Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu).
Dz.U.UE.C.2021.229.13
Akt nienormatywnyStreszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru
(2021/C 229/04)
(Dz.U.UE C z dnia 15 czerwca 2021 r.)
W dniu 24 września 2020 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (COM(2020) 594 final). We wniosku ustanawia się zharmonizowane wymogi dla niektórych uczestników rynku dotyczące ubiegania się o zezwolenie na korzystanie z infrastruktur rynkowych opartych na technologii rejestru cyfrowego (DLT) i uzyskania takiego zezwolenia.
EIOD podkreśla, że ochrona danych osobowych nie stanowi przeszkody dla innowacji, w szczególności dla rozwoju nowych technologii w sektorze finansowym. Jednocześnie przypomina, że środki przyjęte na szczeblu UE w odniesieniu do innowacyjnych technologii obejmujących przetwarzanie danych osobowych muszą być zgodne z ogólnymi zasadami konieczności i proporcjonalności. Ponadto, biorąc pod uwagę brak pełnego obrazu tych nowych technologii, które mają wpływ na nasze społeczeństwo, EIOD uważa, że należy stosować podejście oparte na zasadzie ostrożności.
EIOD zauważa, że w zależności od konfiguracji DLT metadane lub dane transakcyjne w niej przechowywane można uznać za dane osobowe, jeżeli dotyczą one zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Administratorzy danych muszą zatem dokładnie przeanalizować i udokumentować konfigurację DLT w celu ustalenia, czy dane osobowe są przetwarzane w ten sposób, a w konsekwencji operacje podlegają obowiązkom w zakresie ochrony danych.
EIOD podkreśla, że technologia leżąca u podstaw niektórych rejestrów cyfrowych, w szczególności tych, które są publiczne i bez zezwolenia, rodzi zasadnicze pytania dotyczące jej zgodności z wymogami ochrony danych.
EIOD jest zdania, że przed wejściem w życie wniosku należy przeprowadzić dyskusję na temat ogólnej zgodności systemów DLT z ramami ochrony danych.
EIOD zauważa, że w przypadku gdy DLT zawiera dane osobowe wewnątrzłańcuchowe, związane z nimi operacje przetwarzania będą prawdopodobnie spełniały kryteria klasyfikacji operacji przetwarzania jako operacji wysokiego ryzyka. W związku z tym administrator przed przetwarzaniem danych osobowych przeprowadza ocenę skutków dla ochrony danych w odniesieniu do planowanych operacji przetwarzania. Ponadto może być wymagana uprzednia zgoda właściwego organu ochrony danych.
EIOD zaleca, aby wniosek zawierał - w stosownych przypadkach - jako część wniosku o obsługę informacji związanych z infrastrukturą rynkową opartą na DLT, podstawowe informacje dotyczące planowanych operacji przetwarzania. Ponadto zaleca, aby operatorzy infrastruktur rynkowych opartych na DLT publikowali informację o polityce prywatności w tym samym miejscu, w którym znajdują się informacje operacyjne wymagane we wniosku.
EIOD podkreśla, że rozwiązania informatyczne i cybernetyczne przewidziane we wniosku dotyczącym funkcjonowania infrastruktur rynkowych opartych na DLT muszą być również zgodne z obowiązkami określonymi w art. 22 i 32 RODO. 1
Ponadto, w kontekście zgłaszania kwestii operacyjnych przez operatorów infrastruktur rynkowych opartych na DLT, EIOD zaleca przypomnienie w motywie, że w przypadku naruszeń ochrony danych osobowych operator powiadamia o nich również właściwy organ ochrony danych, zgodnie z art. 33 RODO, oraz, w stosownych przypadkach, osoby, których dane dotyczą, zgodnie z art. 34 RODO.