Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2021/C 229/04)

Europeiska datatillsynsmannen framhåller att skyddet av personuppgifter inte utgör något hinder för innovation, och särskilt inte för utvecklingen av ny teknik inom finanssektorn. Han understryker samtidigt att åtgärder som antas på EU-nivå avseende innovativ teknik i samband med behandling av personuppgifter ska överensstämma med de allmänna principerna om nödvändighet och proportionalitet. Med tanke på att det saknas fullständig inblick i denna nya tekniks inverkan på vårt samhälle anser datatillsynsmannen dessutom att försiktighetsprincipen bör tillämpas.

Datatillsynsmannen noterar att beroende på hur tekniken för digitala liggare konfigureras kan de meta- eller transaktionsdata som lagras däri anses vara personuppgifter, om dessa data avser identifierade eller identifierbara fysiska personer. Personuppgiftsansvariga måste därför noggrant analysera och dokumentera hur tekniken för digitala liggare konfigureras, för att kunna avgöra om personuppgifter behandlas och därmed om driften omfattas av skyldigheterna i fråga om uppgiftsskydd.

Datatillsynsmannen framhåller att tekniken för vissa digitala liggare, särskilt offentliga och tillståndslösa sådana, ger upphov till viktiga frågor om teknikens förenlighet med skyldigheterna i fråga om uppgiftsskydd.

Datatillsynsmannen anser att man bör diskutera hur system med teknik för digitala liggare i allmänhet är förenliga med ramen för dataskydd innan förslaget träder i kraft.

Datatillsynsmannen noterar att om teknik för digitala liggare innehåller personuppgifter i kedjan kommer behandlingen troligtvis att uppfylla kraven för att klassificeras som behandling med hög risk. Före behandlingen av personuppgifterna ska den personuppgiftsansvarige därför genomföra en konsekvensbedömning avseende dataskydd av den planerade behandlingen. Dessutom kan ett godkännande från den behöriga dataskyddsmyndigheten behövas.

Datatillsynsmannen rekommenderar att det i förslaget krävs att de centrala uppgifterna om den planerade behandlingen i tillämpliga fall ska ingå som en del av ansökan om att driva marknadsinfrastrukturer med teknik för digitala liggare och tillhörande information. Han rekommenderar dessutom att operatörer av marknadsinfrastrukturer med teknik för digitala liggare bör offentliggöra integritetsmeddelandet på samma plats som sin driftinformation enligt kraven i förslaget.

Datatillsynsmannen framhåller att it- och cyberarrangemang i enlighet med förslaget till drift av marknadsinfrastrukturer med teknik för digitala liggare också måste överensstämma med skyldigheterna i artiklarna 22 och 32 i den allmänna dataskyddsförordningen. (1)

Inom ramen för den rapportering av operativa problem som operatörer av marknadsinfrastrukturer med teknik för digitala liggare ska genomföra, rekommenderar datatillsynsmannen slutligen att man i ett skäl ska påminna om att operatörerna också ska anmäla eventuella personuppgiftsincidenter till den behöriga dataskyddsmyndigheten, i enlighet med artikel 33 i den allmänna dataskyddsförordningen, och i förekommande fall till de registrerade, i enlighet med artikel 34 i samma förordning.

3. BAKGRUND

Europeiska kommissionen antog den 24 september 2020 sitt förslag till Europaparlamentets och rådets förordning om en pilotordning för marknadsinfrastrukturer som baseras på teknik för distribuerade liggare (COM(2020)594 final) (nedan kallat förslaget). I förslaget fastställs harmoniserade krav för särskilda marknadsaktörer, nämligen värdepappersföretag, marknadsoperatörer eller värdepapperscentraler, för ansökan om och beviljande av tillstånd att driva marknadsstrukturer med teknik för digitala liggare i kontrollerade miljöer med särskilda undantag från efterlevnaden av finansiella regleringar. Det finns framför allt fyra mål med förslaget: att tillhandahålla rättssäkerhet för kryptotillgångar, säkerställa finansiell stabilitet, skydda konsumenter och investerare samt möjliggöra innovation för användning av blockkedjor, teknik för distribuerade liggare och kryptotillgångar.

Detta förslag ingår i ett paket som innehåller ett förslag till förordning för att bygga upp marknader för kryptotillgångar (2) (förordningen om marknader för kryptotillgångar), ett förslag om digital operativ motståndskraft (3) (DORA) och ett förslag om att förtydliga eller ändra vissa relaterade EU-regler om finansiella tjänster (4). Datatillsynsmannen förväntar sig att även rådfrågas om övriga förordningar i paketet i enlighet med artikel 42.1 i förordning (EU) 2018/1725.

Den 26 februari 2021 begärde Europeiska kommissionen att datatillsynsmannen skulle yttra sig om förslaget, i enlighet med artikel 42.1 i förordning (EU) 2018/1725. Dessa kommentarer avser enbart de bestämmelser i förslaget som är relevanta ur ett dataskyddsperspektiv.

5. SLUTSATSER

Mot bakgrund av ovanstående vill Europeiska datatillsynsmannen följande:

—	Påminna om att skyddet av personuppgifter inte utgör något hinder för innovation, och särskilt inte för utvecklingen av ny teknik, framför allt inom finanssektorn.

—

Framhålla att tekniken för vissa digitala liggare, särskilt offentliga och tillståndslösa sådana, ger upphov till viktiga begreppsmässiga frågor vad gäller dataskyddskraven. Han rekommenderar därför att diskussionen om möjliga sätt att säkerställa att system med teknik för digitala liggare är förenliga med ramen för dataskydd förs innan förslaget träder i kraft.

—	Understryka att de kryptotillgångar som handlas på marknadsinfrastrukturer med teknik för digitala liggare som omfattas av förslaget enbart bör vara sådana som använder teknik för digitala liggare som överensstämmer med ramen för dataskydd.

—

Föreslå att man, som en del av ansökan om att driva marknadsinfrastrukturer som grundar sig på teknik för digitala liggare, i tillämpliga fall, även inkluderar en förteckning över planerad behandling som innefattar personuppgifter, roll- och ansvarsfördelningen mellan operatörer i marknadsstrukturen med teknik för digitala liggare, i enlighet med den allmänna dataskyddsförordningen, samt de viktigaste risker som förutses och strategier för riskreducering vad gäller dataskydd.

—	Framhålla att it- och cyberarrangemang i enlighet med förslaget till drift av marknadsinfrastrukturer med teknik för digitala liggare också måste överensstämma med skyldigheterna i artiklarna 22 och 32 i den allmänna dataskyddsförordningen.

—

Rekommendera att man i ett skäl, inom ramen för den rapportering av operativa problem som operatörer av marknadsinfrastrukturer med teknik för digitala liggare ska genomföra, ska påminna om att operatörerna också ska anmäla eventuella personuppgiftsincidenter till den behöriga tillsynsmyndigheten för dataskydd, i enlighet med artikel 33 i den allmänna dataskyddsförordningen, och i förekommande fall till de registrerade, i enlighet med artikel 34 i samma förordning.

Bryssel den 23 april 2021.

Wojciech Rafał WIEWIÓROWSKI

(1) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EGT L 119, 4.5.2016, s. 1).

(2) Förslag till Europaparlamentets och rådets förordning om marknader för kryptotillgångar och om ändring av direktiv (EU) 2019/1937, (COM(2020) 593 final). Finns på EUR-Lex – 52020PC0593 – SV – EUR-Lex (europa.eu)

(3) Förslag till Europaparlamentets och rådets förordning om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014, (COM(2020) 595 final); finns på: EUR-Lex – 52020PC0595 – SV – EUR-Lex (europa.eu)

(4) Förslag till Europaparlamentets och rådets direktiv om ändring av direktiv 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341, (COM(2020) 596 final). Finns på: EUR-Lex – 52020PC0596 – SV – EUR-Lex (europa.eu)