This document is an excerpt from the EUR-Lex website
Document 52021XX0615(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Pilot Regime for Market Infrastructures based on Distributed Ledger Technology (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/04
Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu o pilotni ureditvi za tržne infrastrukture na podlagi tehnologije razpršene evidence (Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu) 2021/C 229/04
Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu o pilotni ureditvi za tržne infrastrukture na podlagi tehnologije razpršene evidence (Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu) 2021/C 229/04
UL C 229, 15.6.2021, p. 13–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
15.6.2021 |
SL |
Uradni list Evropske unije |
C 229/13 |
Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu o pilotni ureditvi za tržne infrastrukture na podlagi tehnologije razpršene evidence
(Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu)
(2021/C 229/04)
Evropska komisija je 24. septembra 2020 sprejela predlog uredbe Evropskega parlamenta in Sveta o pilotni ureditvi za tržne infrastrukture na podlagi tehnologije razpršene evidence (COM(2020) 594 final). V predlogu so določene usklajene zahteve za nekatere udeležence na trgu, da zaprosijo za izdajo dovoljenja za upravljanje tržnih infrastruktur na podlagi tehnologije digitalne evidence (DLT).
ENVP poudarja, da varstvo osebnih podatkov ne predstavlja ovire za inovacije in zlasti za razvoj novih tehnologij v finančnem sektorju. Hkrati opozarja, da morajo ukrepi, sprejeti na ravni EU v zvezi z inovativnimi tehnologijami, ki vključujejo obdelavo osebnih podatkov, ustrezati splošnima načeloma nujnosti in sorazmernosti. Poleg tega, ker nimamo celovitega pregleda nad vplivom teh novih tehnologij na družbo, ENVP meni, da bi bilo treba upoštevati pristop na podlagi previdnostnega načela.
ENVP ugotavlja, da se lahko glede na konfiguracijo DLT metapodatki in transakcijski podatki, ki se shranjujejo v tej evidenci, štejejo za osebne podatke, če se nanašajo na določeno ali določljivo fizično osebo. Zato morajo upravljavci skrbno analizirati in dokumentirati konfiguracijo DLT, da bi ugotovili, ali se s tem obdelujejo osebni podatki in je zato treba pri postopkih izpolnjevati obveznosti v zvezi z varstvom podatkov.
ENVP poudarja, da tehnologija, na kateri temeljijo nekatere digitalne evidence, zlasti javne evidence in evidence brez dovoljenj, sproža ključna vprašanja v zvezi z združljivostjo z zahtevami glede varstva podatkov.
ENVP meni, da bi morala biti pred začetkom veljavnosti predloga opravljena razprava o splošni združljivosti sistemov DLT z okvirom varstva podatkov.
ENVP ugotavlja, da je verjetno, da bodo v primeru tehnologije DLT, ki vsebuje osebne podatke v podatkovni verigi (on-chain), postopki, povezani z njihovo obdelavo, izpolnjevali merila za razvrstitev postopka obdelave kot zelo tveganega. Zato mora upravljavec pred postopkom obdelave osebnih podatkov izvesti oceno učinka v zvezi z varstvom podatkov za predvidene postopke obdelave. Poleg tega se lahko zahteva tudi predhodna odobritev pristojnega organa za varstvo podatkov.
ENVP priporoča, naj se v predlogu kot del informacij, povezanih z vlogo za upravljanje tržne infrastrukture na podlagi DLT, kjer je primerno, zahtevajo osnovne informacije v zvezi s predvidenimi postopki obdelave. Priporoča tudi, naj upravljavci tržnih infrastruktur na podlagi DLT objavijo izjavo o varstvu osebnih podatkov na istem mestu kot informacije o upravljanju, kot se zahteva v predlogu.
ENVP poudarja, da morajo biti ureditve IT in kibernetske ureditve, ki so v predlogu predvidene za upravljanje tržnih infrastruktur na podlagi DLT, tudi v skladu z obveznostmi iz členov 22 in 32 Splošne uredbe o varstvu podatkov. (1)
Nazadnje, ENVP v okviru poročanja upravljavcev tržnih infrastruktur na podlagi DLT o operativnih zadevah priporoča, naj se v uvodni izjavi opozori, da mora upravljavec v primerih kršitev varstva osebnih podatkov o tem tudi uradno obvestiti pristojni organ za varstvo podatkov v skladu s členom 33 Splošne uredbe o varstvu podatkov in, kjer je to primerno, posameznike, na katere se nanašajo osebni podatki, v skladu s členom 34 navedene uredbe.
3. OZADJE
|
1. |
Evropska komisija je 24. septembra 2020 sprejela predlog uredbe Evropskega parlamenta in Sveta o pilotni ureditvi za tržne infrastrukture na podlagi tehnologije razpršene evidence (COM(2020) 594 final) (v nadaljnjem besedilu: predlog). V predlogu so določene usklajene zahteve za posebne udeležence na trgu, in sicer investicijska podjetja, upravljavce trga ali centralne depotne družbe, da zaprosijo za izdajo dovoljenja za upravljanje tržnih infrastruktur na podlagi tehnologije digitalne evidence (v nadaljnjem besedilu: tržna struktura na podlagi DLT) v nadzorovanem okolju z uporabo posebnih izvzetij iz skladnosti s finančnimi predpisi. Predlog ima med drugim štiri cilje: zagotavljanje pravne varnosti za kriptoimetja, zagotavljanje finančne stabilnosti, varstvo potrošnikov in vlagateljev ter omogočanje inovacij za uporabo verige podatkovnih blokov, tehnologije razpršene evidence in kriptoimetij. |
|
2. |
Ta predlog je del svežnja, ki vključuje predlog uredbe o oblikovanju trgov kriptoimetij (2) (v nadaljnjem besedilu: uredba MICA), predlog o digitalni operativni odpornosti (3) (v nadaljnjem besedilu: uredba DORA) in predlog za pojasnitev ali spremembo nekaterih povezanih pravil EU o finančnih storitvah (4). ENVP pričakuje, da bo z njim opravljeno tudi posvetovanje o drugih uredbah iz svežnja v skladu s členom 42(1) Uredbe (EU) 2018/1725. |
|
3. |
Evropska komisija je 26. februarja 2021 Evropskega nadzornika za varstvo podatkov (v nadaljnjem besedilu: ENVP) v skladu s členom 42(1) Uredbe (EU) 2018/1725 zaprosila, naj izda mnenje o predlogu. Te pripombe so omejene le na določbe predloga, ki so pomembne z vidika varstva podatkov. |
5. SKLEPNE UGOTOVITVE
Glede na navedeno ENVP:
|
— |
opozarja, da varstvo osebnih podatkov ne predstavlja ovire za inovacije in zlasti za razvoj novih tehnologij, predvsem v finančnem sektorju; |
|
— |
poudarja, da tehnologija, na kateri temeljijo nekatere digitalne evidence, zlasti javne evidence in evidence brez dovoljenj, sproža ključna konceptualna vprašanja v zvezi z zahtevami glede varstva podatkov, in zato priporoča, da bi morala biti pred začetkom veljavnosti predloga opravljena razprava o možnih načinih zagotavljanja združljivosti sistemov DLT z okvirom varstva podatkov; |
|
— |
poudarja, da bi morala biti edina kriptoimetja, s katerimi se trguje v tržnih infrastrukturah na podlagi DLT, zajetih s predlogom, tista kriptoimetja, ki uporabljajo konfiguracijo DLT, ki ustreza okviru varstva podatkov; |
|
— |
predlaga, naj se kot del informacij, zahtevanih od upravljavca v okviru njegove vloge za upravljanje tržne infrastrukture na podlagi DLT, kjer je primerno, vključi tudi seznam predvidenih postopkov obdelave, ki vključujejo osebne podatke, dodelitev vlog in odgovornosti posameznega upravljavca v skladu s Splošno uredbo o varstvu podatkov znotraj tržne infrastrukture na podlagi DLT ter tudi predvidena glavna tveganja in strategije za blažitev v zvezi z varstvom podatkov; |
|
— |
poudarja, da morajo biti ureditve IT in kibernetske ureditve, predvidene v predlogu za upravljanje tržnih infrastruktur na podlagi DLT, tudi v skladu z obveznostmi iz členov 22 in 32 Splošne uredbe o varstvu podatkov; |
|
— |
priporoča, naj se v uvodni izjavi opozori, da morajo upravljavci tržnih infrastruktur na podlagi DLT v okviru poročanja o operativnih zadevah v primerih kršitev varstva osebnih podatkov o tem tudi uradno obvestiti pristojni nadzorni organ za varstvo podatkov v skladu s členom 33 Splošne uredbe o varstvu podatkov in, kjer je to primerno, posameznike, na katere se nanašajo osebni podatki, v skladu s členom 34 navedene uredbe. |
Bruselj, 23. april 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(2) Predlog uredbe Evropskega parlamenta in Sveta o trgih kriptoimetij in spremembi Direktive (EU) 2019/1937, COM(2020) 593 final. Na voljo na naslovu: EUR-Lex - 52020PC0593 - SL - EUR-Lex (europa.eu).
(3) Predlog uredbe Evropskega parlamenta in Sveta o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014 in (EU) št. 909/2014, COM(2020) 595 final. Na voljo na naslovu: EUR-Lex - 52020PC0595 - SL - EUR-Lex (europa.eu).
(4) Predlog direktive Evropskega parlamenta in Sveta o spremembi direktiv 2006/43/ES, 2009/65/ES, 2009/138/EU, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 in (EU) 2016/2341, COM(2020) 596 final. Na voljo na naslovu EUR-Lex - 52020PC0596 - SLEN - EUR-Lex (europa.eu).