25.5.2012   

SV

Europeiska unionens officiella tidning

C 147/1

1.

Detta yttrande ingår i ett paket av fyra yttranden från Europeiska datatillsynsmannen om den finansiella sektorn som alla antogs samma dag (3).

2.

Den 20 oktober 2011 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om marknader för finansiella instrument och om upphävande av Europaparlamentets och rådets direktiv 2004/39/EG (nedan kallat förslaget till direktiv) och ett förslag till Europaparlamentets och rådets förordning (4) om marknader för finansiella instrument och om ändring av förordning (EMIR) om OTC-derivat, centrala motparter och transaktionsregister (nedan kallat förslaget till förordning) (nedan gemensamt kallade förslagen).

3.

Ett informellt samråd ägde rum med Europeiska datatillsynsmannen innan förslagen antogs. Europeiska datatillsynsmannen konstaterar att flera av hans kommentarer har beaktats i förslagen.

4.

Regelverket om marknader för finansiella instrument (MiFID-regelverket), i kraft sedan november 2007, är en hörnsten i integreringen av EU:s finansiella marknader. Det består för närvarande av ett ramdirektiv (direktiv 2004/39/EG), ett genomförandedirektiv (direktiv 2006/73/EG) och en genomförandeförordning (förordning (EU) nr 1287/2006).

5.

Genom MiFID-regelverket upprättas regler för bankers och värdepappersföretags tillhandahållande av investeringstjänster avseende finansiella instrument (t.ex. mäklartjänster, rådgivning, handel, portföljförvaltning och garantiverksamhet) och för marknadsplatsoperatörers drift av reglerade marknader. Genom MiFID-regelverket fastställs även de nationella behöriga myndigheternas befogenheter och skyldigheter i fråga om dessa verksamheter. Mer konkret avskaffas möjligheten för medlemsstaterna att kräva att all handel med finansiella instrument skulle ske på specifika marknadsplatser, och därigenom möjliggjordes en konkurrens mellan traditionella marknadsplatser och alternativa handelsplatser i hela EU.

6.

Sedan direktivet varit i kraft i över tre år har en ökad konkurrens mellan olika forum för handel med finansiella instrument och fler valmöjligheter för investerare i fråga om tjänsteleverantörer och tillgängliga finansiella instrument växt fram. Vissa problem har emellertid också framkommit. Fördelarna med den ökade konkurrensen har till exempel inte förverkligats i lika mån för samtliga marknadsaktörer och har inte heller i alla lägen gynnat slutinvesterarna i form av icke-professionella investerare eller aktörer i bruttoled. Marknadsutvecklingen och den tekniska utvecklingen har gjort vissa MiFID-bestämmelser föråldrade och den finansiella krisen har avslöjat svagheter i fråga om regleringen av vissa instrument.

7.

Syftet med översynen av MiFID-regelverket är att uppdatera de nuvarande reglerna och anpassa dem till förändringarna på marknaden, inklusive finanskrisen och den tekniska utvecklingen samt förbättra deras effektivitet.

8.

Följande aspekter av förslagen har betydelse för enskilda personers rättigheter i samband med behandlingen av deras personuppgifter: 1. skyldigheten att föra register och rapportera transaktioner, 2. de behöriga myndigheternas befogenheter (inklusive befogenheten att kontrollera och begära in uppgifter om telefon- och datatrafik), 3. offentliggörande av sanktioner, 4. rapportering av överträdelser och framför allt bestämmelserna om uppgiftslämnande (whistle-blowing), 5. samarbetet mellan medlemsstaternas behöriga myndigheter och Esma.

9.

I flera av skälen (5) nämns stadgan om de grundläggande rättigheterna, direktiv 95/46/EG och förordning (EG) nr 45/2001. En hänvisning till den gällande dataskyddslagstiftningen bör emellertid införas i en artikel i förslagen.

10.

Ett bra exempel på en sådan materiell bestämmelse finns i artikel 22 i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (6), där det uttryckligen framhålls som en allmän regel att direktiv 95/46/EG och förordning (EG) nr 45/2001 ska gälla vid behandling av personuppgifter inom ramen för förslaget. Europeiska datatillsynsmannen lämnade nyligen ett yttrande där han varmt välkomnade denna övergripande bestämmelse. Europeiska datatillsynsmannen föreslår emellertid att hänvisningen till direktiv 95/46/EG förtydligas genom att det anges att bestämmelserna ska tillämpas i enlighet med de nationella bestämmelser som genomför direktiv 95/46/EG.

11.

Europeiska datatillsynsmannen föreslår därför att det införs en liknande materiell bestämmelse som i artikel 22 i kommissionens förslag till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (marknadsmissbruk) (7), i enlighet med de synpunkter han framförde i anslutning till det förslaget (8), dvs. att tillämpbarheten för den befintliga dataskyddslagstiftningen understryks och att hänvisningen till direktiv 95/46/EG förtydligas genom en klausul om att bestämmelserna ska gälla i enlighet med de nationella bestämmelser som genomför direktiv 95/46/EG.

12.

Skälen bör även konsekvent utformas så att medlemsstaterna ”ska” och inte enbart ”bör” respektera den relevanta dataskyddslagstiftningen, eftersom den har trätt i kraft och det inte finns någon frihet att tillämpa den efter egen bedömning.

13.

I skäl 27 och artiklarna 21–23 i förslaget till förordning införs principen att de behöriga myndigheter som samordnas av Esma ska övervaka att värdepappersföretagen handlar hederligt, rättvist och professionellt och på ett sätt som främjar marknadens integritet. För att kunna göra det måste myndigheterna kunna identifiera vem som fattat investeringsbeslutet och vem som ansvarar för verkställandet (skäl 28).

14.

För att genomföra denna övervakningsaktivitet ska värdepappersföretagen enligt artikel 22 under minst fem års tid hålla relevanta uppgifter om samtliga sina transaktioner med finansiella instrument tillgängliga för den behöriga myndigheten. Registren ska innefatta samtliga upplysningar och identitetsuppgifter om kunden. Uppgifterna om transaktioner i finansiella instrument ska rapporteras till de behöriga myndigheterna för att de ska kunna upptäcka och undersöka eventuella fall av otillbörlig marknadspåverkan, övervaka att marknaderna fungerar rättvist och korrekt samt kontrollera värdepappersföretagens verksamhet. Även Esma kan begära tillgång till dessa uppgifter.

15.

Värdepappersföretaget måste lämna uppgifter om dessa transaktioner, inklusive kundernas identitet, till de behöriga myndigheterna så snart som möjligt (artikel 23). Om de berörda kunderna är fysiska personer kommer dessa operationer att innebära behandling av personuppgifter i enlighet med direktiv 95/46/EG och förordning (EG) nr 45/2001 och eventuellt att det skapas generella databaser.

16.

Konsekvensbedömningen verkar inte innehålla synpunkter på lagringsperioden på fem år för transaktionsrapporterna. Enligt artikel 6.1 e i direktiv 95/46/EG får personuppgifter inte lagras under längre tid än vad som är nödvändigt för det syfte för vilket uppgifterna samlades in. För att uppfylla detta krav föreslår Europeiska datatillsynsmannen att den minsta lagringsperioden på fem år ersätts av en längsta lagringsperiod. Den valda perioden bör vara nödvändig och proportionell för det syfte för vilket uppgifterna har samlats in.

17.

Artikel 16 i direktivet innehåller de organisatoriska krav som ska gälla för värdepappersföretag. Framför allt måste företagen se till att det förs register över alla tjänster och transaktioner som genomförs, något som skulle göra det möjligt för de relevanta behöriga myndigheterna att övervaka efterlevnaden av kraven som anges i direktivet. Sådana register skulle göra det möjligt att kontrollera att värdepappersföretaget har uppfyllt sina skyldigheter gentemot kunder eller presumtiva kunder. Även om det inte uttryckligen framgår av texten kan man anta att sådana data skulle innehålla personuppgifter om kunder och anställda.

18.

Kommissionen ska enligt artikel 16.12 ha befogenhet att anta delegerade akter för att fastställa de konkreta organisatoriska krav som anges i artikeln. I det sammanhanget vill Europeiska datatillsynsmannen uppmana kommissionen att samråda med honom när de delegerade akterna ska antas. Under alla omständigheter bör sådana åtgärder syfta till att minimera lagringstiden för och behandlingen av de personuppgifter som ska registreras av värdepappersföretagen. Som påpekades i anslutning till förordningen bör kommissionen också göra en grundlig utvärdering av vilken lagringsperiod som ska införas för sådana uppgifter för att se till att den är lämplig och proportionell.

19.

Enligt förslaget till direktiv ska telefonsamtal eller elektronisk kommunikation spelas in respektive bevaras.

20.

Dokumentation avseende telefonsamtal eller elektronisk kommunikation innehåller normalt uppgifter om de parter som deltar i kommunikationen, även om den avser finansiella transaktioner eller professionell verksamhet. Uppgifter som avser elektronisk kommunikation kan förmedla ett brett urval av personlig information, inklusive trafikuppgifter men också innehåll. Användningen av termen ”samtal” antyder dessutom att kommunikationens innehåll kommer att spelas in.

21.

Vad gäller personuppgifter enligt definitionen i direktiv 95/46/EG och förordning (EG) nr 45/2001 gäller de centrala dataskyddsbestämmelserna och framför allt principerna om begränsning av syftet, åtgärdens nödvändighet och proportionalitet samt skyldigheten att inte spara uppgifterna under längre tid än vad som är nödvändigt.

22.

Enligt artikel 6.1 b i direktiv 95/46/EG ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål.

23.

I artikel 16.7 i förslaget till direktiv anges inte uttryckligen syftet med att spela in telefonsamtal och bevara elektroniska kommunikationer. Flera olika syften anges emellertid i skäl 42, artikel 16.6 i förslaget till direktiv, i råden från CESR och i konsekvensbedömningen.

24.

Enligt artikel 16.6 i förslaget till direktiv ska varje värdepappersföretag se till att alla tjänster och transaktioner det genomför ”dokumenteras på ett sådant sätt att informationen är tillräcklig för att den behöriga myndigheten ska kunna övervaka att kraven i detta direktiv iakttas, särskilt för kontrollen av att värdepappersföretaget har uppfyllt alla sina förpliktelser i förhållande till sina kunder eller presumtiva kunder”.

25.

I skäl 42 i förslaget till direktiv framhålls att ”[i]nspelning av telefonsamtal eller bevarande av elektronisk kommunikation som berör kundorder […] är motiverat för att stärka investerarskyddet, förbättra marknadsövervakningen och öka rättssäkerheten i värdepappersföretagens och deras kunders intresse”. I skälet hänvisas också till den tekniska rådgivningen från europeiska värdepapperstillsynskommittén (CESR) av den 29 juli 2010 i frågan om betydelsen av sådana registreringar (9).

26.

I sina tekniska råd understryker CESR att inspelning av samtal är nödvändigt enligt de behöriga myndigheterna i) för att garantera att det finns bevis som kan avgöra tvister mellan värdepappersföretaget och dess kunder om transaktionernas villkor, ii) för att hjälpa till med övervakningen av reglerna för genomförande av affärstransaktioner, och iii) för att bidra till att avskräcka från och upptäcka otillbörlig marknadspåverkan och underlätta rättsliga åtgärder på området. Inspelningen skulle inte vara det enda sättet att garantera myndigheternas övervakning, men det ”kan hjälpa” en behörig myndighet att kontrollera efterlevnaden av till exempel kraven i MiFID om information till kunder och presumtiva kunder, bästa genomförande och hantering av kundorder.

27.

I konsekvensbedömningen framhålls att de behöriga myndigheterna behöver den här informationen (dvs. inspelning av telefonsamtal och bevarande av elektronisk kommunikation) för att garantera marknadens integritet och för att se till att företagen följer uppförandereglerna (10).

28.

De olika syften som anges i skäl 42, artikel 16.6 i förslaget till direktiv, CESR:s tekniska rådgivning och konsekvensbedömningen beskrivs inte på ett logiskt och konsekvent sätt utan återfinns på flera olika ställen i förslaget och i olika kringdokument. Enligt artikel 6.1 i direktiv 95/46/EG måste uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Europeiska datatillsynsmannen vill därför uppmana lagstiftaren att tydligt och noggrant definiera syftet med att spela in telefonsamtal och bevara elektronisk kommunikation i artikel 16.7 i förslaget till direktiv.

29.

Enligt artikel 6.1 c i direktiv 95/46/EG måste personuppgifter vara adekvata och relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. De insamlade uppgifterna måste med andra ord begränsas till vad som är lämpligt för att uppnå det eftersträvade syftet och inte gå utöver vad som krävs för att uppnå det.

30.

Artikel 16.7 avser inspelning av telefonsamtal eller bevarande av elektronisk kommunikation som åtminstone omfattar transaktioner som genomförts vid handel för egen räkning och utförande av kundorder när tjänster tillhandahålls i form av mottagande och vidarebefordran av order och utförande av order för kunders räkning.

31.

För det första: med undantag för de transaktioner som uttryckligen nämns specificeras inte i artikel 16.7 vilka telefonsamtal och vilken elektronisk kommunikation som inspelningarna eller bevarandet avser. Europeiska datatillsynsmannen uppfattar det som att de gäller kommunikation i samband med tjänster och transaktioner som genomförs av ett värdepappersföretag. Detta bör emellertid anges klart. Dessutom lämnar uttrycket ”som åtminstone omfattar” utrymme för registrering eller bevarande av olika typer av telefonsamtal eller elektronisk kommunikation. I bestämmelsen bör det i stället tydligt anges vilken typ av kommunikation som ska bevaras och begränsas till sådan kommunikation som är nödvändig för att uppnå syftet med bevarandet.

32.

För det andra preciseras det inte i bestämmelsen vilka kategorier av data som ska bevaras. Som redan sagts kan uppgifter i samband med elektronisk kommunikation förmedla ett brett urval av olika personuppgifter, till exempel identiteten hos de personer som gör och tar emot kommunikationen, tidsuppgifter, vilket nätverk som använts, användarens geografiska lokalisering när det gäller mobila enheter etc. Detta kan också innebära tillgång till kommunikationens innehåll. Användningen av termen ”samtal” antyder dessutom att kommunikationens innehåll bevaras. I enlighet med proportionalitetsprincipen måste personuppgifter i inspelade telefonsamtal eller bevarad elektronisk kommunikation begränsas till vad som krävs för det syfte för vilket de samlats in.

33.

Om till exempel syftet med att bevara kommunikationen är att kunna styrka transaktionerna verkar det inte finnas några alternativ till att bevara kommunikationens innehåll för att kunna få fram bevis för transaktionerna. Att bevara samtal och kommunikationer för att hjälpa till att upptäcka otillbörlig marknadspåverkan eller som ett led i en allmän övervakning av efterlevnaden av kraven i förslaget till direktiv skulle däremot vara överdrivet och oproportionerligt. I artikel 71.2 d i förslaget till direktiv tilldelas den behöriga myndigheten befogenhet att begära in register över telefon- och datakommunikation som innehas av ett värdepappersföretag om det finns rimliga misstankar om överträdelser av förslaget till direktiv. Där undantas uttryckligen kommunikationens innehåll. På samma sätt utesluts uttryckligen kommunikationens innehåll i artikel 17.2 f i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (11) som ger samma undersökningsbefogenheter till de behöriga myndigheterna när det gäller att bevisa insiderhandel eller otillbörlig marknadspåverkan.

34.

Europeiska datatillsynsmannen rekommenderar därför varmt att det i artikel 16.7 i förslaget till direktiv anges vilken typ av telefonsamtal och elektronisk kommunikation samt vilka kategorier av uppgifter i samband med samtalen och kommunikationerna som kommer att spelas in respektive bevaras. Sådana uppgifter måste vara adekvata, relevanta och inte överdrivna med tanke på ändamålet.

35.

Enligt artikel 6.1 e i direktiv 95/46/EG ska personuppgifter förvaras på ett sätt som inte medger identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in (12). Den lagringsperiod som anges i artikel 16.7 är tre år. Enligt konsekvensbedömningen ska alla åtgärder på området respektera EU:s dataskyddsregler som de framgår av direktiv 95/46/EG. Där framhålls emellertid att den lagringsperiod som fastställs bör respektera den befintliga EU-lagstiftningen om lagring av uppgifter som skapats eller behandlats i samband med tillhandahållandet av offentligt tillgänglig elektronisk kommunikation i syfte att bekämpa allvarliga brott. Denna maximala lagringsperiod på tre år har därför ansetts uppfylla de nödvändiga principerna om nödvändighet och proportionalitet för att medge ett lagenligt åsidosättande av en grundläggande rättighet (13).

36.

Europeiska datatillsynsmannen anser inte att analysen av varaktighetens nödvändighet och proportionalitet är adekvat. Inget av de olika (och ganska oklara) skälen till att spela in och bevara telefonsamtal och elektronisk kommunikation som anges i artikel 16.6, i skäl 42, i konsekvensbedömningen eller i CESR:s rådgivning innehåller en hänvisning till bekämpandet av allvarliga brott.

37.

Utvärderingen måste göras utifrån syftet med inspelningen eller bevarandet inom ramen för förslaget till direktiv. Om syftet till exempel är att se till att det finns bevis för att lösa tvister mellan ett värdepappersföretag och dess kunder om villkoren för olika transaktioner (14) bör konsekvensbedömningen utvärdera hur länge uppgifter ska sparas i förhållande till begränsningen av de rättigheter på grundval av vilken sådana tvister kan inledas.

38.

Europeiska datatillsynsmannen uppmanar därför lagstiftaren att grundligt utvärdera vilken lagringsperiod som är nödvändig i ljuset av syftet med inspelningen av telefonsamtalen och bevarandet av den elektroniska kommunikationen inom ramen för förslagets specifika syfte.

39.

I artikel 71 i direktivet anges de behöriga myndigheternas tillsyns- och utredningsbefogenheter.

40.

I artikel 71.4 hänvisas till direktiv 95/46/EG. Där sägs att behandlingen av personuppgifter som insamlats under utövandet av tillsyns- och utredningsbefogenheterna ska ske med respekt för den grundläggande rätten till personlig integritet och uppgiftsskydd. Europeiska datatillsynsmannen välkomnar denna bestämmelse som uttryckligen tar upp sambandet mellan myndigheternas roll som utredare och den behandling av personuppgifter som ingår i deras aktiviteter.

41.

Enligt artikel 71.2 c ska de behöriga myndigheterna ha befogenhet att utföra kontroller på plats. I motsats till förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (15) innehåller den aktuella bestämmelsen ingen hänvisning till de behöriga myndigheternas rätt ”att gå in i privatbostäder för att lägga beslag på dokument”. Detta kan innebära att kontrollbefogenheten är begränsad till värdepappersföretagens lokaler och inte omfattar privatbostäder. För tydlighetens skull föreslår vi därför att denna begränsning uttryckligen förtydligas i texten. Om kommissionen i stället skulle ha för avsikt att medge kontroll av privatbostäder vill Europeiska datatillsynsmannen hänvisa till sin kommentar i yttrandet över ovan nämnda förslag (16), nämligen att det skulle vara motiverat med ett allmänt krav på rättsligt förhandstillstånd, oavsett om ett sådant krävs i den nationella lagstiftningen eller ej, eftersom de befogenheter det gäller kan medföra ett betydande intrång i privatlivet.

42.

Artikel 71.2 d i förslaget till direktiv ger de behöriga myndigheterna rätt att ”begära befintliga uppgifter om tele- och datatrafik vilka innehas av värdepappersföretag”. I artikeln klargörs att en sådan begäran kräver förekomsten av en ”rimlig misstanke” om att sådana register ”kan vara relevanta för att bevisa att värdepappersföretaget inte har fullgjort sina skyldigheter” enligt direktivet. Under alla omständigheter ska de uppgifterna inte röra ”innehållet i det meddelande de berör”. Europeiska datatillsynsmannen inser att texten begränsar de behöriga myndigheternas befogenheter genom att kräva en rimlig misstanke om överträdelse som ett villkor för tillgången till registren och genom att utesluta de behöriga myndigheternas tillgång till kommunikationens innehåll.

43.

Det finns emellertid ingen definition av begreppen ”uppgifter om telefon- och datatrafik” i förslaget till direktiv. I direktiv 2002/58/EG (om integritet och elektronisk kommunikation) hänvisas enbart till ”trafikuppgifter”, men inte till ”uppgifter över telefon- och datatrafik”. Självklart kommer den exakta innebörden av dessa begrepp att bestämma vilken effekt utredningsbefogenheterna kan få för de berörda personernas integritet och dataskydd. Europeiska datatillsynsmannen föreslår att man använder den terminologi som redan finns i definitionen av ”trafikuppgifter” i direktiv 2002/58/EG.

44.

Uppgifter i samband med användningen av elektroniska kommunikationsmetoder kan förmedla en mängd personlig information, till exempel identiteten för de personer som gör och tar emot samtalet, samtalets tidpunkt och varaktighet, vilket nät som används, användarens geografiska placering om det handlar om mobila enheter etc. Vissa trafikdata som avser internet- och e-postanvändning (till exempel förteckningen över besökta webbplatser) kan dessutom avslöja viktiga uppgifter om innehållet i kommunikationen. Behandling av trafikuppgifter strider dessutom mot brevsekretessen. I samband med detta har principen att trafikuppgifter måste raderas eller göras anonyma när de inte längre behövs för att skicka ett meddelande fastställts i direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation) (17). Enligt artikel 15.1 i det direktivet får medlemsstaterna införa undantag i den nationella lagstiftningen för vissa specifika legitima syften när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att uppnå sådana syften (18).

45.

Europeiska datatillsynsmannen inser att de syften som kommissionen vill uppnå med förslaget till förordning är legitima. Han inser behovet av initiativ som stärker övervakningen av finansmarknaderna för att de ska förbli sunda och för att bättre skydda investerare och ekonomin i stort. Undersökningsbefogenheter som direkt avser trafikdata måste uppfylla kraven på nödvändighet och proportionalitet, dvs. de måste vara begränsade till vad som är lämpligt för att uppnå målet eftersom de befogenheterna innebär ett kraftigt intrång i privatlivet (19). Det är därför viktigt mot den bakgrunden att bestämmelserna utformas tydligt vad gäller deras personliga och materiella omfattning samt de omständigheter och villkor enligt vilka de kan användas. Dessutom måste tillräckliga säkerhetsåtgärder införas mot risken för missbruk.

46.

De berörda registren över tele- och datatrafik kommer med nödvändighet att omfatta personuppgifter i den mening som anges i direktiv 95/46/EG, direktiv 2002/58/EG och förordning (EG) nr 45/2001. Det är därför viktigt att villkoren för en rättvis och lagenlig behandling av personuppgifter, på det vis som anges i direktiven och i förordningen, respekteras fullt ut.

47.

Europeiska datatillsynsmannen konstaterar att artikel 71.3 innehåller ett krav på rättsligt förhandsgodkännande om ett sådant tillstånd krävs i den nationella lagstiftningen. Europeiska datatillsynsmannen anser emellertid att ett generellt krav på rättsligt förhandsgodkännande i samtliga fall – oavsett om det krävs i den nationella lagstiftningen eller ej – skulle vara motiverat eftersom den aktuella befogenheten kan innebära ett kraftigt intrång och för att lagen ska tillämpas enhetligt i alla EU:s medlemsstater. Man bör också beakta att vissa lagar i medlemsstaterna omfattar särskilda garantier för hemmets okränkbarhet vid oproportionella och inte omsorgsfullt reglerade inspektioner, utredningar eller beslagtaganden, framför allt när de utförs av administrativa institutioner.

48.

Europeiska datatillsynsmannen rekommenderar dessutom att det införs ett krav på att Esma ska begära in uppgifter om tele- och datatrafik genom formella beslut som anger den rättsliga grunden och syftet med begäran och vilken information som krävs, den tidsfrist inom vilken informationen ska lämnas samt den berörda personens rätt att få beslutet prövat av EU:s domstol.

49.

Uttrycket ”befintliga uppgifter om tele- och datatrafik” verkar inte vara tillräckligt tydligt. Vad som menas med uppgifter om tele- och datatrafik definieras inte, trots att det enligt artikel 71.2.2 i MiFID-förslaget enbart handlar om sådana uppgifter som ”innehas av värdepappersföretag”. Uppgifter som innehas av värdepappersföretag är förmodligen sådana uppgifter som anges i artiklarna 16.6 och 16.7 och som kommenterats ovan. Det bör innebära att texten undantar register som innehas av leverantörer av elektroniska kommunikationstjänster som har ett leverantörsavtal med det berörda värdepappersföretaget. För klarhets vinnande rekommenderar Europeiska datatillsynsmannen ett förtydligande av vad som avses med uppgifter om tele- och datatrafik som innehas av ett värdepappersföretag.

50.

Enligt artikel 74 i förslaget till direktiv ska medlemsstaterna föreskriva att de behöriga myndigheterna utan otillbörligt dröjsmål offentliggör alla sanktioner eller åtgärder som har ålagts till följd av överträdelser av bestämmelserna i förslaget till förordning eller av de nationella bestämmelser som har antagits för att genomföra förslaget till direktiv, inklusive information om överträdelsens typ och karaktär och uppgifter om vilka personer som är ansvariga för överträdelsen, om inte ett sådant offentliggörande allvarligt skulle äventyra finansmarknaderna. Denna skyldighet minskas enbart om offentliggörandet skulle orsaka de berörda parterna ”oproportionell skada”. I så fall ska de behöriga myndigheterna offentliggöra sanktionerna anonymt.

51.

Offentliggörande av sanktioner skulle bidra till att öka den avskräckande effekten, eftersom presumtiva gärningsmän skulle avstå från att begå brott för att undvika betydande skador på det egna ryktet. Det skulle också öka öppenheten, eftersom marknadsoperatörer skulle bli medvetna om att en överträdelse hade begåtts av en viss person (20). Denna skyldighet upphävs enbart om offentliggörandet skulle orsaka de berörda parterna oproportionerlig skada. I sådana fall ska de behöriga myndigheterna offentliggöra sanktionerna anonymt. Det erkänns visserligen att införandet av sanktioner (oavsett om det sker genom en minimiharmonisering eller fullständig harmonisering) skulle påverka de grundläggande rättigheterna, såsom artiklarna 7 (respekt för privatlivet och familjelivet) och 8 (skydd av personuppgifter) och dessutom eventuellt artiklarna 47 (rätt till ett effektivt rättsmedel och till en opartisk domstol) och 48 (presumtion för oskuld och rätten till försvar) i EU:s stadga (21). Samtidigt verkar det emellertid inte som om de presumtiva effekterna av offentliggörandet av själva sanktionerna på de rättigheterna undersöks i konsekvensbedömningen.

52.

Enligt artikel 75.2 a har de behöriga myndigheterna, förutom sina övriga sanktionerande befogenheter, befogenheten att offentligt meddela namnet på den ansvariga personen och överträdelsens karaktär (22). Det är inte klart hur skyldigheten att offentliggöra sanktioner eller åtgärder enligt artikel 74 kan förenas med befogenheten att utfärda ett offentligt utlåtande enligt artikel 75.2 a. Införandet av befogenheten att utfärda ett offentligt utlåtande i artikel 75.2 a visar att offentliggörandet i sig utgör en sanktion, vilken bör bedömas från fall till fall i ljuset av de proportionalitetskriterier som anges i artikel 76 (23).

53.

Europeiska datatillsynsmannen är inte övertygad om att det obligatoriska offentliggörandet av sanktioner, som det för närvarande är formulerat, uppfyller kraven i dataskyddslagstiftningen enligt domstolens förklaring i domen i Schecke-målet (24). Han anser att åtgärdens syfte, nödvändighet och proportionalitet inte har visats tillräckligt tydligt och att det under alla omständigheter borde ha införts tillräckliga skyddsmekanismer för den enskildes rättigheter.

54.

I Schecke-domen upphävde domstolen bestämmelserna i en av rådets förordningar och en av kommissionens förordningar med krav på obligatoriskt offentliggörande av information rörande jordbruksfondernas stödmottagare, inklusive mottagarnas identitet och de mottagna beloppen. Domstolen ansåg att ett sådant offentliggörande utgjorde behandling av personuppgifter och omfattades av artikel 8.2 i Europeiska stadgan om de grundläggande rättigheterna (”stadgan”) och att det därför stred mot de rättigheter som anges i artiklarna 7 och 8 i stadgan.

55.

Efter att ha framhållit att ”undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt” analyserade domstolen syftet med offentliggörandet och dess proportionalitet. Domstolen drog slutsatsen att det i det aktuella fallet inte fanns något som visade att rådet och kommissionen undersökt om det fanns metoder för offentliggörande av informationen som var förenliga med det mål som eftersträvades med offentliggörandet, samtidigt som de innebar ett mindre långtgående ingrepp i stödmottagarnas rätt till respekt för privatlivet när den berörda lagstiftningen antogs.

56.

Artikel 74 i förslaget till direktiv verkar lida av samma brister som de som framhålls av domstolen i Schecke-domen. Man bör beakta att när överensstämmelsen med dataskyddskraven bedöms för en bestämmelse som kräver offentliggörande av personuppgifter är det av avgörande betydelse att det finns ett tydligt och väldefinierat syfte med det tänkta offentliggörandet. Det är enbart med ett tydligt och väl definierat syfte som det går att avgöra om offentliggörandet av de aktuella personuppgifterna faktiskt är nödvändigt och proportionellt (25).

57.

Efter att ha läst förslaget och de åtföljande dokumenten (dvs. konsekvensbedömningen) har Europeiska datatillsynsmannen intrycket att syftet med, och följaktligen nödvändigheten för, denna åtgärd inte har klart angetts. Inget sägs om dessa frågor i skälen och i konsekvensbedömningen framhålls enbart att det är viktigt att offentliggöra sanktioner för att se till att de får en avskräckande effekt på de berörda personerna och för att de ska få en avskräckande effekt på allmänheten (26). Ett sådant svepande påstående verkar inte vara tillräckligt för att visa att den föreslagna åtgärden är nödvändig. Om det allmänna syftet är att stärka den avskräckande effekten verkar det som om kommissionen framför allt borde ha förklarat varför hårdare finansiella sanktioner (eller andra sanktioner som inte innebär att någon namnges och hängs ut) inte skulle ha varit tillräckliga.

58.

Dessutom verkar det som om konsekvensbedömningen inte i tillräckligt hög grad beaktar mindre inträngande metoder, såsom offentliggörande som begränsas till kreditinstitut eller som beslutas från fall till fall. Framför allt verkar det senare alternativet vid ett första påseende vara en mer proportionerlig lösning, framför allt om man beaktar att – enligt vad som anges i artikel 75.2 a – offentliggörandet är en sanktion som ska bedömas från fall till fall med beaktande av relevanta omständigheter, såsom överträdelsens allvarlighet, graden av personligt ansvar, återfall, förluster för tredje part etc. (27).

59.

Enligt Europeiska datatillsynsmannens åsikt gör möjligheten att utvärdera fallet i ljuset av de specifika omständigheterna denna lösning mer proportionell och den är därför att föredra jämfört med obligatoriskt offentliggörande i samtliga fall. Detta skulle till exempel göra det möjligt för den behöriga myndigheten att undvika offentliggörande i samband med mindre allvarliga överträdelser, där överträdelsen inte åstadkommit några betydande skador eller där den berörda parten har visat prov på samarbetsvilja etc.

60.

Enligt artikel 35.6 i förslaget till förordning ska Esma på sin webbplats offentliggöra varje beslut om att införa eller förlänga en åtgärd som begränsar en persons möjligheter att ingå ett råvaruderivatavtal. Identiteten för personer vilkas förhandlingsmöjligheter har begränsats av Esma ska med andra ord offentliggöras, tillsammans med de tillgängliga finansiella instrumenten, relevanta kvantitativa åtgärder såsom det maximala antalet avtal som personen eller en viss klass av personer kan ingå, och skälen för detta. Åtgärden ska börja gälla när tillkännagivandet offentliggörs (artikel 35.7). Mot bakgrund av de skäl som framförts i anslutning till direktivets bestämmelser vill Europeiska datatillsynsmannen uppmuntra lagstiftaren att överväga om ett offentliggörande är nödvändigt och om det finns mindre restriktiva åtgärder i fall där fysiska personer berörs.

61.

Förslaget till direktiv borde ha omfattat adekvata skyddsmekanismer för att säkra en rimlig balans mellan de olika intressen som berörs. För det första är det nödvändigt att skydda de anklagade personernas rätt att få beslutet prövat i domstol och presumtionen för oskuld. En särskild skrivning om detta skulle ha inkluderats i texten till artikel 74, så att de behöriga myndigheterna tvingas vidta lämpliga åtgärder såväl i situationer där beslutet är föremål för överklagande som i de fall där det eventuellt upphävs av en domstol (28).

62.

För det andra bör förslaget till direktiv garantera att de registrerade personernas rättigheter respekteras på ett proaktivt sätt. Europeiska datatillsynsmannen uppskattar att den slutliga versionen av förslaget omfattar en möjlighet att avstå från offentliggörandet om det skulle orsaka oproportionerliga skador. En proaktiv strategi borde emellertid innebära att de registrerade personerna informeras i förhand om att beslutet om sanktioner kommer att offentligöras och att de har rätt att göra invändningar enligt artikel 14 i direktiv 95/46/EG om det föreligger övertygande legitima skäl (29).

63.

För det tredje: i förslaget till direktiv anges inte i vilket medium informationen ska offentliggöras, men det är rimligt att anta att offentliggörandet i de flesta medlemsstater kommer att ske på internet. Offentliggörande på internet medför särskilda problem och risker, i första hand när det gäller behovet av att se till att informationen inte ligger kvar online längre tid än vad som är nödvändigt och att uppgifterna inte kan manipuleras eller ändras. Användningen av externa sökmotorer medför också en risk för att informationen lyfts ur sitt sammanhang och förmedlas genom och utanför internet på sätt som inte enkelt kan kontrolleras (30).

64.

Mot bakgrund av ovanstående är det nödvändigt att medlemsstaterna blir skyldiga att se till att de berörda personernas personuppgifter behålls online enbart under en rimlig tidsperiod, varefter de systematiskt raderas (31). Medlemsstaterna bör dessutom bli skyldiga att se till att tillräckliga säkerhetsåtgärder och skyddsmekanismer inrättas, framför allt för att skydda från riskerna i samband med användningen av externa sökmotorer (32).

65.

Europeiska datatillsynsmannen anser att bestämmelsen om obligatoriskt offentliggörande av sanktioner inte uppfyller den grundläggande rätten till personlig integritet och dataskydd som den för närvarande är utformad. Lagstiftaren bör noga utvärdera det föreslagna systemets nödvändighet och kontrollera om skyldigheten att offentliggöra går utöver vad som är nödvändigt för att förverkliga det allmänintresse som eftersträvas och om det finns mindre restriktiva åtgärder för att uppnå samma mål. I enlighet med resultatet av ett sådant proportionalitetstest bör skyldigheten att offentliggöra under alla omständigheter stödjas av lämpliga skyddsmekanismer för att garantera respekten för oskuldspresumtionen, de berörda personernas rätt att göra invändningar, uppgifternas säkerhet och korrekthet och att uppgifterna verkligen raderas efter en lämplig tidsperiod.

66.

Artikel 77 i förslaget till direktiv avser mekanismer för att rapportera missförhållanden (whistle-blowing). Sådana system kan vara effektiva för att säkra efterlevnaden men de väcker viktiga frågor i samband med dataskydd (33). Europeiska datatillsynsmannen välkomnar att förslaget till direktiv innehåller särskilda skyddsmekanismer för att skydda personer som rapporterar den misstänkta överträdelsen och mer allmänt för att skydda personuppgifter. De skyddsmekanismerna ska sedan utvecklas vidare på nationell nivå. I konsekvensbedömningen nämns uppgiftslämnande i samband med alternativen för att införa sanktioner i utvärderingen av de grundläggande rättigheterna (34) och uppmärksamheten riktas på behovet av att genomförandelagstiftningen ska följa de principer och kriterier för dataskydd som angetts av dataskyddsmyndigheterna. Europeiska datatillsynsmannen är medveten om att det föreslagna direktivet enbart beskriver huvuddragen i det system som ska tillämpas av medlemsstaterna. Trots detta vill han gärna rikta uppmärksamheten på följande punkter.

67.

Europeiska datatillsynsmannen understryker, liksom i andra yttranden (35), behovet av att det införs en särskild hänvisning till behovet av att respektera uppgiftslämnarnas och informatörernas anonymitet. Europeiska datatillsynsmannen understryker att uppgiftslämnarnas position är känslig. De personer som lämnar sådan information bör få garantier för att deras identitet hemlighålls, framför allt gentemot den person som utpekas som skyldig till det påstådda, rapporterade missförhållandet (36). Sekretessen för uppgiftslämnarnas identitet bör garanteras i alla faser av förfarandet, så länge som detta inte strider mot nationella regler för rättsliga förfaranden. Framför allt kan det bli nödvändigt att röja uppgiftslämnarens identitet i samband med ytterligare undersökningar eller efterföljande rättsliga förfaranden som inleds som en följd av undersökningen (bland annat om det har fastställts att uppgiftslämnaren gjorde falska uttalanden om en viss person i uppsåt att skada) (37). Mot bakgrund av ovanstående rekommenderar Europeiska datatillsynsmannen att följande läggs till i artikel 77.1 b: ”Dessa personers identitet bör skyddas i alla faser av förfarandet, om det inte krävs att den offentliggörs enligt nationell lag i samband med vidare undersökning eller en efterföljande rättslig process.”

68.

Europeiska datatillsynsmannen understryker dessutom vikten av att tillhandahålla lämpliga regler för att skydda de anklagade personernas rätt att få tillgång till handlingar, något som är nära knutet till rätten till försvar (38). De särskilda förfarandena för mottagande av rapporter och uppföljning av dem som anges i artikel 77.1 a bör garantera att de anklagade personernas rätt till försvar respekteras och enbart begränsas i den utsträckning som är absolut nödvändig (39). Det gäller till exempel rätten att bli informerade, rätten att få tillgång till utredningshandlingar och presumtionen för oskuld. Europeiska datatillsynsmannen föreslår i det sammanhanget att även den bestämmelse i artikel 29 d i Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan som kräver att medlemsstaterna ska införa ”lämpliga förfaranden för att garantera den anklagade personens rätt till försvar och rätt att bli hörd innan ett beslut fattas om den personen och rätten att begära lämplig prövning i domstol av beslut eller åtgärd som rör personen i fråga” läggs till i förslaget till direktiv.

69.

När det slutligen gäller artikel 77.1 c gläder sig Europeiska datatillsynsmannen åt att den innehåller kravet att medlemsstaterna ska garantera skyddet av personuppgifter både för den person som anklagas för att ha gjort sig skyldig till en överträdelse och den person som rapporterar överträdelser i enlighet med de principer som fastställs i direktiv 95/46/EG. Han föreslår emellertid att frasen ”i enlighet med de principer som fastställs i” tas bort för att göra hänvisningen till direktivet mer heltäckande och bindande. När det gäller behovet av att respektera dataskyddslagstiftningen när systemen ska tillämpas i praktiken vill Europeiska datatillsynsmannen understryka de rekommendationer som artikel 29-arbetsgruppen lämnade i yttrandet om uppgiftslämnare från 2006. När de nationella systemen tillämpas ska de berörda organen bland annat beakta behovet av att respektera proportionaliteten genom att i så stor utsträckning som möjligt begränsa de kategorier av personer som har rätt att rapportera, kategorierna av personer som kan pekas ut och de överträdelser för vilka de kan anklagas; behovet av att främja identifierade och sekretessbelagda rapporter framför anonyma rapporter; behovet av att ombesörja att man röjer identiteten för de uppgiftslämnare som lämnar uppgifter i uppsåt att skada samt behovet av att iaktta strikta datalagringsperioder.

70.

I artikel 83 införs en skyldighet för medlemsstaternas behöriga myndigheter att samarbeta inbördes och med Esma. I artikel 83.5 införs en skyldighet för de behöriga myndigheterna att meddela Esma och andra behöriga myndigheter detaljerade uppgifter om a) varje begäran om att reducera storleken på en position eller en exponering i enlighet med artikel 72.1 f och b) eventuella begränsningar av personers möjligheter att investera i ett instrument i enlighet med artikel 72.1 g. Meddelandet ska innehålla identitetsuppgifter om den eller de personer till vilka begäran riktades samt omfattningen av de gränser som införts, typen av finansiellt instrument och övrig information.

71.

Det framhålls dessutom att den behöriga myndigheten i en medlemsstat som mottar ovan nämnda meddelanden ”får vidta åtgärder enligt artikel 72.1 f eller g om den anser att åtgärden är nödvändig för att uppnå den andra behöriga myndighetens mål”. Europeiska datatillsynsmannen vill understryka att denna typ av beslut som ska fattas av de behöriga myndigheterna kan anses uppfylla kriterierna för ett ”databehandlat beslut” enligt beskrivningen i artikel 15 i direktiv 95/46/EG: denna tolkning grundas på det faktum att artikel 72 kräver att den mottagande behöriga myndigheten ska kontrollera om den aktuella åtgärden kan uppnå den andra behöriga myndighetens mål. Den behöriga myndigheten i en medlemsstat som mottar meddelandet behöver därför inte göra en oberoende analys av omständigheterna i ärendet – bland annat utifrån den registrerade personens personuppgifter – för att vidta en åtgärd som begränsar den personens rättigheter. Enligt artikel 15 i direktiv 95/46/EG ska alla personer ha rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. För den fråga som behandlas här är artikel 15.2 i direktiv 95/46/EG relevant: där sägs att en person kan bli föremål för ett sådant beslut som anges ovan om beslutet ”tillåts i lagstiftning” och det finns bestämmelser till skydd för den registrerades berättigade intressen. De nationella lagar som genomför direktivet skulle utgöra rättslig grund för undantaget i artikel 15.2 i direktiv 95/46/EG men inga särskilda bestämmelser införs till skydd för den registrerade personens legitima intressen.

72.

Texten i förslaget till direktiv verkar därför införa möjligheten för en myndighet i en annan medlemsstat än den där sanktionen ursprungligen infördes att fatta ett databehandlat beslut som påverkar möjligheten att ingå avtal. Med tanke på de effekter som ett sådant beslut kan få för rättigheterna för en person som ägnar sig åt investeringsverksamhet vill Europeiska datatillsynsmannen understryka att texten bör omfatta en hänvisning till rätten att göra invändningar mot databehandlade beslut enligt artikel 15 i direktiv 95/46/EG. Uttryckliga skyddsmekanismer bör införas för att garantera att den registrerade personen blir medveten om överföringen och förekomsten av ett förfarande som inletts av den mottagande behöriga myndigheten för att fatta ett sådant beslut, så att den registrerade personen kan utöva sin rätt att göra invändningar i praktiken.

73.

Enligt artikel 34.2 i förordningen ska Esma efter att ha underrättats om en åtgärd enligt artikel 83.5 i direktivet registrera åtgärden och skälen till åtgärden. Vad avser åtgärder enligt artikel 72.1 f och g i direktivet ska Esma på sin webbplats upprätthålla och offentliggöra en databas med sammanfattningar av de åtgärder som är i kraft ”inbegripet uppgifter om den person eller kategori av personer som berörs”.

74.

Ett sådant offentliggörande utgör ytterligare en behandlingsaktivitet som omfattar personuppgifter. Samma synpunkter som de som togs upp i samband med offentliggörandet av sanktioner i punkt 2.5 ovan gäller i detta sammanhang. Konsekvensbedömningen verkar inte innehålla någon utvärdering av effekten på de grundläggande rättigheterna av denna typ av offentliggörande på internet. Europeiska datatillsynsmannen vill därför uppmuntra lagstiftaren att överväga om åtgärden verkligen är nödvändig och proportionell.

75.

Europeiska datatillsynsmannen konstaterar att det görs en hänvisning till direktiv 95/46/EG, särskilt kapitel 4, och förordning (EG) nr 45/2001 i artikel 92 i förslaget till direktiv.

76.

Med tanke på riskerna i samband med sådant utbyte av uppgifter rekommenderar emellertid Europeiska datatillsynsmannen att man lägger till ytterligare skyddsåtgärder, såsom en utvärdering från fall till fall, att man försäkrar sig om att överföringen är nödvändig, kravet på förhandsgodkännande av den behöriga myndigheten vid ytterligare överföring av uppgifter till och från tredjeland och att det finns ett fullgott skydd för personuppgifter i det tredjeland som mottar personuppgifterna.

77.

Ett bra exempel på en bestämmelse som innehåller sådana lämpliga skyddsåtgärder återfinns i artikel 23 i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (40).

78.

Europeiska datatillsynsmannen lämnar följande rekommendationer: