Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony depozytów, współpracy transgranicznej i przejrzystości (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)

Wniosek ma na celu poprawę ochrony deponentów w przypadku upadłości banków w Unii, przy jednoczesnej ochronie istotnych interesów finansowych Unii i jej państw członkowskich.

Wniosek dąży do osiągnięcia wspomnianych celów poprzez zapewnienie deponentom stabilnego poziomu ochrony, zwiększenie konwergencji praktyk systemów gwarancji depozytów oraz poprawę krajowej współpracy transgranicznej między systemami gwarancji depozytów, a także między tymi ostatnimi a instytucjami kredytowymi będącymi członkiem i jednostkami analityki finansowej (FIU). Wiąże się to z dostosowaniem dyrektywy 2014/49/UE do istniejących i przyszłych przepisów UE dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CFT).

Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 19 kwietnia 2023 r. zgodnie z art. 42 ust. 1 EUDPR. EIOD zaleca dodanie odniesienia do tych konsultacji w motywach wniosku.

Wniosek obejmowałby wymianę danych osobowych deponentów lub innych osób, co do których istnieją podejrzenia o przestępstwa związane z praniem pieniędzy lub finansowaniem terroryzmu między jednostkami analityki finansowej, wyznaczonymi organami i systemami gwarancji depozytów. W niniejszej opinii uwzględniono zagrożenia dla praw podstawowych i wolności osób, których dane dotyczą, mogące wynikać z tej wymiany danych, i przedstawiono zalecenia dotyczące różnych scenariuszy wymiany danych zgodnie z wnioskiem. W tym względzie EIOD formułuje szereg zaleceń.

W szczególności EIOD zaleca zdefiniowanie kategorii danych podlegających przetwarzaniu, osób, których dane dotyczą, a także jasne określenie celu lub celów przetwarzania.

EIOD pragnie również zwrócić uwagę Komisji na potrzebę skonsultowania się z EIOD przed przyjęciem jakichkolwiek aktów delegowanych zatwierdzających projekty regulacyjnych standardów technicznych opracowanych przez Europejski Urząd Nadzoru Bankowego (EUNB), które wiązałyby się z przetwarzaniem danych osobowych.

1. WPROWADZENIE

1. 18 kwietnia 2023 r. Komisja Europejska wydała wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmie

niającej dyrektywę 2014/49/UE w odniesieniu do zakresu ochrony depozytów, wykorzystania funduszy systemów gwarancji depozytów, współpracy transgranicznej i przejrzystości 1  ("wniosek").

2. Zgodnie z przeprowadzoną przez Komisję Europejską oceną skutków dyrektywa w sprawie systemów gwarancji depozytów 2  okazała się zasadniczo skuteczna w podnoszeniu poziomu ochrony deponentów w całej UE, co jest ważnym celem unii bankowej. W ocenie skutków wykazano jednak, że stosowanie zabezpieczeń przewidzianych w dyrektywie w sprawie systemów gwarancji depozytów pozostaje nierównomierne w poszczególnych krajowych systemach gwarancji depozytów, co podkreśla zarówno potrzebę wprowadzenia zharmonizowanych przepisów w celu wyeliminowania rozbieżności, które mają negatywny wpływ na deponentów, jak i wyjaśnienia zakresu gwarancji dla niektórych rodzajów deponentów 3 . A zatem celem wniosku jest poprawa ram ochrony deponentów z zamiarem zapewnienia spójnego stosowania przepisów i równych warunków działania, przy jednoczesnej ochronie stabilności finansowej i zwiększeniu zaufania deponentów. Wiąże się to z wyjaśnieniem zakresu ochrony deponentów, uregulowaniem rozbieżnych interpretacji warunków korzystania z funduszy systemów gwarancji depozytów w Unii oraz poprawą skuteczności operacyjnej, współpracy transgranicznej i efektywności funkcjonowania systemów gwarancji depozytów 4 .

3. Aby osiągnąć te cele oraz doprecyzować wymogi określone w dyrektywie w sprawie systemów gwarancji depozytów 5 , wniosek zawiera przepisy, które nakładałyby na instytucje kredytowe, systemy gwarancji depozytów i wyznaczone organy 6  obowiązek przetwarzania danych osobowych dotyczących deponentów będących osobami fizycznymi lub potencjalnie przedstawicieli deponentów będących osobami prawnymi. W szczególności:

a. Instytucje kredytowe mogą nie znać klientów uprawnionych do wypłaty depozytów przechowywanych na ich rachunkach lub nie być w stanie sprawdzić i zarejestrować indywidualnych danych tych klientów 7 . W związku z tym nowy art. 8b wprowadzony we wniosku umożliwiłby instytucjom kredytowym ocenę, czy depozyty ze środkami klientów są objęte systemami gwarancji depozytów, umożliwiając im gromadzenie określonych danych osobowych dotyczących ich klientów. Kategorie danych osobowych, które mają być przetwarzane w tym celu, zostaną określone w projektach regulacyjnych standardów technicznych opracowanych przez Europejski Urząd Nadzoru Bankowego (EUNB), określających szczegóły techniczne związane z identyfikacją klientów do celów wypłaty zgodnie z art. 8 dyrektywy w sprawie systemów gwarancji depozytów.

b. Przy wypłacie na rzecz deponentów systemy gwarancji depozytów mogą zaistnieć sytuacje, które budzą obawy związane z praniem pieniędzy, dlatego Komisja Europejska proponuje, aby systemy gwarancji depozytów wstrzymały wypłatę środków deponentowi, gdy dostają one powiadomione, że jednostka analityki finansowej (FIU) zawiesiła transakcję, rachunek bankowy lub płatniczy zgodnie z obowiązującymi przepisami dotyczącymi przeciwdziałania praniu pieniędzy (AML) 8 . Zgodnie z nowym art. 8c ust. 1 wniosku organy wyznaczone na szczeblu państwa członkowskiego jako administratorzy systemu gwarancji depozytów byłyby zobowiązane do informowania systemu gwarancji depozytów o ściśle niezbędnych informacjach otrzymanych od organów nadzoru finansowego o wynikach zastosowania środków należytej staranności wobec klienta zgodnie z systemem przeciwdziałania praniu pieniędzy. Ponadto zgodnie z ust. 3 tego samego artykułu jednostki analityki finansowej powiadamiałyby systemy gwarancji depozytów o swojej decyzji o podjęciu działań przeciw deponentowi zgodnie z przepisami dotyczącymi przeciwdziałania praniu pieniędzy zmienionymi wnioskiem dotyczącym nowej dyrektywy w sprawie przeciwdziałania praniu pieniędzy ("wniosek w sprawie szóstej dyrektywy w sprawie przeciwdziałania praniu pieniędzy") 9 . W przypadku gdy systemy gwarancji depozytów otrzymają takie powiadomienie, art. 8c ust. 3 wniosku wymagałby od nich zawieszenia wypłaty na rzecz deponenta na okres obowiązywania środka nałożonego przez jednostkę analityki finansowej.

c. Nowy art. 16a zaproponowany we wniosku zastąpiłby obecne art. 4 ust. 8 i art. 14 ust. 4 dyrektywy w sprawie systemów gwarancji depozytów, które aktualnie uprawniają systemy gwarancji depozytów do otrzymywania od swoich instytucji kredytowych będących członkiem na żądanie i udostępniania systemom gwarancji depozytów w innych państwach członkowskich wszystkich informacji niezbędnych do przygotowania wypłaty deponentów, w tym tak zwanych "oznaczeń" 10 .

4. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 19 kwietnia 2023 r. zgodnie z art. 42 ust. 1 EUDPR. EIOD zaleca dodanie odniesienia do tych konsultacji w motywach wniosku.

6. WNIOSKI

27. W świetle powyższego EIOD wydaje następujące zalecenia:

(1) włączenie w odpowiednim motywie odniesienia do faktu, że podmioty objęte wnioskiem powinny przestrzegać RODO - oraz, w stosownych przypadkach, EUDPR i dyrektywy o ochronie danych w sprawach karnych - przy wykonywaniu swoich obowiązków wynikających z wniosku;

(2) włączenie motywu, w którym mowa o konsultacjach z EIOD zgodnie z art. 42 ust. 1 EUDPR i niniejszą opinią;

(3) skonsultowanie się z EIOD przed przyjęciem aktu delegowanego, który zatwierdziłby projekt regulacyjnych standardów technicznych EUNB określających kategorie danych osobowych, które systemy gwarancji depozytów są prawnie upoważnione do przetwarzania w kontekście identyfikacji klienta do celów wypłaty depozytu, zgodnie z art. 8b wniosku;

(4) ocena, czy odniesienie do zgodności z dyrektywą 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych 11  ("dyrektywa w sprawie baz danych") w art. 8c ust. 1 jest prawidłowe;

(5) zmiana art. 8c ust. 1 wniosku w celu dalszego zapewnienia, że wymiana danych osobowych między organami nadzoru finansowego a wyznaczonymi organami, a następnie między tymi ostatnimi a systemami gwarancji depozytów jest ograniczona do tego, co jest absolutnie niezbędne, aby umożliwić systemom gwarancji depozytów podjęcie decyzji o tym, czy powinny zawiesić wypłatę depozytów w przypadku obaw dotyczących prania pieniędzy lub finansowania terroryzmu;

(6) uwzględnienie w art. 8c ust. 2 wniosku odpowiednich zabezpieczeń praw i wolności osób, których dane dotyczą, w tym definicji kategorii danych osobowych, które mają być udostępniane lub uzyskiwane przez systemy gwarancji depozytów, źródeł, z których takie dane osobowe powinny być pozyskiwane, odpowiednich obowiązków dotyczących ograniczenia celu oraz odpowiedniego okresu przechowywania danych;

(7) określenie kategorii danych osobowych i osób, których dane dotyczą, w powiadomieniach przekazywanych przez jednostki analityki finansowej do systemów gwarancji depozytów na podstawie art. 8c ust. 3 wniosku, oraz że takie powiadomienia miałyby miejsce wyłącznie w przypadku upadłości instytucji kredytowej klienta lub beneficjenta rzeczywistego, co powinno obejmować wyłącznie środki podjęte wobec deponentów w zakresie, w jakim udostępnianie danych osobowych jest konieczne i proporcjonalne do przewidywanego celu, jakim jest zapobieganie wypłatom na rzecz deponentów, wobec których jednostki analityki finansowej podjęły działania na podstawie wniosku w sprawie szóstej dyrektywy w sprawie przeciwdziałania praniu pieniędzy;

(8) Komisja powinna skonsultować się z EIOD przed przyjęciem aktu delegowanego, który zatwierdzałby standardy techniczne EUNB określające takie kategorie danych osobowych, które instytucje kredytowe byłyby zobowiązane udostępniać systemom gwarancji depozytów do celów wymienionych w art. 16a wniosku.

Bruksela, 12 czerwca 2023 r.