Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52012XX0525(01)

    Yttrande från Europeiska datatillsynsmannen om kommissionens förslag till Europaparlamentets och rådets direktiv om marknader för finansiella instrument och om upphävande av Europaparlamentets och rådets direktiv 2004/39/EG och till Europaparlamentets och rådets förordning om marknader för finansiella instrument och om ändring av förordning (EMIR) om OTC-derivat, centrala motparter och transaktionsregister

    EUT C 147, 25.5.2012, p. 1–14 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    25.5.2012   

    SV

    Europeiska unionens officiella tidning

    C 147/1


    Yttrande från Europeiska datatillsynsmannen om kommissionens förslag till Europaparlamentets och rådets direktiv om marknader för finansiella instrument och om upphävande av Europaparlamentets och rådets direktiv 2004/39/EG och till Europaparlamentets och rådets förordning om marknader för finansiella instrument och om ändring av förordning (EMIR) om OTC-derivat, centrala motparter och transaktionsregister

    2012/C 147/01

    EUROPEISKA DATATILLSYNSMANNEN HAR AVGETT DETTA YTTRANDE

    med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

    med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artiklarna 7 och 8,

    med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1),

    med beaktande av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (2), särskilt artikel 28.2.

    HÄRIGENOM FRAMFÖRS FÖLJANDE.

    1.   INLEDNING

    1.1   Samrådet med Europeiska datatillsynsmannen

    1.

    Detta yttrande ingår i ett paket av fyra yttranden från Europeiska datatillsynsmannen om den finansiella sektorn som alla antogs samma dag (3).

    2.

    Den 20 oktober 2011 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om marknader för finansiella instrument och om upphävande av Europaparlamentets och rådets direktiv 2004/39/EG (nedan kallat förslaget till direktiv) och ett förslag till Europaparlamentets och rådets förordning (4) om marknader för finansiella instrument och om ändring av förordning (EMIR) om OTC-derivat, centrala motparter och transaktionsregister (nedan kallat förslaget till förordning) (nedan gemensamt kallade förslagen).

    3.

    Ett informellt samråd ägde rum med Europeiska datatillsynsmannen innan förslagen antogs. Europeiska datatillsynsmannen konstaterar att flera av hans kommentarer har beaktats i förslagen.

    1.2   Förslagens syfte och omfattning

    4.

    Regelverket om marknader för finansiella instrument (MiFID-regelverket), i kraft sedan november 2007, är en hörnsten i integreringen av EU:s finansiella marknader. Det består för närvarande av ett ramdirektiv (direktiv 2004/39/EG), ett genomförandedirektiv (direktiv 2006/73/EG) och en genomförandeförordning (förordning (EU) nr 1287/2006).

    5.

    Genom MiFID-regelverket upprättas regler för bankers och värdepappersföretags tillhandahållande av investeringstjänster avseende finansiella instrument (t.ex. mäklartjänster, rådgivning, handel, portföljförvaltning och garantiverksamhet) och för marknadsplatsoperatörers drift av reglerade marknader. Genom MiFID-regelverket fastställs även de nationella behöriga myndigheternas befogenheter och skyldigheter i fråga om dessa verksamheter. Mer konkret avskaffas möjligheten för medlemsstaterna att kräva att all handel med finansiella instrument skulle ske på specifika marknadsplatser, och därigenom möjliggjordes en konkurrens mellan traditionella marknadsplatser och alternativa handelsplatser i hela EU.

    6.

    Sedan direktivet varit i kraft i över tre år har en ökad konkurrens mellan olika forum för handel med finansiella instrument och fler valmöjligheter för investerare i fråga om tjänsteleverantörer och tillgängliga finansiella instrument växt fram. Vissa problem har emellertid också framkommit. Fördelarna med den ökade konkurrensen har till exempel inte förverkligats i lika mån för samtliga marknadsaktörer och har inte heller i alla lägen gynnat slutinvesterarna i form av icke-professionella investerare eller aktörer i bruttoled. Marknadsutvecklingen och den tekniska utvecklingen har gjort vissa MiFID-bestämmelser föråldrade och den finansiella krisen har avslöjat svagheter i fråga om regleringen av vissa instrument.

    7.

    Syftet med översynen av MiFID-regelverket är att uppdatera de nuvarande reglerna och anpassa dem till förändringarna på marknaden, inklusive finanskrisen och den tekniska utvecklingen samt förbättra deras effektivitet.

    1.3   Syftet med Europeiska datatillsynsmannens yttrande

    8.

    Följande aspekter av förslagen har betydelse för enskilda personers rättigheter i samband med behandlingen av deras personuppgifter: 1. skyldigheten att föra register och rapportera transaktioner, 2. de behöriga myndigheternas befogenheter (inklusive befogenheten att kontrollera och begära in uppgifter om telefon- och datatrafik), 3. offentliggörande av sanktioner, 4. rapportering av överträdelser och framför allt bestämmelserna om uppgiftslämnande (whistle-blowing), 5. samarbetet mellan medlemsstaternas behöriga myndigheter och Esma.

    2.   ANALYS AV FÖRSLAGEN

    2.1   Dataskyddslagstiftningens tillämpbarhet

    9.

    I flera av skälen (5) nämns stadgan om de grundläggande rättigheterna, direktiv 95/46/EG och förordning (EG) nr 45/2001. En hänvisning till den gällande dataskyddslagstiftningen bör emellertid införas i en artikel i förslagen.

    10.

    Ett bra exempel på en sådan materiell bestämmelse finns i artikel 22 i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (6), där det uttryckligen framhålls som en allmän regel att direktiv 95/46/EG och förordning (EG) nr 45/2001 ska gälla vid behandling av personuppgifter inom ramen för förslaget. Europeiska datatillsynsmannen lämnade nyligen ett yttrande där han varmt välkomnade denna övergripande bestämmelse. Europeiska datatillsynsmannen föreslår emellertid att hänvisningen till direktiv 95/46/EG förtydligas genom att det anges att bestämmelserna ska tillämpas i enlighet med de nationella bestämmelser som genomför direktiv 95/46/EG.

    11.

    Europeiska datatillsynsmannen föreslår därför att det införs en liknande materiell bestämmelse som i artikel 22 i kommissionens förslag till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (marknadsmissbruk) (7), i enlighet med de synpunkter han framförde i anslutning till det förslaget (8), dvs. att tillämpbarheten för den befintliga dataskyddslagstiftningen understryks och att hänvisningen till direktiv 95/46/EG förtydligas genom en klausul om att bestämmelserna ska gälla i enlighet med de nationella bestämmelser som genomför direktiv 95/46/EG.

    12.

    Skälen bör även konsekvent utformas så att medlemsstaterna ”ska” och inte enbart ”bör” respektera den relevanta dataskyddslagstiftningen, eftersom den har trätt i kraft och det inte finns någon frihet att tillämpa den efter egen bedömning.

    2.2   Skyldigheten att föra register och rapportera transaktioner

    2.2.1   Skyldigheten enligt förslaget till förordning

    13.

    I skäl 27 och artiklarna 21–23 i förslaget till förordning införs principen att de behöriga myndigheter som samordnas av Esma ska övervaka att värdepappersföretagen handlar hederligt, rättvist och professionellt och på ett sätt som främjar marknadens integritet. För att kunna göra det måste myndigheterna kunna identifiera vem som fattat investeringsbeslutet och vem som ansvarar för verkställandet (skäl 28).

    14.

    För att genomföra denna övervakningsaktivitet ska värdepappersföretagen enligt artikel 22 under minst fem års tid hålla relevanta uppgifter om samtliga sina transaktioner med finansiella instrument tillgängliga för den behöriga myndigheten. Registren ska innefatta samtliga upplysningar och identitetsuppgifter om kunden. Uppgifterna om transaktioner i finansiella instrument ska rapporteras till de behöriga myndigheterna för att de ska kunna upptäcka och undersöka eventuella fall av otillbörlig marknadspåverkan, övervaka att marknaderna fungerar rättvist och korrekt samt kontrollera värdepappersföretagens verksamhet. Även Esma kan begära tillgång till dessa uppgifter.

    15.

    Värdepappersföretaget måste lämna uppgifter om dessa transaktioner, inklusive kundernas identitet, till de behöriga myndigheterna så snart som möjligt (artikel 23). Om de berörda kunderna är fysiska personer kommer dessa operationer att innebära behandling av personuppgifter i enlighet med direktiv 95/46/EG och förordning (EG) nr 45/2001 och eventuellt att det skapas generella databaser.

    16.

    Konsekvensbedömningen verkar inte innehålla synpunkter på lagringsperioden på fem år för transaktionsrapporterna. Enligt artikel 6.1 e i direktiv 95/46/EG får personuppgifter inte lagras under längre tid än vad som är nödvändigt för det syfte för vilket uppgifterna samlades in. För att uppfylla detta krav föreslår Europeiska datatillsynsmannen att den minsta lagringsperioden på fem år ersätts av en längsta lagringsperiod. Den valda perioden bör vara nödvändig och proportionell för det syfte för vilket uppgifterna har samlats in.

    2.2.2   Skyldigheter enligt förslaget till direktiv

    17.

    Artikel 16 i direktivet innehåller de organisatoriska krav som ska gälla för värdepappersföretag. Framför allt måste företagen se till att det förs register över alla tjänster och transaktioner som genomförs, något som skulle göra det möjligt för de relevanta behöriga myndigheterna att övervaka efterlevnaden av kraven som anges i direktivet. Sådana register skulle göra det möjligt att kontrollera att värdepappersföretaget har uppfyllt sina skyldigheter gentemot kunder eller presumtiva kunder. Även om det inte uttryckligen framgår av texten kan man anta att sådana data skulle innehålla personuppgifter om kunder och anställda.

    18.

    Kommissionen ska enligt artikel 16.12 ha befogenhet att anta delegerade akter för att fastställa de konkreta organisatoriska krav som anges i artikeln. I det sammanhanget vill Europeiska datatillsynsmannen uppmana kommissionen att samråda med honom när de delegerade akterna ska antas. Under alla omständigheter bör sådana åtgärder syfta till att minimera lagringstiden för och behandlingen av de personuppgifter som ska registreras av värdepappersföretagen. Som påpekades i anslutning till förordningen bör kommissionen också göra en grundlig utvärdering av vilken lagringsperiod som ska införas för sådana uppgifter för att se till att den är lämplig och proportionell.

    2.3   Skyldighet att registrera telefonsamtal eller elektronisk kommunikation

    19.

    Enligt förslaget till direktiv ska telefonsamtal eller elektronisk kommunikation spelas in respektive bevaras.

    20.

    Dokumentation avseende telefonsamtal eller elektronisk kommunikation innehåller normalt uppgifter om de parter som deltar i kommunikationen, även om den avser finansiella transaktioner eller professionell verksamhet. Uppgifter som avser elektronisk kommunikation kan förmedla ett brett urval av personlig information, inklusive trafikuppgifter men också innehåll. Användningen av termen ”samtal” antyder dessutom att kommunikationens innehåll kommer att spelas in.

    21.

    Vad gäller personuppgifter enligt definitionen i direktiv 95/46/EG och förordning (EG) nr 45/2001 gäller de centrala dataskyddsbestämmelserna och framför allt principerna om begränsning av syftet, åtgärdens nödvändighet och proportionalitet samt skyldigheten att inte spara uppgifterna under längre tid än vad som är nödvändigt.

    Begränsning av syftet

    22.

    Enligt artikel 6.1 b i direktiv 95/46/EG ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål.

    23.

    I artikel 16.7 i förslaget till direktiv anges inte uttryckligen syftet med att spela in telefonsamtal och bevara elektroniska kommunikationer. Flera olika syften anges emellertid i skäl 42, artikel 16.6 i förslaget till direktiv, i råden från CESR och i konsekvensbedömningen.

    24.

    Enligt artikel 16.6 i förslaget till direktiv ska varje värdepappersföretag se till att alla tjänster och transaktioner det genomför ”dokumenteras på ett sådant sätt att informationen är tillräcklig för att den behöriga myndigheten ska kunna övervaka att kraven i detta direktiv iakttas, särskilt för kontrollen av att värdepappersföretaget har uppfyllt alla sina förpliktelser i förhållande till sina kunder eller presumtiva kunder”.

    25.

    I skäl 42 i förslaget till direktiv framhålls att ”[i]nspelning av telefonsamtal eller bevarande av elektronisk kommunikation som berör kundorder […] är motiverat för att stärka investerarskyddet, förbättra marknadsövervakningen och öka rättssäkerheten i värdepappersföretagens och deras kunders intresse”. I skälet hänvisas också till den tekniska rådgivningen från europeiska värdepapperstillsynskommittén (CESR) av den 29 juli 2010 i frågan om betydelsen av sådana registreringar (9).

    26.

    I sina tekniska råd understryker CESR att inspelning av samtal är nödvändigt enligt de behöriga myndigheterna i) för att garantera att det finns bevis som kan avgöra tvister mellan värdepappersföretaget och dess kunder om transaktionernas villkor, ii) för att hjälpa till med övervakningen av reglerna för genomförande av affärstransaktioner, och iii) för att bidra till att avskräcka från och upptäcka otillbörlig marknadspåverkan och underlätta rättsliga åtgärder på området. Inspelningen skulle inte vara det enda sättet att garantera myndigheternas övervakning, men det ”kan hjälpa” en behörig myndighet att kontrollera efterlevnaden av till exempel kraven i MiFID om information till kunder och presumtiva kunder, bästa genomförande och hantering av kundorder.

    27.

    I konsekvensbedömningen framhålls att de behöriga myndigheterna behöver den här informationen (dvs. inspelning av telefonsamtal och bevarande av elektronisk kommunikation) för att garantera marknadens integritet och för att se till att företagen följer uppförandereglerna (10).

    28.

    De olika syften som anges i skäl 42, artikel 16.6 i förslaget till direktiv, CESR:s tekniska rådgivning och konsekvensbedömningen beskrivs inte på ett logiskt och konsekvent sätt utan återfinns på flera olika ställen i förslaget och i olika kringdokument. Enligt artikel 6.1 i direktiv 95/46/EG måste uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Europeiska datatillsynsmannen vill därför uppmana lagstiftaren att tydligt och noggrant definiera syftet med att spela in telefonsamtal och bevara elektronisk kommunikation i artikel 16.7 i förslaget till direktiv.

    Nödvändighet och proportionalitet

    29.

    Enligt artikel 6.1 c i direktiv 95/46/EG måste personuppgifter vara adekvata och relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas. De insamlade uppgifterna måste med andra ord begränsas till vad som är lämpligt för att uppnå det eftersträvade syftet och inte gå utöver vad som krävs för att uppnå det.

    30.

    Artikel 16.7 avser inspelning av telefonsamtal eller bevarande av elektronisk kommunikation som åtminstone omfattar transaktioner som genomförts vid handel för egen räkning och utförande av kundorder när tjänster tillhandahålls i form av mottagande och vidarebefordran av order och utförande av order för kunders räkning.

    31.

    För det första: med undantag för de transaktioner som uttryckligen nämns specificeras inte i artikel 16.7 vilka telefonsamtal och vilken elektronisk kommunikation som inspelningarna eller bevarandet avser. Europeiska datatillsynsmannen uppfattar det som att de gäller kommunikation i samband med tjänster och transaktioner som genomförs av ett värdepappersföretag. Detta bör emellertid anges klart. Dessutom lämnar uttrycket ”som åtminstone omfattar” utrymme för registrering eller bevarande av olika typer av telefonsamtal eller elektronisk kommunikation. I bestämmelsen bör det i stället tydligt anges vilken typ av kommunikation som ska bevaras och begränsas till sådan kommunikation som är nödvändig för att uppnå syftet med bevarandet.

    32.

    För det andra preciseras det inte i bestämmelsen vilka kategorier av data som ska bevaras. Som redan sagts kan uppgifter i samband med elektronisk kommunikation förmedla ett brett urval av olika personuppgifter, till exempel identiteten hos de personer som gör och tar emot kommunikationen, tidsuppgifter, vilket nätverk som använts, användarens geografiska lokalisering när det gäller mobila enheter etc. Detta kan också innebära tillgång till kommunikationens innehåll. Användningen av termen ”samtal” antyder dessutom att kommunikationens innehåll bevaras. I enlighet med proportionalitetsprincipen måste personuppgifter i inspelade telefonsamtal eller bevarad elektronisk kommunikation begränsas till vad som krävs för det syfte för vilket de samlats in.

    33.

    Om till exempel syftet med att bevara kommunikationen är att kunna styrka transaktionerna verkar det inte finnas några alternativ till att bevara kommunikationens innehåll för att kunna få fram bevis för transaktionerna. Att bevara samtal och kommunikationer för att hjälpa till att upptäcka otillbörlig marknadspåverkan eller som ett led i en allmän övervakning av efterlevnaden av kraven i förslaget till direktiv skulle däremot vara överdrivet och oproportionerligt. I artikel 71.2 d i förslaget till direktiv tilldelas den behöriga myndigheten befogenhet att begära in register över telefon- och datakommunikation som innehas av ett värdepappersföretag om det finns rimliga misstankar om överträdelser av förslaget till direktiv. Där undantas uttryckligen kommunikationens innehåll. På samma sätt utesluts uttryckligen kommunikationens innehåll i artikel 17.2 f i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (11) som ger samma undersökningsbefogenheter till de behöriga myndigheterna när det gäller att bevisa insiderhandel eller otillbörlig marknadspåverkan.

    34.

    Europeiska datatillsynsmannen rekommenderar därför varmt att det i artikel 16.7 i förslaget till direktiv anges vilken typ av telefonsamtal och elektronisk kommunikation samt vilka kategorier av uppgifter i samband med samtalen och kommunikationerna som kommer att spelas in respektive bevaras. Sådana uppgifter måste vara adekvata, relevanta och inte överdrivna med tanke på ändamålet.

    Uppgiftslagringsperioden

    35.

    Enligt artikel 6.1 e i direktiv 95/46/EG ska personuppgifter förvaras på ett sätt som inte medger identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in (12). Den lagringsperiod som anges i artikel 16.7 är tre år. Enligt konsekvensbedömningen ska alla åtgärder på området respektera EU:s dataskyddsregler som de framgår av direktiv 95/46/EG. Där framhålls emellertid att den lagringsperiod som fastställs bör respektera den befintliga EU-lagstiftningen om lagring av uppgifter som skapats eller behandlats i samband med tillhandahållandet av offentligt tillgänglig elektronisk kommunikation i syfte att bekämpa allvarliga brott. Denna maximala lagringsperiod på tre år har därför ansetts uppfylla de nödvändiga principerna om nödvändighet och proportionalitet för att medge ett lagenligt åsidosättande av en grundläggande rättighet (13).

    36.

    Europeiska datatillsynsmannen anser inte att analysen av varaktighetens nödvändighet och proportionalitet är adekvat. Inget av de olika (och ganska oklara) skälen till att spela in och bevara telefonsamtal och elektronisk kommunikation som anges i artikel 16.6, i skäl 42, i konsekvensbedömningen eller i CESR:s rådgivning innehåller en hänvisning till bekämpandet av allvarliga brott.

    37.

    Utvärderingen måste göras utifrån syftet med inspelningen eller bevarandet inom ramen för förslaget till direktiv. Om syftet till exempel är att se till att det finns bevis för att lösa tvister mellan ett värdepappersföretag och dess kunder om villkoren för olika transaktioner (14) bör konsekvensbedömningen utvärdera hur länge uppgifter ska sparas i förhållande till begränsningen av de rättigheter på grundval av vilken sådana tvister kan inledas.

    38.

    Europeiska datatillsynsmannen uppmanar därför lagstiftaren att grundligt utvärdera vilken lagringsperiod som är nödvändig i ljuset av syftet med inspelningen av telefonsamtalen och bevarandet av den elektroniska kommunikationen inom ramen för förslagets specifika syfte.

    2.4   De behöriga myndigheternas befogenheter

    39.

    I artikel 71 i direktivet anges de behöriga myndigheternas tillsyns- och utredningsbefogenheter.

    40.

    I artikel 71.4 hänvisas till direktiv 95/46/EG. Där sägs att behandlingen av personuppgifter som insamlats under utövandet av tillsyns- och utredningsbefogenheterna ska ske med respekt för den grundläggande rätten till personlig integritet och uppgiftsskydd. Europeiska datatillsynsmannen välkomnar denna bestämmelse som uttryckligen tar upp sambandet mellan myndigheternas roll som utredare och den behandling av personuppgifter som ingår i deras aktiviteter.

    2.4.1   Befogenheten att utföra kontroller på plats

    41.

    Enligt artikel 71.2 c ska de behöriga myndigheterna ha befogenhet att utföra kontroller på plats. I motsats till förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (15) innehåller den aktuella bestämmelsen ingen hänvisning till de behöriga myndigheternas rätt ”att gå in i privatbostäder för att lägga beslag på dokument”. Detta kan innebära att kontrollbefogenheten är begränsad till värdepappersföretagens lokaler och inte omfattar privatbostäder. För tydlighetens skull föreslår vi därför att denna begränsning uttryckligen förtydligas i texten. Om kommissionen i stället skulle ha för avsikt att medge kontroll av privatbostäder vill Europeiska datatillsynsmannen hänvisa till sin kommentar i yttrandet över ovan nämnda förslag (16), nämligen att det skulle vara motiverat med ett allmänt krav på rättsligt förhandstillstånd, oavsett om ett sådant krävs i den nationella lagstiftningen eller ej, eftersom de befogenheter det gäller kan medföra ett betydande intrång i privatlivet.

    2.4.2   Befogenheten att begära befintliga uppgifter om telefon- och datatrafik

    42.

    Artikel 71.2 d i förslaget till direktiv ger de behöriga myndigheterna rätt att ”begära befintliga uppgifter om tele- och datatrafik vilka innehas av värdepappersföretag”. I artikeln klargörs att en sådan begäran kräver förekomsten av en ”rimlig misstanke” om att sådana register ”kan vara relevanta för att bevisa att värdepappersföretaget inte har fullgjort sina skyldigheter” enligt direktivet. Under alla omständigheter ska de uppgifterna inte röra ”innehållet i det meddelande de berör”. Europeiska datatillsynsmannen inser att texten begränsar de behöriga myndigheternas befogenheter genom att kräva en rimlig misstanke om överträdelse som ett villkor för tillgången till registren och genom att utesluta de behöriga myndigheternas tillgång till kommunikationens innehåll.

    43.

    Det finns emellertid ingen definition av begreppen ”uppgifter om telefon- och datatrafik” i förslaget till direktiv. I direktiv 2002/58/EG (om integritet och elektronisk kommunikation) hänvisas enbart till ”trafikuppgifter”, men inte till ”uppgifter över telefon- och datatrafik”. Självklart kommer den exakta innebörden av dessa begrepp att bestämma vilken effekt utredningsbefogenheterna kan få för de berörda personernas integritet och dataskydd. Europeiska datatillsynsmannen föreslår att man använder den terminologi som redan finns i definitionen av ”trafikuppgifter” i direktiv 2002/58/EG.

    44.

    Uppgifter i samband med användningen av elektroniska kommunikationsmetoder kan förmedla en mängd personlig information, till exempel identiteten för de personer som gör och tar emot samtalet, samtalets tidpunkt och varaktighet, vilket nät som används, användarens geografiska placering om det handlar om mobila enheter etc. Vissa trafikdata som avser internet- och e-postanvändning (till exempel förteckningen över besökta webbplatser) kan dessutom avslöja viktiga uppgifter om innehållet i kommunikationen. Behandling av trafikuppgifter strider dessutom mot brevsekretessen. I samband med detta har principen att trafikuppgifter måste raderas eller göras anonyma när de inte längre behövs för att skicka ett meddelande fastställts i direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation) (17). Enligt artikel 15.1 i det direktivet får medlemsstaterna införa undantag i den nationella lagstiftningen för vissa specifika legitima syften när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att uppnå sådana syften (18).

    45.

    Europeiska datatillsynsmannen inser att de syften som kommissionen vill uppnå med förslaget till förordning är legitima. Han inser behovet av initiativ som stärker övervakningen av finansmarknaderna för att de ska förbli sunda och för att bättre skydda investerare och ekonomin i stort. Undersökningsbefogenheter som direkt avser trafikdata måste uppfylla kraven på nödvändighet och proportionalitet, dvs. de måste vara begränsade till vad som är lämpligt för att uppnå målet eftersom de befogenheterna innebär ett kraftigt intrång i privatlivet (19). Det är därför viktigt mot den bakgrunden att bestämmelserna utformas tydligt vad gäller deras personliga och materiella omfattning samt de omständigheter och villkor enligt vilka de kan användas. Dessutom måste tillräckliga säkerhetsåtgärder införas mot risken för missbruk.

    46.

    De berörda registren över tele- och datatrafik kommer med nödvändighet att omfatta personuppgifter i den mening som anges i direktiv 95/46/EG, direktiv 2002/58/EG och förordning (EG) nr 45/2001. Det är därför viktigt att villkoren för en rättvis och lagenlig behandling av personuppgifter, på det vis som anges i direktiven och i förordningen, respekteras fullt ut.

    47.

    Europeiska datatillsynsmannen konstaterar att artikel 71.3 innehåller ett krav på rättsligt förhandsgodkännande om ett sådant tillstånd krävs i den nationella lagstiftningen. Europeiska datatillsynsmannen anser emellertid att ett generellt krav på rättsligt förhandsgodkännande i samtliga fall – oavsett om det krävs i den nationella lagstiftningen eller ej – skulle vara motiverat eftersom den aktuella befogenheten kan innebära ett kraftigt intrång och för att lagen ska tillämpas enhetligt i alla EU:s medlemsstater. Man bör också beakta att vissa lagar i medlemsstaterna omfattar särskilda garantier för hemmets okränkbarhet vid oproportionella och inte omsorgsfullt reglerade inspektioner, utredningar eller beslagtaganden, framför allt när de utförs av administrativa institutioner.

    48.

    Europeiska datatillsynsmannen rekommenderar dessutom att det införs ett krav på att Esma ska begära in uppgifter om tele- och datatrafik genom formella beslut som anger den rättsliga grunden och syftet med begäran och vilken information som krävs, den tidsfrist inom vilken informationen ska lämnas samt den berörda personens rätt att få beslutet prövat av EU:s domstol.

    49.

    Uttrycket ”befintliga uppgifter om tele- och datatrafik” verkar inte vara tillräckligt tydligt. Vad som menas med uppgifter om tele- och datatrafik definieras inte, trots att det enligt artikel 71.2.2 i MiFID-förslaget enbart handlar om sådana uppgifter som ”innehas av värdepappersföretag”. Uppgifter som innehas av värdepappersföretag är förmodligen sådana uppgifter som anges i artiklarna 16.6 och 16.7 och som kommenterats ovan. Det bör innebära att texten undantar register som innehas av leverantörer av elektroniska kommunikationstjänster som har ett leverantörsavtal med det berörda värdepappersföretaget. För klarhets vinnande rekommenderar Europeiska datatillsynsmannen ett förtydligande av vad som avses med uppgifter om tele- och datatrafik som innehas av ett värdepappersföretag.

    2.5   Offentliggörande av sanktioner och andra åtgärder

    2.5.1   Obligatoriskt offentliggörande av sanktioner

    50.

    Enligt artikel 74 i förslaget till direktiv ska medlemsstaterna föreskriva att de behöriga myndigheterna utan otillbörligt dröjsmål offentliggör alla sanktioner eller åtgärder som har ålagts till följd av överträdelser av bestämmelserna i förslaget till förordning eller av de nationella bestämmelser som har antagits för att genomföra förslaget till direktiv, inklusive information om överträdelsens typ och karaktär och uppgifter om vilka personer som är ansvariga för överträdelsen, om inte ett sådant offentliggörande allvarligt skulle äventyra finansmarknaderna. Denna skyldighet minskas enbart om offentliggörandet skulle orsaka de berörda parterna ”oproportionell skada”. I så fall ska de behöriga myndigheterna offentliggöra sanktionerna anonymt.

    51.

    Offentliggörande av sanktioner skulle bidra till att öka den avskräckande effekten, eftersom presumtiva gärningsmän skulle avstå från att begå brott för att undvika betydande skador på det egna ryktet. Det skulle också öka öppenheten, eftersom marknadsoperatörer skulle bli medvetna om att en överträdelse hade begåtts av en viss person (20). Denna skyldighet upphävs enbart om offentliggörandet skulle orsaka de berörda parterna oproportionerlig skada. I sådana fall ska de behöriga myndigheterna offentliggöra sanktionerna anonymt. Det erkänns visserligen att införandet av sanktioner (oavsett om det sker genom en minimiharmonisering eller fullständig harmonisering) skulle påverka de grundläggande rättigheterna, såsom artiklarna 7 (respekt för privatlivet och familjelivet) och 8 (skydd av personuppgifter) och dessutom eventuellt artiklarna 47 (rätt till ett effektivt rättsmedel och till en opartisk domstol) och 48 (presumtion för oskuld och rätten till försvar) i EU:s stadga (21). Samtidigt verkar det emellertid inte som om de presumtiva effekterna av offentliggörandet av själva sanktionerna på de rättigheterna undersöks i konsekvensbedömningen.

    52.

    Enligt artikel 75.2 a har de behöriga myndigheterna, förutom sina övriga sanktionerande befogenheter, befogenheten att offentligt meddela namnet på den ansvariga personen och överträdelsens karaktär (22). Det är inte klart hur skyldigheten att offentliggöra sanktioner eller åtgärder enligt artikel 74 kan förenas med befogenheten att utfärda ett offentligt utlåtande enligt artikel 75.2 a. Införandet av befogenheten att utfärda ett offentligt utlåtande i artikel 75.2 a visar att offentliggörandet i sig utgör en sanktion, vilken bör bedömas från fall till fall i ljuset av de proportionalitetskriterier som anges i artikel 76 (23).

    53.

    Europeiska datatillsynsmannen är inte övertygad om att det obligatoriska offentliggörandet av sanktioner, som det för närvarande är formulerat, uppfyller kraven i dataskyddslagstiftningen enligt domstolens förklaring i domen i Schecke-målet (24). Han anser att åtgärdens syfte, nödvändighet och proportionalitet inte har visats tillräckligt tydligt och att det under alla omständigheter borde ha införts tillräckliga skyddsmekanismer för den enskildes rättigheter.

    2.5.2   Offentliggörandets nödvändighet och proportionalitet

    54.

    I Schecke-domen upphävde domstolen bestämmelserna i en av rådets förordningar och en av kommissionens förordningar med krav på obligatoriskt offentliggörande av information rörande jordbruksfondernas stödmottagare, inklusive mottagarnas identitet och de mottagna beloppen. Domstolen ansåg att ett sådant offentliggörande utgjorde behandling av personuppgifter och omfattades av artikel 8.2 i Europeiska stadgan om de grundläggande rättigheterna (”stadgan”) och att det därför stred mot de rättigheter som anges i artiklarna 7 och 8 i stadgan.

    55.

    Efter att ha framhållit att ”undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt” analyserade domstolen syftet med offentliggörandet och dess proportionalitet. Domstolen drog slutsatsen att det i det aktuella fallet inte fanns något som visade att rådet och kommissionen undersökt om det fanns metoder för offentliggörande av informationen som var förenliga med det mål som eftersträvades med offentliggörandet, samtidigt som de innebar ett mindre långtgående ingrepp i stödmottagarnas rätt till respekt för privatlivet när den berörda lagstiftningen antogs.

    56.

    Artikel 74 i förslaget till direktiv verkar lida av samma brister som de som framhålls av domstolen i Schecke-domen. Man bör beakta att när överensstämmelsen med dataskyddskraven bedöms för en bestämmelse som kräver offentliggörande av personuppgifter är det av avgörande betydelse att det finns ett tydligt och väldefinierat syfte med det tänkta offentliggörandet. Det är enbart med ett tydligt och väl definierat syfte som det går att avgöra om offentliggörandet av de aktuella personuppgifterna faktiskt är nödvändigt och proportionellt (25).

    57.

    Efter att ha läst förslaget och de åtföljande dokumenten (dvs. konsekvensbedömningen) har Europeiska datatillsynsmannen intrycket att syftet med, och följaktligen nödvändigheten för, denna åtgärd inte har klart angetts. Inget sägs om dessa frågor i skälen och i konsekvensbedömningen framhålls enbart att det är viktigt att offentliggöra sanktioner för att se till att de får en avskräckande effekt på de berörda personerna och för att de ska få en avskräckande effekt på allmänheten (26). Ett sådant svepande påstående verkar inte vara tillräckligt för att visa att den föreslagna åtgärden är nödvändig. Om det allmänna syftet är att stärka den avskräckande effekten verkar det som om kommissionen framför allt borde ha förklarat varför hårdare finansiella sanktioner (eller andra sanktioner som inte innebär att någon namnges och hängs ut) inte skulle ha varit tillräckliga.

    58.

    Dessutom verkar det som om konsekvensbedömningen inte i tillräckligt hög grad beaktar mindre inträngande metoder, såsom offentliggörande som begränsas till kreditinstitut eller som beslutas från fall till fall. Framför allt verkar det senare alternativet vid ett första påseende vara en mer proportionerlig lösning, framför allt om man beaktar att – enligt vad som anges i artikel 75.2 a – offentliggörandet är en sanktion som ska bedömas från fall till fall med beaktande av relevanta omständigheter, såsom överträdelsens allvarlighet, graden av personligt ansvar, återfall, förluster för tredje part etc. (27).

    59.

    Enligt Europeiska datatillsynsmannens åsikt gör möjligheten att utvärdera fallet i ljuset av de specifika omständigheterna denna lösning mer proportionell och den är därför att föredra jämfört med obligatoriskt offentliggörande i samtliga fall. Detta skulle till exempel göra det möjligt för den behöriga myndigheten att undvika offentliggörande i samband med mindre allvarliga överträdelser, där överträdelsen inte åstadkommit några betydande skador eller där den berörda parten har visat prov på samarbetsvilja etc.

    60.

    Enligt artikel 35.6 i förslaget till förordning ska Esma på sin webbplats offentliggöra varje beslut om att införa eller förlänga en åtgärd som begränsar en persons möjligheter att ingå ett råvaruderivatavtal. Identiteten för personer vilkas förhandlingsmöjligheter har begränsats av Esma ska med andra ord offentliggöras, tillsammans med de tillgängliga finansiella instrumenten, relevanta kvantitativa åtgärder såsom det maximala antalet avtal som personen eller en viss klass av personer kan ingå, och skälen för detta. Åtgärden ska börja gälla när tillkännagivandet offentliggörs (artikel 35.7). Mot bakgrund av de skäl som framförts i anslutning till direktivets bestämmelser vill Europeiska datatillsynsmannen uppmuntra lagstiftaren att överväga om ett offentliggörande är nödvändigt och om det finns mindre restriktiva åtgärder i fall där fysiska personer berörs.

    2.5.3   Behovet av lämpliga skyddsmekanismer

    61.

    Förslaget till direktiv borde ha omfattat adekvata skyddsmekanismer för att säkra en rimlig balans mellan de olika intressen som berörs. För det första är det nödvändigt att skydda de anklagade personernas rätt att få beslutet prövat i domstol och presumtionen för oskuld. En särskild skrivning om detta skulle ha inkluderats i texten till artikel 74, så att de behöriga myndigheterna tvingas vidta lämpliga åtgärder såväl i situationer där beslutet är föremål för överklagande som i de fall där det eventuellt upphävs av en domstol (28).

    62.

    För det andra bör förslaget till direktiv garantera att de registrerade personernas rättigheter respekteras på ett proaktivt sätt. Europeiska datatillsynsmannen uppskattar att den slutliga versionen av förslaget omfattar en möjlighet att avstå från offentliggörandet om det skulle orsaka oproportionerliga skador. En proaktiv strategi borde emellertid innebära att de registrerade personerna informeras i förhand om att beslutet om sanktioner kommer att offentligöras och att de har rätt att göra invändningar enligt artikel 14 i direktiv 95/46/EG om det föreligger övertygande legitima skäl (29).

    63.

    För det tredje: i förslaget till direktiv anges inte i vilket medium informationen ska offentliggöras, men det är rimligt att anta att offentliggörandet i de flesta medlemsstater kommer att ske på internet. Offentliggörande på internet medför särskilda problem och risker, i första hand när det gäller behovet av att se till att informationen inte ligger kvar online längre tid än vad som är nödvändigt och att uppgifterna inte kan manipuleras eller ändras. Användningen av externa sökmotorer medför också en risk för att informationen lyfts ur sitt sammanhang och förmedlas genom och utanför internet på sätt som inte enkelt kan kontrolleras (30).

    64.

    Mot bakgrund av ovanstående är det nödvändigt att medlemsstaterna blir skyldiga att se till att de berörda personernas personuppgifter behålls online enbart under en rimlig tidsperiod, varefter de systematiskt raderas (31). Medlemsstaterna bör dessutom bli skyldiga att se till att tillräckliga säkerhetsåtgärder och skyddsmekanismer inrättas, framför allt för att skydda från riskerna i samband med användningen av externa sökmotorer (32).

    2.5.4   Slutsatser om offentliggörande

    65.

    Europeiska datatillsynsmannen anser att bestämmelsen om obligatoriskt offentliggörande av sanktioner inte uppfyller den grundläggande rätten till personlig integritet och dataskydd som den för närvarande är utformad. Lagstiftaren bör noga utvärdera det föreslagna systemets nödvändighet och kontrollera om skyldigheten att offentliggöra går utöver vad som är nödvändigt för att förverkliga det allmänintresse som eftersträvas och om det finns mindre restriktiva åtgärder för att uppnå samma mål. I enlighet med resultatet av ett sådant proportionalitetstest bör skyldigheten att offentliggöra under alla omständigheter stödjas av lämpliga skyddsmekanismer för att garantera respekten för oskuldspresumtionen, de berörda personernas rätt att göra invändningar, uppgifternas säkerhet och korrekthet och att uppgifterna verkligen raderas efter en lämplig tidsperiod.

    2.6   Rapportering av överträdelser

    66.

    Artikel 77 i förslaget till direktiv avser mekanismer för att rapportera missförhållanden (whistle-blowing). Sådana system kan vara effektiva för att säkra efterlevnaden men de väcker viktiga frågor i samband med dataskydd (33). Europeiska datatillsynsmannen välkomnar att förslaget till direktiv innehåller särskilda skyddsmekanismer för att skydda personer som rapporterar den misstänkta överträdelsen och mer allmänt för att skydda personuppgifter. De skyddsmekanismerna ska sedan utvecklas vidare på nationell nivå. I konsekvensbedömningen nämns uppgiftslämnande i samband med alternativen för att införa sanktioner i utvärderingen av de grundläggande rättigheterna (34) och uppmärksamheten riktas på behovet av att genomförandelagstiftningen ska följa de principer och kriterier för dataskydd som angetts av dataskyddsmyndigheterna. Europeiska datatillsynsmannen är medveten om att det föreslagna direktivet enbart beskriver huvuddragen i det system som ska tillämpas av medlemsstaterna. Trots detta vill han gärna rikta uppmärksamheten på följande punkter.

    67.

    Europeiska datatillsynsmannen understryker, liksom i andra yttranden (35), behovet av att det införs en särskild hänvisning till behovet av att respektera uppgiftslämnarnas och informatörernas anonymitet. Europeiska datatillsynsmannen understryker att uppgiftslämnarnas position är känslig. De personer som lämnar sådan information bör få garantier för att deras identitet hemlighålls, framför allt gentemot den person som utpekas som skyldig till det påstådda, rapporterade missförhållandet (36). Sekretessen för uppgiftslämnarnas identitet bör garanteras i alla faser av förfarandet, så länge som detta inte strider mot nationella regler för rättsliga förfaranden. Framför allt kan det bli nödvändigt att röja uppgiftslämnarens identitet i samband med ytterligare undersökningar eller efterföljande rättsliga förfaranden som inleds som en följd av undersökningen (bland annat om det har fastställts att uppgiftslämnaren gjorde falska uttalanden om en viss person i uppsåt att skada) (37). Mot bakgrund av ovanstående rekommenderar Europeiska datatillsynsmannen att följande läggs till i artikel 77.1 b: ”Dessa personers identitet bör skyddas i alla faser av förfarandet, om det inte krävs att den offentliggörs enligt nationell lag i samband med vidare undersökning eller en efterföljande rättslig process.”

    68.

    Europeiska datatillsynsmannen understryker dessutom vikten av att tillhandahålla lämpliga regler för att skydda de anklagade personernas rätt att få tillgång till handlingar, något som är nära knutet till rätten till försvar (38). De särskilda förfarandena för mottagande av rapporter och uppföljning av dem som anges i artikel 77.1 a bör garantera att de anklagade personernas rätt till försvar respekteras och enbart begränsas i den utsträckning som är absolut nödvändig (39). Det gäller till exempel rätten att bli informerade, rätten att få tillgång till utredningshandlingar och presumtionen för oskuld. Europeiska datatillsynsmannen föreslår i det sammanhanget att även den bestämmelse i artikel 29 d i Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan som kräver att medlemsstaterna ska införa ”lämpliga förfaranden för att garantera den anklagade personens rätt till försvar och rätt att bli hörd innan ett beslut fattas om den personen och rätten att begära lämplig prövning i domstol av beslut eller åtgärd som rör personen i fråga” läggs till i förslaget till direktiv.

    69.

    När det slutligen gäller artikel 77.1 c gläder sig Europeiska datatillsynsmannen åt att den innehåller kravet att medlemsstaterna ska garantera skyddet av personuppgifter både för den person som anklagas för att ha gjort sig skyldig till en överträdelse och den person som rapporterar överträdelser i enlighet med de principer som fastställs i direktiv 95/46/EG. Han föreslår emellertid att frasen ”i enlighet med de principer som fastställs i” tas bort för att göra hänvisningen till direktivet mer heltäckande och bindande. När det gäller behovet av att respektera dataskyddslagstiftningen när systemen ska tillämpas i praktiken vill Europeiska datatillsynsmannen understryka de rekommendationer som artikel 29-arbetsgruppen lämnade i yttrandet om uppgiftslämnare från 2006. När de nationella systemen tillämpas ska de berörda organen bland annat beakta behovet av att respektera proportionaliteten genom att i så stor utsträckning som möjligt begränsa de kategorier av personer som har rätt att rapportera, kategorierna av personer som kan pekas ut och de överträdelser för vilka de kan anklagas; behovet av att främja identifierade och sekretessbelagda rapporter framför anonyma rapporter; behovet av att ombesörja att man röjer identiteten för de uppgiftslämnare som lämnar uppgifter i uppsåt att skada samt behovet av att iaktta strikta datalagringsperioder.

    2.7   Samarbete mellan medlemsstaternas behöriga myndigheter och Esma

    2.7.1   Samarbete enligt förslaget till direktiv

    70.

    I artikel 83 införs en skyldighet för medlemsstaternas behöriga myndigheter att samarbeta inbördes och med Esma. I artikel 83.5 införs en skyldighet för de behöriga myndigheterna att meddela Esma och andra behöriga myndigheter detaljerade uppgifter om a) varje begäran om att reducera storleken på en position eller en exponering i enlighet med artikel 72.1 f och b) eventuella begränsningar av personers möjligheter att investera i ett instrument i enlighet med artikel 72.1 g. Meddelandet ska innehålla identitetsuppgifter om den eller de personer till vilka begäran riktades samt omfattningen av de gränser som införts, typen av finansiellt instrument och övrig information.

    71.

    Det framhålls dessutom att den behöriga myndigheten i en medlemsstat som mottar ovan nämnda meddelanden ”får vidta åtgärder enligt artikel 72.1 f eller g om den anser att åtgärden är nödvändig för att uppnå den andra behöriga myndighetens mål”. Europeiska datatillsynsmannen vill understryka att denna typ av beslut som ska fattas av de behöriga myndigheterna kan anses uppfylla kriterierna för ett ”databehandlat beslut” enligt beskrivningen i artikel 15 i direktiv 95/46/EG: denna tolkning grundas på det faktum att artikel 72 kräver att den mottagande behöriga myndigheten ska kontrollera om den aktuella åtgärden kan uppnå den andra behöriga myndighetens mål. Den behöriga myndigheten i en medlemsstat som mottar meddelandet behöver därför inte göra en oberoende analys av omständigheterna i ärendet – bland annat utifrån den registrerade personens personuppgifter – för att vidta en åtgärd som begränsar den personens rättigheter. Enligt artikel 15 i direktiv 95/46/EG ska alla personer ha rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. För den fråga som behandlas här är artikel 15.2 i direktiv 95/46/EG relevant: där sägs att en person kan bli föremål för ett sådant beslut som anges ovan om beslutet ”tillåts i lagstiftning” och det finns bestämmelser till skydd för den registrerades berättigade intressen. De nationella lagar som genomför direktivet skulle utgöra rättslig grund för undantaget i artikel 15.2 i direktiv 95/46/EG men inga särskilda bestämmelser införs till skydd för den registrerade personens legitima intressen.

    72.

    Texten i förslaget till direktiv verkar därför införa möjligheten för en myndighet i en annan medlemsstat än den där sanktionen ursprungligen infördes att fatta ett databehandlat beslut som påverkar möjligheten att ingå avtal. Med tanke på de effekter som ett sådant beslut kan få för rättigheterna för en person som ägnar sig åt investeringsverksamhet vill Europeiska datatillsynsmannen understryka att texten bör omfatta en hänvisning till rätten att göra invändningar mot databehandlade beslut enligt artikel 15 i direktiv 95/46/EG. Uttryckliga skyddsmekanismer bör införas för att garantera att den registrerade personen blir medveten om överföringen och förekomsten av ett förfarande som inletts av den mottagande behöriga myndigheten för att fatta ett sådant beslut, så att den registrerade personen kan utöva sin rätt att göra invändningar i praktiken.

    2.7.2   Samarbete enligt förslaget till förordning

    73.

    Enligt artikel 34.2 i förordningen ska Esma efter att ha underrättats om en åtgärd enligt artikel 83.5 i direktivet registrera åtgärden och skälen till åtgärden. Vad avser åtgärder enligt artikel 72.1 f och g i direktivet ska Esma på sin webbplats upprätthålla och offentliggöra en databas med sammanfattningar av de åtgärder som är i kraft ”inbegripet uppgifter om den person eller kategori av personer som berörs”.

    74.

    Ett sådant offentliggörande utgör ytterligare en behandlingsaktivitet som omfattar personuppgifter. Samma synpunkter som de som togs upp i samband med offentliggörandet av sanktioner i punkt 2.5 ovan gäller i detta sammanhang. Konsekvensbedömningen verkar inte innehålla någon utvärdering av effekten på de grundläggande rättigheterna av denna typ av offentliggörande på internet. Europeiska datatillsynsmannen vill därför uppmuntra lagstiftaren att överväga om åtgärden verkligen är nödvändig och proportionell.

    2.8   Informationsutbyte med tredjeländer

    75.

    Europeiska datatillsynsmannen konstaterar att det görs en hänvisning till direktiv 95/46/EG, särskilt kapitel 4, och förordning (EG) nr 45/2001 i artikel 92 i förslaget till direktiv.

    76.

    Med tanke på riskerna i samband med sådant utbyte av uppgifter rekommenderar emellertid Europeiska datatillsynsmannen att man lägger till ytterligare skyddsåtgärder, såsom en utvärdering från fall till fall, att man försäkrar sig om att överföringen är nödvändig, kravet på förhandsgodkännande av den behöriga myndigheten vid ytterligare överföring av uppgifter till och från tredjeland och att det finns ett fullgott skydd för personuppgifter i det tredjeland som mottar personuppgifterna.

    77.

    Ett bra exempel på en bestämmelse som innehåller sådana lämpliga skyddsåtgärder återfinns i artikel 23 i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (40).

    3.   SLUTSATSER

    78.

    Europeiska datatillsynsmannen lämnar följande rekommendationer:

    Följande materiella bestämmelse bör införas i förslagen: ”När det gäller behandlingen av personuppgifter som utförs av medlemsstaterna inom ramen för denna förordning ska de behöriga myndigheterna tillämpa bestämmelserna i de nationella genomförandebestämmelserna till direktiv 95/46/EG. I fråga om Esmas behandling av personuppgifter inom ramen för denna förordning, ska Esma följa bestämmelserna i förordning (EG) nr 45/2001.”

    Kravet på en minsta lagringsperiod på fem år i artikel 22 bör ersättas av krav på en längsta lagringsperiod.

    I artikel 16.7 i förslaget till direktiv bör följande anges: i) syftet med inspelningen av telefonsamtal och bevarandet av elektroniska kommunikationer och ii) vilken typ av telefonsamtal och elektronisk kommunikation som avses samt de typer av uppgifter i samband med samtalen och kommunikationen som kommer att spelas in eller bevaras.

    I artikel 71.2 c i förslaget till direktiv bör det klargöras att kontrollbefogenheterna är begränsade till värdepappersföretags lokaler och inte omfattar privatbostäder.

    I artikel 71.2 d bör rättsligt förhandsgodkännande införas som ett generellt krav för befogenheten att begära in uppgifter om tele- och datatrafik förutom ett formellt beslut vari anges i) den rättsliga grunden, ii) syftet med begäran, iii) vilken information som krävs, iv) den tidsgräns inom vilken informationen ska tillhandahållas och v) den berörda personens rätt att få beslutet prövat i EU-domstolen.

    Det bör förtydligas vilka uppgifter om tele- och trafikdata som avses i artikel 71.2 d.

    Mot bakgrund av de tvivel som redovisas i detta yttrande bör nödvändigheten och proportionaliteten för det föreslagna systemet för obligatoriskt offentliggörande av sanktioner utvärderas. I enlighet med resultatet av denna kontroll av nödvändighet och proportionalitet bör under alla omständigheter lämpliga skyddsmekanismer införas för att garantera respekten för oskuldspresumtionen, de berörda personernas rätt att göra invändningar, uppgifternas säkerhet och korrekthet och att de verkligen raderas efter en lämplig tidsperiod.

    I artikel 77.1 bör i) följande läggas till i punkt b: ”Identiteten för dessa personer ska skyddas i alla faser av förfarandet om inte röjandet av deras identitet krävs enligt nationell lag i samband med fortsatta undersökningar eller rättsliga förfaranden”, ii) en punkt d läggas till där det krävs att medlemsstaterna ska införa ”lämpliga förfaranden för att garantera den anklagade personens rätt till försvar och rätt att bli hörd innan ett beslut fattas om den personen och rätten att begära lämplig prövning i domstol av beslut eller åtgärd som rör personen i fråga”, iii) frasen ”i enlighet med de principer som fastställs i” i punkt c i bestämmelsen strykas.

    Utfärdat i Bryssel den 10 februari 2012.

    Giovanni BUTTARELLI

    Biträdande Europeisk datatillsynsman


    (1)  EGT L 281, 23.11.1995, s. 31.

    (2)  EGT L 8, 12.1.2001, s. 1.

    (3)  Europeiska datatillsynsmannens yttranden av den 10 februari 2012 om lagstiftningspaketet om revidering av banklagstiftningen, kreditratinginstituten, marknaderna för finansiella instrument (MIFID/MIFIR) och otillbörlig marknadspåverkan.

    (4)  EUT L 145, 30.4.2004, s. 1.

    (5)  Se skälen 20, 30 och 45 i förslaget till förordning och skälen 41, 43, 69 och 103 i förslaget till direktiv.

    (6)  KOM(2011) 651.

    (7)  Kommissionens förslag till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (marknadsmissbruk), KOM(2011) 651.

    (8)  Se Europeiska datatillsynsmannens yttrande av den 10 februari 2012 om förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan (marknadsmissbruk), KOM(2011) 651.

    (9)  CESR:s tekniska råd till kommissionen i samband med MiFID-översynen – investerarskydd och mellanhänder, 29 juli 2010, CESR/10-417, s. 7, http://www.esma.europa.eu/system/files/10_417.pdf

    (10)  Konsekvensbedömningen, sidan 150.

    (11)  KOM(2011) 651 slutlig.

    (12)  Artikel 6.1 e i direktiv 95/46/EG.

    (13)  Konsekvensbedömningen, sidan 150.

    (14)  Se den CESR-undersökning som anges i 26 ovan.

    (15)  KOM(2011) 651.

    (16)  Se Europeiska datatillsynsmannens yttrande av den 10 februari 2012 om Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan.

    (17)  Se artikel 6.1 i direktiv 2002/58/EG (EGT L 201, 31.7.2002. s. 37).

    (18)  Enligt artikel 15.1 i direktiv 2002/58/EG får medlemsstaterna vidta sådana åtgärder ”när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt (…)”.

    (19)  Se t.ex. de förenade målen C-92/09 och C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09) v. Land Hessen, ännu inte offentliggjorda i REU, punkt 74.

    (20)  Se konsekvensbedömningen, s. 42 ff.

    (21)  Se också sidan 43 – utvärdering av effekterna på de grundläggande rättigheterna av alternativet ”minimal harmonisering”: ”Alternativet strider mot artiklarna 7 (respekt för privatlivet och familjelivet) och 8 (skydd av personuppgifter) och dessutom eventuellt artiklarna 47 (rätt till ett effektivt rättsmedel och till en opartisk domstol) och 48 (presumtion för oskuld och rätten till försvar) i EU:s stadga. Enligt förslaget begränsas de rättigheterna i lagen, samtidigt som det centrala i de rättigheterna respekteras. Att begränsa dessa rättigheter är nödvändigt för att uppfylla allmänintresset att objektivt garantera efterlevnaden av MiFID-reglerna för att säkra en rättvis och korrekt handel och skydd av investerarna. För att vara lagenliga måste de administrativa åtgärder och sanktioner som införs vara proportionella mot överträdelsen, respektera rätten att inte ställas inför rätta eller bestraffas två gånger för samma brott, presumtionen för oskuld, rätten till försvar och rätten till ett effektivt rättsmedel och till en opartisk domstol under alla omständigheter […].”

    (22)  Se Europeiska datatillsynsmannens yttrande av den 10 februari 2012 om kommissionens förslag till direktiv om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, och kommissionens förslag till förordning om tillsynskrav för kreditinstitut och värdepappersföretag.

    (23)  ”Medlemsstaterna ska säkerställa att de behöriga myndigheterna, när de fastställer typen av administrativa sanktioner eller åtgärder och nivån på administrativa ekonomiska påföljder, beaktar alla relevanta omständigheter, i vilket ingår följande: a) överträdelsens allvarlighetsgrad och varaktighet, b) den ansvariga fysiska eller juridiska personens grad av ansvar, c) den fysiska eller juridiska personens finansiella styrka, som den indikeras genom den ansvariga juridiska personens totala omsättning eller den ansvariga fysiska personens årsinkomst, d) omfattningen av erhållna fördelar eller undvikande av förluster för den ansvariga fysiska eller juridiska personen, i den mån de kan bestämmas, e) förluster för tredjeparter orsakade av överträdelsen, i den mån de kan fastställas, f) graden av samarbete mellan den ansvariga fysiska eller juridiska personen och den behöriga myndigheten, g) tidigare överträdelser som den ansvariga fysiska eller juridiska personen har gjort sig skyldig till […].”

    (24)  De förenade målen C-92/09 och C-93/09, Schecke, punkterna 56–64.

    (25)  Se också Europeiska datatillsynsmannens yttrande av den 15 april 2011 om finansiella bestämmelser för unionens årliga budget (EUT C 215, 21.7.2011, s. 13).

    (26)  Se fotnot 11 ovan.

    (27)  Dvs. i enlighet med artikel 74 i förslaget till direktiv, där kriterierna för att fastställa sanktioner anges.

    (28)  Följande åtgärder skulle till exempel kunna övervägas av de nationella myndigheterna: att fördröja offentliggörandet till dess överklagandet avvisas eller, som föreslås i konsekvensbedömningen, att tydligt ange att beslutet fortfarande är föremål för överklagande och att personen i fråga ska betraktas som oskyldig till dess beslutet blir slutgiltigt och att offentliggöra en rättelse i de fall där beslutet upphävs i domstol.

    (29)  Se Europeiska datatillsynsmannens yttrande av den 10 april 2007 om finansieringen av den gemensamma jordbrukspolitiken (EUT C 134, 16.6.2007, s. 1).

    (30)  Se i detta sammanhang dokumentet som offentliggjorts av den italienska dataskyddsmyndigheten ”Personuppgifter som även ingår i register och dokument hos offentliga förvaltningsorgan: riktlinjer för behandling av offentliga organ i samband med internetbaserad kommunikation och spridning”, tillgänglig på den italienska dataskyddsmyndighetens webbplats, http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707

    (31)  Denna oro gäller också den generella rätten att bli bortglömd, vars införande i de nya ramarna till skydd för personuppgifter för närvarande diskuteras.

    (32)  Dessa åtgärder och skyddsmekanismer kan till exempel utgöras av att möjligheten till dataindexering av externa sökmotorer utesluts.

    (33)  Artikel 29-arbetsgruppen offentliggjorde ett yttrande om sådana system 2006 som rörde dataskyddsaspekter på detta fenomen: Yttrande 1/2006 om tillämpningen av EU:s regler om uppgiftsskydd på interna system för uppgiftslämnande inom bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen (arbetsgruppens yttrande om uppgiftslämnande). Yttrandet återfinns på artikel 29-arbetsgruppens webbplats: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

    (34)  Se konsekvensbedömningen, s. 137–138: ”När det gäller införandet av system för ’whistle-blowing’ väcker detta frågor i samband med skyddet av personuppgifter (artikel 8 i stadgan och artikel 16 i FEUF) och presumtionen för oskuld och rätten till försvar (artikel 48) i EU:s stadga. Att införa ett eventuellt system för uppgiftslämnande måste därför omfatta och integrera dataskyddsprinciper och -kriterier som angetts av EU:s dataskyddsmyndigheter och garantera skyddsmekanismer i enlighet med stadgan om de grundläggande rättigheterna”.

    (35)  Se till exempel yttrandet om finansiella bestämmelser för unionens årliga budget av den 15 april 2011 och yttrandet om undersökningar som utförs av Olaf av den 1 juni 2011, båda tillgängliga på www.edps.europa.eu

    (36)  Vikten av att hålla uppgiftslämnarnas identitet hemlig har redan understrukits av Europeiska datatillsynsmannen i en skrivelse till Europeiska ombudsmannen av den 30 juli 2010 i ärendet 2010-0458, som återfinns på Europeiska datatillsynsmannens webbplats (http://www.edps.europa.eu). Se också Europeiska datatillsynsmannens tidigare nämnda yttranden av den 23 juni 2006, om Olafs interna utredningar (ärende 2005-0418), och av den 4 oktober 2007 om Olafs externa undersökningar (ärendena 2007-47, 2007-48, 2007-49, 2007-50 och 2007-72).

    (37)  Se yttrandet om finansiella bestämmelser för unionens årliga budget 15 april 2011 som finns på http://www.edps.europa.eu

    (38)  Se i detta sammanhang Europeiska datatillsynsmannens riktlinjer om behandling av personuppgifter i administrativa utredningar och disciplinära förfaranden av EU:s institutioner och organ, där det nära sambandet mellan de registrerade personernas rätt till tillgång och de anklagade personernas rätt till försvar påpekas (se s. 8 och 9) http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/10-04-23_Guidelines_inquiries_EN.pdf

    (39)  Se Artikel 29 i arbetsgruppens yttrande om uppgiftslämnare, s. 13–14.

    (40)  I artikel 23 i förslaget till Europaparlamentets och rådets förordning om insiderhandel och otillbörlig marknadspåverkan KOM(2011) 651 sägs följande:

    ”1.   Den behöriga myndigheten i en medlemsstat får överföra personuppgifter till ett tredjeland om kraven i direktiv 95/46/EG, och då speciellt kraven i artikel 25 eller 26, är uppfyllda och bara från fall till fall. Den behöriga myndigheten i medlemsstaten ska se till att överföringen är nödvändig för denna förordning. Den behöriga myndigheten ska se till att tredjelandet inte överför uppgifterna till något annat tredjeland såtillvida den inte fått uttryckligt skriftligt godkännande och uppfyller kraven som den behöriga myndigheten i medlemsstaten fastställt. Personuppgifter får bara överföras till ett tredjeland som har ett tillfredsställande skydd av personuppgifter.

    2.   Den behöriga myndigheten i en medlemsstat får endast utlämna information som erhållits från en annan medlemsstat till en behörig myndighet i ett tredjeland om den har fått uttryckligt medgivande i fråga om detta av den behöriga myndighet som överlämnade informationen och, i tillämpliga fall, om informationen utlämnas endast i de syften för vilka den myndigheten gav sitt medgivande.

    3.   Om det finns ett samarbetsavtal som reglerar utbyte av personuppgifter, ska det uppfylla kraven i direktiv 95/46/EG.”


    Top