Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu).

Dzienniki UE

Dz.U.UE.C.2021.229.13

Akt nienormatywny
Wersja od: 15 czerwca 2021 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)

(2021/C 229/04)

(Dz.U.UE C z dnia 15 czerwca 2021 r.)

W dniu 24 września 2020 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (COM(2020) 594 final). We wniosku ustanawia się zharmonizowane wymogi dla niektórych uczestników rynku dotyczące ubiegania się o zezwolenie na korzystanie z infrastruktur rynkowych opartych na technologii rejestru cyfrowego (DLT) i uzyskania takiego zezwolenia.

EIOD podkreśla, że ochrona danych osobowych nie stanowi przeszkody dla innowacji, w szczególności dla rozwoju nowych technologii w sektorze finansowym. Jednocześnie przypomina, że środki przyjęte na szczeblu UE w odniesieniu do innowacyjnych technologii obejmujących przetwarzanie danych osobowych muszą być zgodne z ogólnymi zasadami konieczności i proporcjonalności. Ponadto, biorąc pod uwagę brak pełnego obrazu tych nowych technologii, które mają wpływ na nasze społeczeństwo, EIOD uważa, że należy stosować podejście oparte na zasadzie ostrożności.

EIOD zauważa, że w zależności od konfiguracji DLT metadane lub dane transakcyjne w niej przechowywane można uznać za dane osobowe, jeżeli dotyczą one zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Administratorzy danych muszą zatem dokładnie przeanalizować i udokumentować konfigurację DLT w celu ustalenia, czy dane osobowe są przetwarzane w ten sposób, a w konsekwencji operacje podlegają obowiązkom w zakresie ochrony danych.

EIOD podkreśla, że technologia leżąca u podstaw niektórych rejestrów cyfrowych, w szczególności tych, które są publiczne i bez zezwolenia, rodzi zasadnicze pytania dotyczące jej zgodności z wymogami ochrony danych.

EIOD jest zdania, że przed wejściem w życie wniosku należy przeprowadzić dyskusję na temat ogólnej zgodności systemów DLT z ramami ochrony danych.

EIOD zauważa, że w przypadku gdy DLT zawiera dane osobowe wewnątrzłańcuchowe, związane z nimi operacje przetwarzania będą prawdopodobnie spełniały kryteria klasyfikacji operacji przetwarzania jako operacji wysokiego ryzyka. W związku z tym administrator przed przetwarzaniem danych osobowych przeprowadza ocenę skutków dla ochrony danych w odniesieniu do planowanych operacji przetwarzania. Ponadto może być wymagana uprzednia zgoda właściwego organu ochrony danych.

EIOD zaleca, aby wniosek zawierał - w stosownych przypadkach - jako część wniosku o obsługę informacji związanych z infrastrukturą rynkową opartą na DLT, podstawowe informacje dotyczące planowanych operacji przetwarzania. Ponadto zaleca, aby operatorzy infrastruktur rynkowych opartych na DLT publikowali informację o polityce prywatności w tym samym miejscu, w którym znajdują się informacje operacyjne wymagane we wniosku.

EIOD podkreśla, że rozwiązania informatyczne i cybernetyczne przewidziane we wniosku dotyczącym funkcjonowania infrastruktur rynkowych opartych na DLT muszą być również zgodne z obowiązkami określonymi w art. 22 i 32 RODO. 1

Ponadto, w kontekście zgłaszania kwestii operacyjnych przez operatorów infrastruktur rynkowych opartych na DLT, EIOD zaleca przypomnienie w motywie, że w przypadku naruszeń ochrony danych osobowych operator powiadamia o nich również właściwy organ ochrony danych, zgodnie z art. 33 RODO, oraz, w stosownych przypadkach, osoby, których dane dotyczą, zgodnie z art. 34 RODO.

3. 

KONTEKST

1.
W dniu 24 września 2020 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (COM(2020) 594 final) ("wniosek"). We wniosku ustanawia się zharmonizowane wymogi dla określonych uczestników rynku, mianowicie firm inwestycyjnych, operatorów rynku lub centralnych depozytów papierów wartościowych, dotyczące ubiegania się o zezwolenie na korzystanie z infrastruktur rynkowych opartych na technologii rejestru cyfrowego ("infrastruktura rynkowa oparta na DLT") i uzyskania takiego zezwolenia w nadzorowanym środowisku z zastosowaniem szczególnych wyłączeń w zakresie zgodności z przepisami finansowymi. W szczególności wniosek ma cztery cele: zagwarantowanie pewności prawa dla kryptoaktywów, zapewnienie stabilności finansowej, ochrona konsumentów i inwestorów oraz umożliwienie innowacji w zakresie wykorzystania technologii blockchain, technologii rozproszonego rejestru i kryptoaktywów.
2.
Niniejszy wniosek jest częścią pakietu, który obejmuje wniosek dotyczący rozporządzenia w sprawie tworzenia rynków kryptoaktywów 2  ("rozporządzenie MICA"), wniosek w sprawie operacyjnej odporności cyfrowej 3  ("rozporządzenie DORA") oraz wniosek w sprawie określenia lub zmiany niektórych powiązanych unijnych przepisów dotyczących usług finansowych 4 . EIOD spodziewa się również konsultacji w sprawie innych rozporządzeń wchodzących w skład pakietu zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725.
3.
W dniu 26 lutego 2021 r. Komisja Europejska zwróciła się do Europejskiego Inspektora Ochrony Danych ("EIOD") o wydanie opinii w sprawie wniosku, zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725. Uwagi te ograniczają się do przepisów wniosku, które są istotne z punktu widzenia ochrony danych.

5. 

WNIOSKI

W związku z powyższym EIOD:
przypomina, że ochrona danych osobowych nie stanowi przeszkody dla innowacji, w szczególności dla rozwoju nowych technologii, zwłaszcza w sektorze finansowym;
podkreśla, że technologia leżąca u podstaw niektórych rejestrów cyfrowych, w szczególności tych, które są publiczne i bez zezwolenia, rodzi zasadnicze pytania koncepcyjne w odniesieniu do wymogów w zakresie ochrony danych; zaleca zatem, by przed wejściem wniosku w życie odbyła się dyskusja na temat możliwego sposobu zapewnienia kompatybilności systemów DLT z ramami ochrony danych;
podkreśla, że kryptoaktywa będące przedmiotem obrotu na infrastrukturach rynkowych opartych na DLT objętych wnioskiem powinny być tylko tymi, które wykorzystują konfigurację DLT zgodną z ramami ochrony danych;
sugeruje, by w ramach informacji wymaganych przez operatora w kontekście jego stosowania do obsługi infrastruktury rynkowej opartej na DLT, w stosownych przypadkach, uwzględnić również wykaz przewidywanych operacji przetwarzania obejmujących dane osobowe, podział ról i obowiązków każdego operatora zgodnie z RODO w ramach infrastruktury rynkowej opartej na DLT, a także główne przewidywane zagrożenia i strategie ograniczania ryzyka w odniesieniu do ochrony danych;
podkreśla, że rozwiązania informatyczne i cybernetyczne przewidziane we wniosku dotyczącym funkcjonowania infrastruktur rynkowych opartych na DLT muszą być również zgodne z obowiązkami określonymi w art. 22 i 32 RODO;
zaleca przypomnienie w motywie, w kontekście zgłaszania kwestii operacyjnych przez operatorów infrastruktur rynkowych opartych na DLT, że w przypadku naruszeń ochrony danych osobowych operator powiadamia o nich również właściwy organ nadzorczy ds. ochrony danych, zgodnie z art. 33 RODO, oraz, w stosownych przypadkach, osoby, których dane dotyczą, zgodnie z art. 34 RODO.

Bruksela, 23 kwietnia 2021 r.

Wojciech Rafał WIEWIÓROWSKI

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
2 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów oraz zmieniającego dyrektywę (UE) 2019/1937, CoM/2020/593 final. Dostępny pod adresem: EUR-Lex - 52020PC0593 - PL - EUR-Lex (europa.eu).
3 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014, COM/2020/595 final, dostępny pod adresem: EUR-Lex - 52020PC0595 - PL - EUR-Lex (europa.eu).
4 Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341, COM/2020/596 final. Dostępny pod adresem: EUR-Lex - 52020PC0596 - PL - EUR-Lex (europa.eu).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .