Opinia w sprawie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 1060/2009 w sprawie agencji ratingowych.

Dzienniki UE

Dz.U.UE.C.2012.139.6

Akt nienormatywny
Wersja od: 15 maja 2012 r.

Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 1060/2009 w sprawie agencji ratingowych

(2012/C 139/02)

(Dz.U.UE C z dnia 15 maja 2012 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),

uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 28 ust. 2,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

1. WPROWADZENIE

1.1. Konsultacje z EIOD

1.
Obecna opinia stanowi część pakietu czterech opinii EIOD odnoszących się do sektora finansowego, z których wszystkie przyjęto tego samego dnia.
2.
Dnia 15 listopada 2011 r. Komisja przyjęła wniosek dotyczący zmian w rozporządzeniu (WE) nr 1060/2009 w sprawie agencji ratingowych (dalej zwanym rozporządzeniem w sprawie agencji ratingowych)(3). Dnia 18 listopada 2011 r. wniosek przesłano do EIOD do konsultacji.
3.
EIOD z zadowoleniem przyjmuje fakt przeprowadzenia z nim konsultacji przez Komisję oraz zaleca zamieszczenie odniesienia do obecnej opinii w preambule przyjmowanego instrumentu.
4.
EIOD ubolewa jednakże, że Komisja nie przeprowadziła z nim formalnych konsultacji podczas przygotowań pierwotnego rozporządzenia w sprawie agencji ratingowych, które weszło w życie dnia 7 grudnia 2010 r., ani w odniesieniu do niedawnych zmian we wspomnianym rozporządzeniu(4).
5.
W obecnej opinii EIOD uznaje zatem za stosowne i przydatne odniesienie się do spraw związanych z już obowiązującym rozporządzeniem w sprawie agencji ratingowych. Po pierwsze, podkreśla potencjalne skutki samego rozporządzenia w sprawie agencji ratingowych pod względem ochrony danych. Po drugie, analiza przedstawiona w obecnej opinii jest w sposób bezpośredni istotna dla stosowania obowiązujących przepisów, a także dla innych rozpatrywanych i ewentualnych przyszłych wniosków zawierających podobne zapisy, takie jak omówione w opiniach EIOD w sprawie pakietu legislacyjnego dotyczącego zmiany przepisów w zakresie bankowości, rynków instrumentów finansowych (MIFID/ MIFIR) i nadużyć na rynku.

1.2. Cele i zakres wniosku oraz obowiązującego rozporządzenia

6.
Komisja uważa, że agencje ratingowe są ważnymi uczestnikami rynków finansowych i powinny być objęte odpowiednimi ramami prawnymi. Pierwsze rozporządzenie w sprawie agencji ratingowych weszło w życie dnia 7 grudnia 2010 r. Zobowiązuje ono agencje ratingowe do przestrzegania rygorystycznych zasad postępowania w celu złagodzenia ewentualnych konfliktów interesów oraz zapewnienia, aby oceny oraz proces ratingowy charakteryzowały się wysoką jakością oraz wystarczającą przejrzystością. Istniejące agencje ratingowe musiały złożyć wniosek o rejestrację oraz spełnić wymagania określone w rozporządzeniu do dnia 7 września 2010 r.
7.
Dnia 1 czerwca 2011 r. weszła w życie zmiana rozporządzenia w sprawie agencji ratingowych (rozporządzenie (UE) nr 513/2011), przyznająca EUNGiPW wyłączne uprawnienia nadzorcze w stosunku do agencji ratingowych zarejestrowanych w UE, co miało na celu scentralizowanie i uproszczenie ich rejestracji oraz nadzoru na poziomie europejskim.
8.
Obecny wniosek ustawodawczy służy wprowadzeniu zmian do rozporządzenia w sprawie agencji ratingowych, lecz nie zastąpieniu go. Głównym celem strategicznym proponowanej zmiany jest uwzględnienie wielu kwestii dotyczących agencji ratingowych oraz wykorzystania ratingów, do których nie odniesiono się w sposób wystarczający w obowiązującym rozporządzeniu w sprawie agencji ratingowych.

1.3. Cel opinii EIOD

9.
Większość przepisów rozporządzenia w sprawie agencji ratingowych odnosi się do prowadzenia działalności w zakresie ratingu kredytowego i nadzoru nad taką działalnością, jednakże wdrożenie i stosowanie ram prawnych może mieć w pewnych przypadkach wpływ na prawa osób fizycznych w odniesieniu do przetwarzania ich danych osobowych.
10.
Rozporządzenie w sprawie agencji ratingowych umożliwia wymianę informacji między EUNGiPW, właściwymi organami, właściwymi organami sektorowymi oraz, być może, państwami trzecimi(5). Takie informacje mogą odnosić się do osób fizycznych, np. zaangażowanych w działalność w zakresie ratingu kredytowego, a także osób mających inne bliskie i znaczące powiązanie lub związek z agencjami ratingowymi lub działalnością w zakresie ratingu kredytowego. Takie przepisy mogą mieć dla osób zainteresowanych konsekwencje pod względem ochrony danych.
11.
W świetle powyższego obecna opinia skupia się na następujących aspektach rozporządzenia w sprawie agencji ratingowych odnoszących się do prywatności i ochrony danych: 1) zastosowanie przepisów dotyczących ochrony danych; 2) przekazywanie danych do państw trzecich; 3) dostęp do rejestrów połączeń telefonicznych i przesyłu danych oraz 4) wymogi informacyjne dotyczące strukturyzowanych instrumentów finansowych i okresowych kar pieniężnych.

2. ANALIZA WNIOSKU

2.1. Zastosowanie przepisów dotyczących ochrony danych(6)

12.
Kilka motywów(7) rozporządzenia w sprawie agencji ratingowych odnosi się do Karty praw podstawowych, dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001. Odniesienie do właściwych przepisów dotyczących ochrony danych powinno jednak znaleźć się w jednym z zawierających przepisy materialne artykułów rozporządzenia w sprawie agencji ratingowych.
13.
Dobry przykład takiego przepisu materialnego znajduje się w art. 22 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku(8), w którym wyraźnie stwierdza się jako zasadę ogólną, że do przetwarzania danych osobowych w ramach ustanowionych wnioskiem stosuje się dyrektywę 95/46/WE i rozporządzenie nr (WE) nr 45/2001. EIOD wydał dziś opinię w sprawie tego wniosku, w której z bardzo dużym zadowoleniem przyjmuje tego rodzaju nadrzędny przepis. EIOD sugeruje jednak doprecyzowanie odniesienia do dyrektywy 95/46/WE poprzez zaznaczenie, że przepisy będą stosowane zgodnie z instrumentami krajowymi wdrażającymi dyrektywę 95/46/WE.
14.
Jest to istotne np. w odniesieniu do różnych przepisów odnoszących się do wymiany danych osobowych. Takie przepisy są w pełni zasadne, należy jednak stosować je w sposób zgodny z prawodawstwem dotyczącymi ochrony danych. W szczególności należy unikać ryzyka ich interpretacji jako ogólnego upoważnienia do wymiany danych osobowych każdego rodzaju. Odniesienie do prawodawstwa dotyczącego ochrony danych zawarte także w przepisach materialnych doprowadziłoby do znacznego zmniejszenia takiego ryzyka(9).
15.
EIOD sugeruje zatem dodanie przepisu materialnego podobnego do zawartego w art. 22 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku(10), z zastrzeżeniem sugestii przedstawionych w odniesieniu do wspomnianego wniosku(11), tj. z położeniem nacisku na stosowanie obowiązujących przepisów dotyczących ochrony danych i z wyjaśnieniem odniesienia do dyrektywy 95/46/WE poprzez zaznaczenie, że przepisy będą stosowane zgodnie z instrumentami krajowymi wdrażającymi dyrektywę 95/46/WE.

2.2. Wymiana informacji z państwami trzecimi(12)

16.
EIOD dostrzega odniesienie do rozporządzenia (WE) nr 45/2001 zawarte w art. 34 ust. 3 rozporządzenia w sprawie agencji ratingowych, dotyczącym przekazywania danych osobowych do państw trzecich.
17.
Ze względu na ryzyko wiążące się z takim przekazywaniem EIOD zaleca jednak dodanie specjalnych zabezpieczeń, takich jak w art. 23 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku. W swojej opinii odnoszącej się do tego wniosku EIOD z zadowoleniem przyjmuje wprowadzenie przepisu zawierającego odpowiednie zabezpieczenia, takie jak ocena indywidualnych przypadków, weryfikacja konieczności przekazania danych oraz istnienie równoważnego poziomu ochrony danych osobowych w państwie trzecim otrzymującym dane osobowe.

2.3. Uprawnienie EUNGiPW do żądania rejestrów połączeń telefonicznych i przesyłu danych(13)

2.3.1. Zezwolenie sądu

18.
W art. 23c ust. 1 lit. e) stwierdza się, że w celu wypełniania obowiązków wynikających z rozporządzenia EUNGiPW może przeprowadzać wszelkie niezbędne dochodzenia. W tym celu urzędnicy i inne osoby upoważnione przez EUNGiPW są uprawnieni do żądania rejestrów połączeń telefonicznych i przesyłu danych. Ze względu na szerokie sformułowanie, ten przepis wzbudza wiele wątpliwości odnoszących się do jego zakresu przedmiotowego i osobowego. Ponadto rozporządzenie w sprawie agencji ratingowych stanowi, że w przypadku gdy wymagają tego przepisy krajowe, EUNGiPW musi uzyskać uprzednie zezwolenie sądu, aby domagać się dostępu do rejestrów połączeń telefonicznych i przesyłu danych(14).
19.
We wniosku dotyczącym rozporządzenia nie zdefiniowano pojęć "rejestry połączeń telefonicznych i przesyłu danych". Dyrektywa 2002/58/WE (teraz, zmieniona dyrektywą 2009/136/WE, zwana "dyrektywą w sprawie e-prywatności") odnosi się tylko do "danych o ruchu", lecz nie do "rejestrów połączeń telefonicznych i przesyłu danych". Jest oczywiste, że dokładne znaczenie tych pojęć decyduje o wpływie, jaki uprawnienia dochodzeniowe mogą mieć na prywatność i ochronę danych zainteresowanych osób. EIOD sugeruje zastosowanie terminologii już użytej w definicji "danych o ruchu" w dyrektywie 2002/58/WE.
20.
Informacje dotyczące stosowania środków łączności elektronicznej mogą obejmować wiele różnych danych osobowych, takich jak: tożsamość osób wykonujących i otrzymujących połączenie, godzina i czas trwania połączenia, wykorzystana sieć, współrzędne geograficzne użytkownika w przypadku urządzeń przenośnych itd. W odniesieniu do korzystania z Internetu i poczty elektronicznej pewne dane o ruchu (np. lista odwiedzonych stron internetowych) mogą dodatkowo ujawniać ważne informacje dotyczące treści komunikatu. Ponadto przetwarzanie danych o ruchu jest sprzeczne z tajemnicą korespondencji. Z uwagi na to w dyrektywie 2002/58/WE ustanowiono zasadę, że dane o ruchu muszą być usunięte lub zanonimizowane, gdy nie są już potrzebne do celów transmisji komunikatu(15). Zgodnie z art. 15 ust. 1 wspomnianej dyrektywy, w określonych uzasadnionych celach państwa członkowskie mogą włączać do swoich przepisów krajowych odstępstwa, które muszą być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla osiągnięcia tych celów(16).
21.
EIOD uznaje zasadność celów, do których osiągnięcia dąży Komisja w rozporządzeniu w sprawie agencji ratingowych. Rozumie, że potrzebne są inicjatywy zmierzające do wzmocnienia nadzoru nad rynkami finansowymi w celu utrzymania ich właściwego funkcjonowania i lepszej ochrony inwestorów oraz gospodarki w ogóle. Uprawnienia dochodzeniowe bezpośrednio odnoszące się do danych o ruchu muszą jednak, ze względu na swój potencjalnie inwazyjny charakter, być zgodne z wymogami dotyczącymi konieczności i proporcjonalności, tj. muszą być ograniczone do tego, co jest właściwe dla osiągnięcia zamierzonego celu, i nie mogą wykraczać poza to, co jest niezbędne dla jego osiągnięcia(17). Dlatego też w tej perspektywie zasadnicze znaczenie ma jasne sformułowanie takich uprawnień pod względem ich zakresu osobowego i przedmiotowego, a także okoliczności, w jakich mogą być stosowane, oraz warunków, na jakich może to mieć miejsce. Ponadto należy uwzględnić odpowiednie zabezpieczenia przed ryzykiem nadużyć.
22.
Artykuł 23c upoważnia EUNGiPW do prowadzenia dochodzeń w odniesieniu do osób zaangażowanych w działalność w zakresie ratingu kredytowego, a także osób mających inne bliskie i znaczące powiązanie lub związek z agencjami ratingowymi lub działalnością w zakresie ratingu kredytowego. Zgodnie z art. 23b od takich osób fizycznych można również wymagać przekazania do EUNGiPW wszystkich informacji uznanych za niezbędne.
23.
Ze wspomnianych przepisów jasno wynika, że na mocy rozporządzenia w sprawie agencji ratingowych będzie się odbywać wymiana danych osobowych. Wydaje się prawdopodobne, a przynajmniej nie można tego wykluczyć, że odnośne rejestry połączeń telefonicznych i przesyłu danych obejmują dane osobowe w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 oraz, w istotnym zakresie, dyrektywy 2002/58/WE, tj. dane dotyczące połączeń telefonicznych i przesyłu danych zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych(18). O ile tak rzeczywiście jest, należy zagwarantować pełne poszanowanie warunków rzetelnego i legalnego przetwarzania danych osobowych, określonych we wspomnianych dyrektywach i rozporządzeniu.
24.
EIOD zauważa, że zgodnie z art. 23c ust. 5, o ile wymaga tego prawo krajowe, uzyskanie zezwolenia sądu jest obowiązkowe. EIOD jest jednak zdania, że ogólny wymóg uzyskania uprzedniego zezwolenia sądu we wszystkich przypadkach, bez względu na to, czy wymaga tego prawo krajowe, byłby uzasadniony ze względu na potencjalną inwazyjność omawianych uprawnień, a rozporządzenie uważa za właściwy do uregulowania tej kwestii instrument prawny. Należy także zauważyć, że różne przepisy państw członkowskich przewidują specjalne gwarancje nienaruszalności domu, stanowiące zabezpieczenie przed nieproporcjonalnymi i niepodlegającymi starannej regulacji kontrolami, przeszukaniami i konfiskatami, zwłaszcza kiedy dokonują ich instytucje o charakterze administracyjnym.
25.
Jak stwierdzono powyżej w sekcji 2.1., uprawienia organów nadzorczych do żądania dostępu do rejestrów połączeń telefonicznych i przesyłu danych nie są w prawodawstwie europejskim nowością, ponieważ zostały przewidziane w różnych istniejących dyrektywach i rozporządzeniach dotyczących sektora finansowego. Podobne przepisy istnieją w szczególności w dyrektywie w sprawie nadużyć na rynku(19), dyrektywie w sprawie rynków instrumentów finansowych(20), i dyrektywie UCITS(21). Dotyczy to również wielu niedawnych wniosków przyjętych przez Komisję, a mianowicie wniosku dotyczącego dyrektywy w sprawie zarządzających alternatywnymi funduszami inwestycyjnymi(22), rozporządzenia w sprawie krótkiej sprzedaży i wybranych aspektów dotyczących swapów ryzyka kredytowego(23) i rozporządzenia w sprawie integralności i przejrzystości rynku energii(24).
26.
W odniesieniu do tych istniejących i proponowanych instrumentów prawnych należy dokonać rozróżnienia pomiędzy uprawnieniami dochodzeniowymi przyznanymi organom krajowym a udzieleniem takich uprawnień organom UE. Wiele instrumentów zobowiązuje państwa członkowskie do przyznania organom krajowym uprawnień do żądania rejestrów połączeń telefonicznych i przesyłu danych zgodnie z prawem krajowym(25). W rezultacie faktyczne wypełnienie tego obowiązku z konieczności podlega prawu krajowemu, w tym przepisom wdrażającym dyrektywy 95/46/WE i 2002/58/WE oraz innym przepisom krajowym zawierającymi dalsze zabezpieczenia proceduralne odnoszące się do krajowych organów nadzorczych i dochodzeniowych.
27.
Żadnego takiego warunku nie zawiera rozporządzenie w sprawie agencji ratingowych ani inne instrumenty prawne przyznające uprawnienia do żądania rejestrów połączeń telefonicznych i przesyłu danych bezpośrednio organom UE. W rezultacie w takich przypadkach istnieje nawet większa potrzeba wyjaśnienia w samym instrumencie prawnym osobowego i przedmiotowego zakresu tych uprawnień, okoliczności, w jakich mogą być stosowane oraz warunków, na jakich może to mieć miejsce, a także konieczność zagwarantowania, że istnieją odpowiednie zabezpieczenia przed nadużyciem.
28.
W art. 23c ust. 1 lit. e) rozporządzenia uprawnia się EUNGiPW do żądania rejestrów połączeń telefonicznych i przesyłu danych. Jak zostanie wyjaśnione poniżej, niejasny jest zakres stosowania tego przepisu, a w szczególności dokładne znaczenie sformułowania "rejestry połączeń telefonicznych i przesyłu danych".

2.3.2. Definicja "rejestrów połączeń telefonicznych i przesyłu danych"

29.
Definicja "rejestrów połączeń telefonicznych i przesyłu danych" nie jest całkowicie jasna, a zatem wymaga sprecyzowania. Przepis ten może odnosić się do rejestrów połączeń telefonicznych i przesyłu danych, które agencje ratingowe mają obowiązek zatrzymywać w trakcie prowadzenia działalności. W rozporządzeniu jednakże nie określono, czy agencje ratingowe muszą zatrzymywać rejestry połączeń telefonicznych i przesyłu danych oraz jakie są to rejestry(26). Z tego względu, jeżeli omawiany przepis odnosi się do rejestrów posiadanych przez agencje ratingowe, niezbędne jest dokładne określenie kategorii rejestrów połączeń telefonicznych i przesyłu danych, które muszą być zatrzymywane i których może żądać EUNGiPW. Zgodnie z zasadą proporcjonalności, takie dane muszą być prawidłowe, stosowne oraz nienadmierne w stosunku do celów nadzorczych, dla których są przetwarzane(27).
30.
Szczególnie w tym przypadku potrzebna jest większa dokładność, zważywszy na wysokie grzywny i okresowe kary pieniężne, które agencje ratingowe i inne osoby (w tym osoby fizyczne w przypadku okresowych kar pieniężnych) mogą ponosić z tytułu naruszenia rozporządzenia (zob. art. 36a i 36b).
31.
Należy zauważyć, że we wspomnianym powyżej art. 37 powierza się Komisji uprawnienia do zmieniania załączników do rozporządzenia, zawierających szczegółowe wymogi dotyczące prowadzenia rejestrów przez agencje ratingowe, a co za tym idzie, pośrednio, przyznane EUNGiPW uprawnienia do dostępu do rejestrów połączeń telefonicznych i przesyłu danych. Artykuł 290 TFUE stanowi, że akt ustawodawczy może przekazywać Komisji uprawnienia do przyjęcia aktów o charakterze nieustawodawczym o zasięgu ogólnym, które uzupełniają lub zmieniają inne niż istotne elementy aktu ustawodawczego. Zdaniem EIOD dokładne granice uprawnień do dostępu do danych o ruchu nie mogą być uważane ze inny niż istotny element rozporządzenia. Zasięg przedmiotowy rozporządzenia powinien być zatem bezpośrednio określony w tekście tego rozporządzenia, a nie odkładany do czasu przyjęcia w przyszłości aktów delegowanych.
32.
EIOD sądzi, że celem art. 32c ust. 1 lit. e) nie jest umożliwienie EUNGiPW dostępu do danych o ruchu bezpośrednio od operatorów telekomunikacyjnych. Wydaje się to logiczne szczególnie z uwagi na fakt, że w rozporządzeniu w ogóle nie wspomina się o danych przechowywanych przez operatorów telekomunikacyjnych ani o wymogach określonych w dyrektywie w sprawie e-prywatności, o których mowa w pkt 36 powyżej(28). Dlatego też dla jasności EIOD zaleca zawarcie bardziej precyzyjnego sformułowania w art. 23c rozporządzenia w sprawie agencji ratingowych poprzez wyraźne wykluczenie danych posiadanych przez operatorów telekomunikacyjnych.
33.
Jeśli jednak przewiduje się prawo dostępu do danych o ruchu bezpośrednio od operatorów telekomunikacyjnych, EIOD ma poważne wątpliwości odnoszące się do konieczności i proporcjonalności takiego uprawnienia i w związku z tym zaleca jego wyraźne wykluczenie.

2.3.3. Dostęp do danych osobowych

34.
W art. 23c ust. 1 lit. e) nie wskazano okoliczności, w jakich można żądać dostępu, ani warunków, na jakich można to uczynić. Nie zawarto w nim również ważnych gwarancji proceduralnych ani zabezpieczeń przed ryzykiem nadużyć. W poniższych punktach EIOD przedstawi pewne konkretne sugestie w tym zakresie.
35.
W art. 23c ust. 1 stwierdza się, że EUNGiPW może żądać rejestrów połączeń telefonicznych i przesyłu danych w celu wypełniania swoich obowiązków wynikających z rozporządzenia w sprawie agencji ratingowych. Zdaniem EIOD należy wyraźniej określić okoliczności i warunki korzystania z takiego uprawnienia. EIOD zaleca ograniczenie dostępu do rejestrów połączeń telefonicznych i przesyłu danych do wyraźnie określonych i poważnych naruszeń przepisów proponowanego rozporządzenia oraz do przypadków, w których istnieje uzasadnione podejrzenie (które powinno być poparte konkretnymi dowodami wstępnymi), że popełniono takie naruszenie. Takie ograniczenie jest również szczególnie ważne dla uniknięcia sytuacji, w których uprawnienia do dostępu mogłyby zostać wykorzystane do celów "phishingu" lub eksploracji danych bądź do innych celów.
36.
Ponadto EIOD zaleca wprowadzenie wymogu, aby EUNGiPW żądał rejestrów połączeń telefonicznych i przesyłu danych w drodze formalnej decyzji, w której określona będzie podstawa prawa i cel żądania oraz potrzebne informacje, termin, w którym informacje te mają być udzielone, a także prawo adresata do wniesienia odwołania od tej decyzji do Trybunału Sprawiedliwości.

2.4. Przepisy dotyczące ujawniania informacji

2.4.1. Informacje dotyczące strukturyzowanych instrumentów finansowych

37.
W omawianym wniosku dotyczącym zmian w rozporządzeniu w sprawie agencji ratingowych(29), w proponowanym art. 8a odnoszącym się do informacji dotyczących strukturyzowanych instrumentów finansowych stwierdza się, że emitent, jednostka inicjująca i jednostka sponsorująca strukturyzowanego instrumentu finansowego podają do publicznej wiadomości informacje na temat jakości kredytowej i wyników poszczególnych aktywów bazowych strukturyzowanych instrumentów finansowych, struktury transakcji sekurytyzacyjnych, przepływów pieniężnych oraz zabezpieczeń ekspozycji sekurytyzacyjnych, jak również wszelkie informacje niezbędne do przeprowadzenia kompleksowych i świadomych testów skrajnych warunków dotyczących przepływów pieniężnych i wartości zabezpieczeń ekspozycji bazowych. Obowiązek ujawniania informacji nie obejmuje udzielania informacji, które naruszałoby przepisy ustawowe dotyczące ochrony poufności źródeł informacji lub przetwarzania danych osobowych.
38.
Wspomniany artykuł dotyczy emitenta, jednostki inicjującej i jednostki sponsorującej strukturyzowany instrument finansowy. EIOD z zadowoleniem przyjmuje fakt, że w przedmiotowym wniosku dotyczącym zmiany rozporządzenia w sprawie agencji ratingowych, w proponowanym art. 8a, stwierdza się, że obowiązek ujawniania informacji nie obejmuje udzielania informacji, które naruszałoby przepisy ustawowe dotyczące ochrony poufności źródeł informacji lub przetwarzania danych osobowych.
39.
Zdaniem EIOD położenie w ten sposób nacisku na zabezpieczenia określone przepisami regulującymi przetwarzanie danych osobowych to krok we właściwym kierunku, ale, zgodnie z zaleceniami przedstawionymi powyżej, w zawierającym przepisy materialne artykule rozporządzenia w sprawie agencji ratingowych należy zamieścić jasne i wyraźne odniesienie do przepisów krajowych wdrażających dyrektywę 95/46/WE.

2.4.2. Informacje dotyczące okresowych kar pieniężnych(30)

40.
Zgodnie z art. 36d rozporządzenia w sprawie agencji ratingowych EUNGiPW podaje do wiadomości publicznej każdą okresową karę pieniężną, która została nałożona, chyba że takie ujawnienie publiczne zagrażałoby poważnie rynkom finansowym lub wyrządziło nieproporcjonalną szkodę zainteresowanym stronom.
41.
Według art. 36b i art. 23b ust. 1 osoby uczestniczące w działalności w zakresie ratingu kredytowego i osoby mające inne bliskie i znaczące powiązanie lub związek z agencjami ratingowymi lub działalnością w zakresie ratingu kredytowego mogą podlegać okresowym karom pieniężnym.
42.
Rozporządzenie w sprawie agencji ratingowych upoważnia zatem EUNGiPW do nakładania sankcji nie tylko na instytucje kredytowe, lecz także na osoby fizyczne materialnie odpowiedzialne za naruszenie. Podobnie art. 36d zobowiązuje EUNGiPW do podawania do wiadomości publicznej każdej okresowej kary pieniężnej nałożonej z tytułu naruszenia proponowanego rozporządzenia.
43.
Publikowanie informacji o sankcjach przyczyniłoby się do wzmocnienia efektu odstraszającego, gdyż zniechęcono by do dopuszczania się naruszeń rzeczywistych i potencjalnych sprawców, którym zależałoby na uniknięciu poważnego nadszarpnięcia reputacji. Zwiększyłoby to również przejrzystość, gdyż podmioty gospodarcze byłyby informowane, że naruszenia dopuściła się określona osoba. Odstępstwo od tego wymogu jest dopuszczalne tylko w sytuacjach, w których podanie takich informacji do wiadomości publicznej przyniosłoby zainteresowanych osobom nieproporcjonalne szkody - w takim przypadku właściwe organy powinny publikować informacje o sankcjach z zachowaniem anonimowości.
44.
EIOD nie jest przekonany, że obowiązek publikowania informacji o sankcjach w obecnym brzmieniu spełnia wymogi przepisów dotyczących ochrony danych, wyjaśnione w wyroku Trybunału Sprawiedliwości w sprawie Schecke(31). EIOD jest zdania, że nie wykazano w wystarczającym stopniu celowości, konieczności i proporcjonalności środka oraz że w każdym razie należy zapewnić odpowiednie zabezpieczenia przed ryzykiem w odniesieniu do praw osób fizycznych.

2.4.3. Konieczność i proporcjonalność obowiązkowego publikowania informacji o sankcjach

45.
W wyroku w sprawie Schecke Trybunał Sprawiedliwości uchylił przepisy rozporządzenia Rady i rozporządzenia Komisji przewidujące obowiązkową publikację informacji dotyczących beneficjentów funduszy rolniczych, w tym tożsamości beneficjentów i otrzymanych kwot. Trybunał stwierdził, że wspomniana publikacja stanowi przetwarzanie danych osobowych wchodzące w zakres art. 8 ust. 2 Karty praw podstawowych Unii Europejskiej ("Karta"), a zatem jest naruszeniem praw, o których mowa w art. 7 i 8 Karty.
46.
Stwierdziwszy, że "odstępstwa i ograniczenia ochrony danych powinny ograniczać się do tego, co absolutnie konieczne", Trybunał przeanalizował celowość i proporcjonalność publikacji. Uznał, że w tym przypadku nic nie wskazuje na to, aby przyjmując odnośne przepisy Rada i Komisja rozpatrzyły metody publikacji informacji, które byłyby zgodne z celem takiej publikacji, a jednocześnie słabiej ingerowały w prawa takich beneficjentów.
47.
Wydaje się, że art. 36d rozporządzenia w sprawie agencji ratingowych wykazuje te same niedociągnięcia, które Trybunał Sprawiedliwości podkreślił w wyroku w sprawie Schecke. Należy pamiętać, że dla oceny, czy przepis wymagający podania do wiadomości publicznej danych osobowych jest zgodny z wymogami w zakresie ochrony danych osobowych podstawowe znaczenie ma jasny i dobrze określony cel, któremu przewidywana publikacja ma służyć. Tylko jasny i dobrze określony cel umożliwia ocenę, czy publikacja odnośnych danych osobowych jest rzeczywiście konieczna i proporcjonalna(32).
48.
EIOD odnosi zatem wrażenie, że nie wykazano w sposób jasny celu, a co za tym idzie także konieczności tego środka. Do kwestii tych nie odnoszą się motywy rozporządzenia w sprawie agencji ratingowych. Jeśli ogólnym celem jest skuteczniejsze odstraszanie, to wydaje się, że Komisja powinna była wyjaśnić np. dlaczego nie wystarczyłyby większe kary finansowe (lub inne sankcje niezwiązane z imiennym wskazywaniem sprawców i narażaniem ich na utratę reputacji).
49.
Ponadto należało uwzględnić metody mniej inwazyjne, takie jak udostępnianie odnośnych danych tylko agencjom ratingowym lub podejmowanie decyzji o publikacji w trybie indywidualnym. W szczególności to drugie rozwiązanie wydaje się na pierwszy rzut oka bardziej proporcjonalne.
50.
Zdaniem EIOD jednakże możliwość oceny przypadku w świetle konkretnych okoliczności decyduje o większej proporcjonalności tego rozwiązania, przez co jest ono wariantem preferowanym w porównaniu z obowiązkową publikacją we wszystkich przypadkach. Taka uznaniowość umożliwiałaby EUNGiPW np. unikanie publikacji w przypadkach mniej poważnych naruszeń, kiedy naruszenie nie spowodowało poważnych szkód, kiedy dana strona wykazała gotowość do współpracy itd.

2.4.4. Kwestia odpowiednich zabezpieczeń

51.
Rozporządzenie w sprawie agencji ratingowych powinno przewidywać odpowiednie zabezpieczenia w celu zapewnienia uczciwej równowagi między różnymi interesami. Po pierwsze, zabezpieczenia są niezbędne w odniesieniu do praw zainteresowanych osób do odwołania oraz domniemania niewinności. Odpowiednie sformułowania w tym zakresie powinny były zostać zawarte w art. 36d i zobowiązywać EUNGiPW do podjęcia odpowiednich środków w odniesieniu do sytuacji, kiedy decyzja jest przedmiotem odwołania, jak też kiedy zostaje ostatecznie uchylona przez sąd(33).
52.
Po drugie, rozporządzenie w sprawie agencji ratingowych powinno w sposób aktywny zapewniać poszanowanie praw osób, których dane dotyczą. EIOD docenia fakt, że rozporządzenie w sprawie agencji ratingowych przewiduje możliwość wyłączenia publikacji w przypadkach, w których powodowałaby ona nieproporcjonalną szkodę. Aktywne podejście powinno jednak przejawiać się wcześniejszym informowaniem osób, których dane dotyczą o fakcie, że decyzja o nałożeniu na nie okresowej kary pieniężnej zostanie opublikowana oraz że zgodnie z art. 14 dyrektywy 95/46/WE mają prawo do zgłoszenia sprzeciwu ze względu na uzasadnione i ważkie przyczyny(34).
53.
Po trzecie, mimo że rozporządzenie w sprawie agencji ratingowych nie określa medium, w którym powinny być publikowane takie informacje, można sobie wyobrazić, że w praktyce publikacja będzie mieć miejsce w Internecie. Publikacje internetowe wiążą się z określonymi kwestiami i zagrożeniami, dotyczącymi zwłaszcza potrzeby zapewnienia, aby informacje były udostępniane przez czas nie dłuższy niż jest to konieczne oraz aby danych nie można było zmanipulować ani zmienić. Także korzystanie z zewnętrznych wyszukiwarek stwarza ryzyko, że informacja zostanie wyjęta z kontekstu i rozpropagowana w Internecie i poza nim w sposób z trudem poddający się kontroli(35).
54.
W świetle powyższego konieczne jest zobowiązanie EUNGiPW do zapewnienia, aby dane osobowe zainteresowanych osób były dostępne w Internecie tylko przez uzasadniony czas, po którego upływie mają być systematycznie usuwane(36). Ponadto od państw członkowskich należy wymagać zapewnienia, aby wprowadzono odpowiednie środki bezpieczeństwa i zabezpieczenia, zwłaszcza w celu ochrony przed zagrożeniami związanymi z korzystaniem z wyszukiwarek zewnętrznych(37).

2.4.5. Wniosek dotyczący ujawniania informacji odnoszących się do okresowych kar pieniężnych

55.
EIOD jest zdania, że przepis dotyczący obowiązkowego publikowania informacji o okresowych karach pieniężnych w obecnym brzmieniu nie jest zgodny z podstawowymi prawami do prywatności i ochrony danych. Prawodawca powinien starannie ocenić konieczność proponowanego systemu i zweryfikować, czy obowiązek publikacji wykracza poza to, co jest konieczne dla osiągnięcia zamierzonego celu związanego z interesem publicznym oraz czy tego samego celu nie można osiągnąć mniej restrykcyjnymi środkami. Z zastrzeżeniem wyniku takiego testu proporcjonalności, obowiązkowi publikacji powinny w każdym razie towarzyszyć odpowiednie zabezpieczenia, zapewniające poszanowanie zasady domniemania niewinności, prawa zainteresowanych osób do sprzeciwu, bezpieczeństwo/prawidłowość danych oraz ich usunięcie po upływie odpowiedniego czasu.

3. WNIOSKI

56.
EIOD przedstawia następujące zalecenia:
do rozporządzenia w sprawie agencji ratingowych należy dodać przepis materialny w następującym brzmieniu: "W zakresie przetwarzania danych osobowych prowadzonych przez państwa członkowskie w ramach określonych niniejszym rozporządzeniem, właściwe organy i właściwe organy sektorowe stosują przepisy krajowe wdrażające dyrektywę 95/46/WE. W zakresie przetwarzania danych osobowych prowadzonego przez EUNGiPW w ramach określonych niniejszym rozporządzeniem, EUNGiPW zachowuje zgodność z przepisami rozporządzenia (WE) nr 45/2001",
do art. 34 rozporządzenia w sprawie agencji ratingowych należy wprowadzić specjalne zabezpieczenia, takie jak w art. 23 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku. W swojej opinii odnoszącej się do tego wniosku EIOD z zadowoleniem przyjmuje wprowadzenie przepisu zawierającego odpowiednie zabezpieczenia, takie jak ocena indywidualnych przypadków, weryfikacja konieczności przekazania danych oraz istnienie równoważnego poziomu ochrony danych osobowych w państwie trzecim otrzymującym dane osobowe,
należy wyraźnie określić kategorie rejestrów połączeń telefonicznych i przesyłu danych, które muszą być zatrzymywane przez agencje ratingowe i/lub przekazywane EUNGiPW. Takie dane muszą być prawidłowe, stosowne oraz nienadmierne w stosunku do celów, dla których są przetwarzane,
należy wyjaśnić, że dostęp do rejestrów połączeń telefonicznych i przesyłu danych bezpośrednio od operatorów telekomunikacyjnych jest wykluczony,
należy ograniczyć dostęp do rejestrów połączeń telefonicznych i przesyłu danych do określonych i poważnych naruszeń proponowanego rozporządzenia oraz do przypadków, w których istnieje uzasadnione podejrzenie (które powinno być poparte konkretnymi dowodami wstępnymi), że popełniono takie naruszenie,
należy ocenić konieczność proponowanego systemu obowiązkowego publikowania informacji o okresowych karach pieniężnych i zweryfikować, czy obowiązek publikacji nie wykracza poza to, co jest konieczne dla osiągnięcia zamierzonego celu związanego z interesem publicznym oraz czy tego samego celu nie można osiągnąć mniej restrykcyjnymi środkami. Z zastrzeżeniem wyniku takiego testu proporcjonalności, obowiązkowi publikacji powinny w każdym razie towarzyszyć odpowiednie zabezpieczenia, zapewniające poszanowanie zasady domniemania niewinności, prawa zainteresowanych osób do sprzeciwu, bezpieczeństwo/prawidłowość danych oraz ich usunięcie po upływie odpowiedniego czasu.

Sporządzono w Brukseli dnia 10 lutego 2012 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) Dz.U. L 281 z 23.11.1995, s. 31.

(2) Dz.U. L 8 z 12.1.2001, s. 1.

(3) COM(2011) 747.

(4) Rozporządzenie (UE) nr 513/2011, które weszło w życie dnia 1 czerwca 2011 r.

(5) Zob. w szczególności art. 23 i 27 rozporządzenia w sprawie agencji ratingowych.

(6) Zob. także niedawne opinie EIOD w sprawie pakietu legislacyjnego dotyczącego zmiany przepisów w zakresie bankowości (sekcja 2.1), rynku instrumentów finansowych (MIFID/MIFIR) (sekcja 2.1) i nadużyć na rynku (sekcja 2.1).

(7) Zob. motywy 8, 33 i 34 rozporządzenia w sprawie agencji ratingowych.

(8) COM(2011) 651.

(9) Rozporządzenie w sprawie agencji ratingowych zawiera przepisy umożliwiające właściwym organom i właściwym organom sektorowym wymianę lub wymagające od nich wymiany informacji między sobą lub z EUNGiPW. W szczególności w art. 27 rozporządzenia wymaga się, aby EUNGiPW, właściwe organy sektorowe i właściwe organy wymieniały między sobą informacje potrzebne do celów wypełniania swoich obowiązków na mocy rozporządzenia. Ponadto art. 23c upoważnia EUNGiPW do prowadzenia dochodzeń w odniesieniu do osób zaangażowanych w działalność w zakresie ratingu kredytowego, jak również osób mających inne bliskie i znaczące powiązanie lub związek z agencjami ratingowymi lub działalnością w zakresie ratingu kredytowego. Zgodnie z art. 23b od takich osób fizycznych można również wymagać przekazania do EUNGiPW wszystkich informacji uznanych za niezbędne. Ze wspomnianych przepisów jasno wynika, że na mocy rozporządzenia w sprawie agencji ratingowych będzie się odbywać wymiana danych osobowych.

(10) Wniosek Komisji w sprawie rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku, COM(2011) 651.

(11) Zob. opinia EIOD z dnia 10 lutego 2012 r. odnosząca się do wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie wykorzystywania informacji poufnych i manipulacji na rynku, COM(2011) 651.

(12) Zob. także niedawne opinie EIOD w sprawie pakietu legislacyjnego dotyczącego zmiany przepisów w zakresie bankowości (sekcja 2.2), rynku instrumentów finansowych (MIFID/MIFIR) (sekcja 2.8) i nadużyć na rynku (sekcja 2.5).

(13) Zob. także niedawne opinie EIOD dotyczące rynków instrumentów finansowych (MIFID/MIFIR) (sekcja 2.3) i nadużyć na rynku (sekcja 2.3.2).

(14) Artykuł 23c ust. 5.

(15) Zob. art. 6 ust. 1 dyrektywy 2002/58/WE (Dz.U. L 201 z 31.7.2002, s. 37).

(16) Zgodnie z art. 15 ust. 1 dyrektywy 2002/58/WE takie ograniczenia muszą "stanowić środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (tj. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu, państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie (...)".

(17) Zob. np. sprawy połączone C-92/09 i C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09) przeciwko Land Hessen, dotychczas nieopublikowane w Zb.Orz., pkt 74.

(18) Zazwyczaj są to pracownicy, którym można przypisać połączenia telefoniczne i przesył danych, a także odbiorcy i inni zainteresowani użytkownicy.

(19) Dyrektywa 2003/6/WE Parlamentu Europejskiego i Rady z dnia 28 stycznia 2003 r. w sprawie wykorzystywania informacji poufnych i manipulacji na rynku (nadużyć na rynku) (Dz.U. L 96 z 12.4.2003, s. 16).

(20) Dyrektywa 2004/39/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie rynków instrumentów finansowych zmieniająca dyrektywę Rady 85/611/EWG i 93/6/EWG i dyrektywę 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 93/22/EWG (Dz.U. L 145 z 30.4.2004, s. 1).

(21) Dyrektywa Parlamentu Europejskiego i Rady 2009/65/WE z dnia 13 lipca 2009 r. w sprawie koordynacji przepisów ustawowych, wykonawczych i administracyjnych odnoszących się do przedsiębiorstw zbiorowego inwestowania w zbywalne papiery wartościowe (UCITS) (Dz.U. L 302 z 17.11.2009, s. 32).

(22) Wniosek z dnia 30 kwietnia 2009 r. dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie zarządzających alternatywnymi funduszami inwestycyjnymi i zmieniającej dyrektywy 2004/39/WE i 2009/65/WE, COM(2009) 207.

(23) Wniosek z dnia 15 września 2010 r. dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie krótkiej sprzedaży i wybranych aspektów dotyczących swapów ryzyka kredytowego, COM(2010) 482.

(24) Rozporządzenie Parlamentu Europejskiego i Rady w sprawie integralności i przejrzystości rynku energii, COM(2010) 726.

(25) Zob. na przykład art. 12 ust. 2 dyrektywy w sprawie nadużyć na rynku, wspomnianej w przypisie 20. Zob. także art. 50 dyrektywy w sprawie rynków instrumentów finansowych, wspomnianej w przypisie 21.

(26) Wyrażenie "rejestry połączeń telefonicznych i przesyłu danych" może obejmować szeroki zakres informacji, w tym długość, czas lub objętość komunikatu, zastosowany protokół, lokalizację urządzeń końcowych nadawcy lub odbiorcy, sieć, w której komunikat powstaje lub zostaje zakończony, początek, koniec lub długość połączenia bądź nawet listę odwiedzonych stron internetowych i treść samych komunikatów, o ile są rejestrowane. Wszystkie te informacje stanowią dane osobowe, o ile odnoszą się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych.

(27) Zob. art. 6 ust. 1 lit. c) dyrektywy 95/46/WE i art. 4 ust. 1 lit. c) rozporządzenia (WE) nr 45/2001. Należy także rozważyć, czy można opracować konkretne zabezpieczenia, aby uniknąć przechwytywania i przetwarzania danych dotyczących rzeczywiście prywatnego użytku.

(28) Jak już wspomniano, w dyrektywie w sprawie e-prywatności ustanowiono ogólną zasadę, że dane o ruchu muszą być usunięte lub zanonimizowane, gdy nie są już potrzebne do celów transmisji komunikatu. Takie dane mogą być dalej przetwarzane jedynie do celów naliczania opłat i rozliczeń międzyoperatorskich, przy czym przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę. Wszelkie odstępstwa od tej zasady muszą być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla określonych celów porządku publicznego (tj. bezpieczeństwa krajowego, czyli bezpieczeństwa państwa, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom kryminalnym lub niedozwolonemu używaniu systemów łączności elektronicznej oraz dochodzenia, wykrywania i karania takich czynów).

(29) COM(2011) 747.

(30) Zob. także niedawne opinie EIOD w sprawie pakietu legislacyjnego dotyczącego zmiany przepisów w zakresie bankowości (sekcja 2.4), rynku instrumentów finansowych (MIFID/MIFIR) (sekcja 2.5) i nadużyć na rynku (sekcja 2.6).

(31) Sprawy połączone C-92/09 i C-93/09, Schecke, pkt 56-64.

(32) W tym zakresie zob. także opinia EIOD z dnia 15 kwietnia 2011 r. w sprawie reguł finansowych mających zastosowanie do budżetu rocznego Unii (Dz.U. C 215 z 21.7.2011, s. 13).

(33) Organy krajowe mogłyby np. brać pod uwagę następujące środki: opóźnienie publikacji do czasu odrzucenia odwołania lub też, jak zasugerowano w ocenie skutków, jasne zaznaczenie w decyzji, że możliwe jest jeszcze odwołanie od niej i że daną osobę należy uważać za niewinną do czasu, kiedy decyzja stanie się ostateczna, a także publikacja sprostowania w przypadkach anulowania decyzji przez sąd.

(34) Zob. opinia EIOD z dnia 10 kwietnia 2007 r. w sprawie finansowania wspólnej polityki rolnej (Dz.U. C 134 z 16.6.2007, s. 1).

(35) W tym zakresie zob. dokument opublikowany przez włoski organ ds. ochrony danych: Personal Data As Also Contained in Records and Documents by Public Administrative Bodies: Guidelines for Their Processing by Public Bodies in Connection with Web-Based Communication and Dissemination, dostępny na stronach internetowych włoskiego organu ds. ochrony danych, http://www.garanteprivacy.it/garante/doc.jsp?ID=1803707

(36) Te obawy mają również związek z bardziej ogólnym prawem do bycia zapomnianym, którego włączenie do nowych ram prawnych ochrony danych osobowych jest przedmiotem dyskusji.

(37) Takie środki i zabezpieczenia mogą obejmować np. wyłączenie indeksowania danych przez zewnętrzne wyszukiwarki.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .