Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu).
Dz.U.UE.C.2021.229.16
Akt nienormatywnyStreszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014
(2021/C 229/05)
(Dz.U.UE C z dnia 15 czerwca 2021 r.)
Komisja Europejska przyjęła w dniu 24 września 2020 r. wniosek dotyczący rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 ("Wniosek"). Wniosek wprowadza kompleksowe ramy operacyjnej odporności cyfrowej dla podmiotów sektora finansowego UE w oparciu o pięć kluczowych obszarów, a mianowicie: zarządzanie ryzykiem związanym z ICT (rozdział II), zarządzanie incydentami, ich klasyfikację i zgłaszanie (rozdział III), testowanie operacyjnej odporności cyfrowej (rozdział IV), zarządzanie ryzykiem i regulacje dotyczące zewnętrznych dostawców krytycznych usług ICT (rozdział V) oraz wymianę informacji (rozdział VI).
Europejski Inspektor Ochrony Danych z zadowoleniem przyjmuje cele wniosku i uważa, że dla stabilności rynku finansowego Unii Europejskiej zasadnicze znaczenie ma to, by instytucje finansowe posiadały solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem w zakresie ICT.
Podkreśla konieczność zapewnienia, by wszelkie operacje przetwarzania danych w kontekście działalności podmiotów finansowych opierały się na jednej z podstaw prawnych określonych w art. 6 RODO 1 . Zaznacza też, jak ważne dla podmiotów finansowych jest włączenie do ich ram operacyjnej odporności cyfrowej silnego mechanizmu zarządzania ochroną danych, w którym wyraźnie określa się role i obowiązki administratora i podmiotu przetwarzającego, a także czynności przetwarzania, które zostaną przeprowadzone.
W odniesieniu do międzynarodowego przekazywania danych zewnętrznym dostawcom usług ICT mającym siedzibę w państwie trzecim Europejski Inspektor Ochrony Danych przypomina, że wszelkie międzynarodowe operacje przekazywania danych osobowych muszą spełniać wymogi rozdziału V RODO zgodnie z wykładnią zawartą w orzecznictwie TSUE, w tym w wyroku w sprawie Schrems II.
Odnosząc się do ustaleń dotyczących wymiany informacji wywiadowczych i informacji o cyberzagrożeniach między podmiotami finansowymi, Inspektor podkreśla, że ochrona danych osobowych nie stanowi przeszkody dla wymiany informacji wywiadowczych w sektorze finansowym. Wymogi dotyczące ochrony danych powinny być raczej postrzegane jako podstawowy warunek, który należy spełnić, aby zapewnić ochronę praw osób fizycznych. W tym kontekście EIOD zachęca do przyjęcia również w sektorze finansowym kodeksów postępowania zgodnie z art. 40 RODO, w szczególności po to, aby jasno określić role głównych zainteresowanych stron w przetwarzaniu danych osobowych, a także zapewnić uczciwe i przejrzyste przetwarzanie.
EIOD zaleca, aby w odniesieniu do publikacji grzywien administracyjnych wśród kryteriów branych pod uwagę przez właściwy organ uwzględnić ryzyko dla ochrony danych osobowych osób fizycznych. Przypomina też, że zasada ograniczenia przechowywania danych wymaga, by były one przechowywane nie dłużej niż jest to konieczne do celów, dla których dane te są przetwarzane.
Inspektor podkreśla w odniesieniu do zgłaszania przypadków naruszenia danych, że brzmienie motywu 42 wniosku jest niezgodne z art. 33 RODO. W związku z tym zaleca usunięcie odniesienia do organów ochrony danych z motywu 42 wniosku, jak również nieznaczną zmianę art. 17 wniosku zgodnie z zaleceniami zawartymi w niniejszej opinii.