelijo v politiki o varstvu podatkov.

71.

Predlog mora vključevati vsaj sklic na zahtevo za razvoj modalitet ureditve (v delegiranih aktih), da se osebam, na katere se podatki nanašajo, omogoči uveljavljanje njihovih pravic. Treba se je tudi sklicevati na možnost oblikovanja modula za varstvo podatkov in možnost rešitev vgrajene zasebnosti za sodelovanje med organi v zvezi s pravicami do dostopa ter „krepitve vloge oseb, na katere se podatki nanašajo“, če je primerno.

72.

Ker je mogoče, da tudi Komisija ali druga institucija/organ EU obdeluje osebne podatke v elektronskem omrežju (npr. v vlogi upravljavca omrežja ali s pridobivanjem osebnih podatkov iz omrežja), se je treba sklicevati tudi na Uredbo (ES) št. 45/2001.

73.

Poleg tega je treba pojasniti, da se Direktiva 95/46/ES uporablja za poslovne registre in druge strani, ki delujejo v državah članicah na podlagi nacionalne zakonodaje, medtem ko se Uredba (ES) št. 45/2001 uporablja za Komisijo ter druge institucije in organe EU.

74.

V zvezi s prenosom osebnih podatkov, ki ga nosilec poslovnega registra v EU opravi za nosilca poslovnega registra v tretji državi, ki ne zagotavlja ustrezne ravni varstva osebnih podatkov, ENVP najprej poudarja, da je treba razlikovati med dvojimi primeri:

75.

V prvem primeru člen 26(1)(f) Direktive 95/46/ES ob upoštevanju nekaterih pogojev dopušča izjemo, kadar „se prenos opravi iz [javnega] registra“. Če želi na primer nosilec poslovnega registra v neki evropski državi prenesti poseben niz osebnih podatkov (npr. v zvezi z registracijo tujih podružnic) nosilcu poslovnega registra v tretji državi in bi bili zadevni podatki v vsakem primeru že dostopni javnosti, bi moral biti prenos mogoč tudi, če zadevna tretja država ne zagotavlja ustrezne ravni varstva.

76.

V zvezi z drugim primerom ENVP priporoča, naj se v predlogu pojasni, da lahko prenosi podatkov, ki niso javno dostopni, potekajo le subjektom ali posameznikom v tretji državi, ki ne zagotavlja ustreznega varstva, če upravljavec navede ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic. Taki zaščitni ukrepi lahko izhajajo zlasti iz ustreznih pogodbenih klavzul, oblikovanih na podlagi člena 26(2) Direktive 95/46/ES (27). V primerih, v katerih taki prenosi podatkov tretjim državam sistematično vključujejo podatke, ki so skupni poslovnim registrom v dveh ali več državah EU, ali v katerih je ukrepanje na ravni EU kako drugače zaželeno, lahko pogajanja o pogodbenih klavzulah potekajo tudi na ravni EU (člen 26(4)).

77.

ENVP poudarja, da se druga odstopanja, kot je tisto, v katerem (člen 26(d)) „je prenos potreben oziroma ga zahteva zakon na temelju pomembnega javnega interesa ali pa za uveljavitev, izvajanje ali obdržanje pravice do pravnih zahtevkov“, ne smejo uporabiti za utemeljitev sistematičnih prenosov podatkov tretjim državam prek elektronskega omrežja.

78.

ENVP priporoča, naj se v predlogu izrecno sklicuje in prizadeva za izvajanje načela odgovornosti (28) ter opredeli jasen okvir za ustrezne notranje mehanizme in kontrolne sisteme za zagotavljanje skladnosti z določbami o varstvu podatkov ter dokazov o njej, kot so:

79.

V zvezi z vgrajeno zasebnostjo (29) se mora predlog izrecno sklicevati na to načelo, poleg tega mora tudi to zavezo uresničiti v konkretnih ukrepih. V predlogu je treba zlasti določiti, da mora biti elektronsko omrežje zgrajeno varno in trdno, kar omogoča privzeto vgrajenost raznovrstnih zaščitnih ukrepov glede zasebnosti. Mogoči primeri zaščitnih ukrepov glede vgrajene zasebnosti vključujejo:

80.

ENVP podpira cilje predloga. Njegove pripombe je treba ovrednotiti z vidika tega konstruktivnega pristopa.

81.

ENVP poudarja, da je treba neposredno v besedilu direktive jasno in izrecno določiti potrebne zaščitne ukrepe za varstvo podatkov, saj jih šteje za poglavitne elemente. Dodatne določbe v zvezi z izvajanjem posebnih zaščitnih ukrepov je nato mogoče opredeliti v delegiranih aktih.

82.

V predlogu direktive je treba obravnavati vprašanja upravljanja, vlog, pristojnosti in odgovornosti. Za ta namen je treba v predlogu direktive opredeliti:

83.

Vse dejavnosti obdelave podatkov prek elektronskega omrežja morajo temeljiti na zavezujočem pravnem instrumentu, kot je poseben akt Unije, sprejet na trdni pravni podlagi. To je treba jasno opredeliti v predlogu direktive.

84.

Pojasniti je treba določbe o pravu, ki se uporablja, in vključiti sklic na Uredbo (ES) št. 45/2001.

85.

V zvezi s prenosom osebnih podatkov tretjim državam je treba v predlogu pojasniti, da lahko načeloma in z izjemo primerov, ki jih zajema člen 26(1)(f) Direktive 95/46/ES, prenosi potekajo le subjektom ali posameznikom v tretji državi, ki ne zagotavlja ustreznega varstva, če upravljavec navede ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov in glede uresničevanja ustreznih pravic. Taki zaščitni ukrepi lahko izhajajo zlasti iz ustreznih pogodbenih klavzul, oblikovanih na podlagi člena 26 Direktive 95/46/ES.

86.

Poleg tega mora Komisija skrbno pretehtati, katere tehnične in organizacijske ukrepe je treba sprejeti za zagotavljanje, da sta zasebnost in varstvo podatkov „vgrajena“ v strukturo elektronskega omrežja (v nadaljnjem besedilu: vgrajena zasebnost) in da so vzpostavljeni ustrezni pregledi za zagotavljanje skladnosti z določbami o varstvu podatkov ter dokazov o njej (v nadaljnjem besedilu: odgovornost).

87.

Druga priporočila ENVP vključujejo: