22.7.2011   

FI

Euroopan unionin virallinen lehti

C 216/9

1.

Komissio hyväksyi 15. syyskuuta 2010 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi OTC-johdannaisista, keskusvastapuolista ja kauppatietorekistereistä (jäljempänä ’ehdotus’) (3). Ehdotuksen tavoitteena on ennen kaikkea lisätä OTC-johdannaisten markkinoiden turvallisuutta ja tehokkuutta yhteisillä säännöillä.

2.

Komissio ei ole kuullut ehdotuksesta Euroopan tietosuojavaltuutettua, vaikka asetuksen (EY) N:o 45/2001 (jäljempänä ’asetus (EY) N:o 45/2001’) 28 artiklan 2 kohdassa näin edellytetään. Euroopan tietosuojavaltuutettu on tästä syystä toiminut omasta aloitteestaan ja antanut asetuksen (EY) N:o 45/2001 41 artiklan 2 kohtaan perustuvan lausuntonsa.

3.

Euroopan tietosuojavaltuutettu on tietoinen siitä, että lausunto annetaan myöhäisessä vaiheessa lainsäädäntöprosessia, mutta pitää lausunnon antamista kuitenkin perusteltuna ja hyödyllisenä, sillä ehdotukseen sisältyy merkittäviä tietosuojakysymyksiä. Lisäksi lausunnossa esitetyillä näkökohdilla on välitön merkitys paitsi nykyisen lainsäädännön soveltamiselle myös muille vireillä oleville ja tuleville ehdotuksille, jotka sisältävät samanlaisia säännöksiä, kuten jäljempänä 3.4 kohdassa selitetään.

4.

Komissio käynnisti finanssikriisin alussa finanssivalvontaa koskevan lainsäädäntökehyksen uudelleentarkastelun, jonka tavoitteena oli vastata valvonnan alalla sekä yksittäistapauksissa että koko finanssijärjestelmässä paljastuneisiin merkittäviin puutteisiin. Alalla on äskettäin hyväksytty useita lainsäädäntöehdotuksia nykyisten finanssialan valvontajärjestelyjen lujittamiseksi sekä koordinoinnin ja yhteistyön parantamiseksi EU:n tasolla.

5.

Finanssivalvonnan uudistuksessa otettiin käyttöön uusimuotoinen Euroopan finanssivalvontakehys. Se koostuu Euroopan järjestelmäriskikomiteasta (4) ja Euroopan finanssivalvojien järjestelmästä (EFVJ), jossa kansalliset finanssivalvojat ovat verkottuneet uusien Euroopan valvontaviranomaisten eli Euroopan pankkiviranomaisen (EPV) (5), Euroopan vakuutus- ja työeläkeviranomaisen (EVTEV) (6) ja Euroopan arvopaperimarkkinaviranomaisen (EAMV) (7) kanssa. Sen lisäksi komissio toteutti joitakin erityisaloitteita sääntelyuudistuksen kohdistamiseksi tietyille osa-alueille tai tiettyihin finanssituotteisiin.

6.

Yksi näistä erityisaloitteista on nyt tarkasteltavana oleva ehdotus, joka koskee OTC-johdannaisia. Ne ovat johdannaisia (8), joilla ei käydä kauppaa pörssissä vaan joista neuvotellaan yksityisesti kahden osapuolen välillä. Ehdotuksessa finanssialalla toimivat vastapuolet ja finanssialan ulkopuoliset vastapuolet, jotka ylittävät tietyt kynnysarvot, velvoitetaan selvittämään kaikki vakioidut OTC-johdannaiset keskusvastapuoliyhteisöissä. Lisäksi finanssialalla toimivat vastapuolet ja finanssialan ulkopuoliset vastapuolet velvoitetaan ilmoittamaan tiedot tekemistään johdannaissopimuksista ja niiden muutoksista rekisteröidylle kauppatietorekisterille. Ehdotuksessa asetetaan keskusvastapuolille yhdenmukaistetut organisaatiovaatimukset ja vakavaraisuusvaatimukset sekä velvoitetaan kauppatietorekisterit noudattamaan tiettyjä organisaatio- ja toimintavaatimuksia. Keskusvastapuolten toimilupien myöntäminen ja valvonta jää kansallisten toimivaltaisten viranomaisten vastuulle, ja EAMV vastaa sekä kauppatietorekisterien rekisteröinnistä että niiden valvonnasta.

7.

Ehdotuksen 61 artiklan 2 kohdan d alakohdan mukaan EAMV:lla on tehtäviensä suorittamiseksi valtuudet ”vaatia puhelin- ja tietoliikennetietoja” (kursivointi tässä). Kuten jäljempänä selitetään, tämän säännöksen soveltamisala – etenkin ”puhelin- ja tietoliikennetietojen” täsmällinen merkitys – on epäselvä. Vaikuttaa kuitenkin todennäköiseltä (tai ainakaan ei voida sulkea pois sitä), että kyseisiin puhelin- ja tietoliikennetietoihin sisältyy direktiivissä 95/46/EY ja asetuksessa (EY) N:o 45/2001 ja soveltuvin osin direktiivissä 2002/58/EY (sellaisena kuin se on muutettuna direktiivillä 2009/136/EY, jäljempänä ’sähköisen viestinnän tietosuojadirektiivi’) tarkoitettuja henkilötietoja, toisin sanoen tunnistettujen tai tunnistettavissa olevien luonnollisten henkilöiden (9) puhelin- ja tietoliikenteeseen liittyviä tietoja. Sikäli kuin näin on, ehdotuksessa olisi syytä varmistaa, että kaikkia kyseisissä direktiiveissä ja asetuksessa säädettyjä henkilötietojen oikeudenmukaista ja laillista käsittelyä koskevia periaatteita noudatetaan.

8.

Sähköisten viestintävälineiden käyttöä koskeviin tietoihin voi sisältyä monenlaisia henkilötietoja, joita ovat esimerkiksi puhelun soittajan ja vastaajan henkilöllisyys, puhelun ajankohta ja kesto, käytetty verkko ja kannettavissa laitteissa myös käyttäjän sijainti. Tietyt Internetin ja sähköpostin käyttöön liittyvät liikennetiedot (esim. luettelo vierailluista sivustoista) voivat paljastaa tärkeitä tietoja jopa viestinnän sisällöstä. Liikennetietojen käsittely voi lisäksi rikkoa kirjesalaisuutta. Tästä syystä direktiivissä 2002/58/EY säädetään periaatteesta, jonka mukaan liikennetiedot on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen (10). Jäsenvaltiot voivat sisällyttää kansallisiin lainsäädäntöihinsä poikkeuksia tähän periaatteeseen jonkin tietyn oikeutetun tavoitteen saavuttamiseksi, mutta ne ovat sallittuja vain, jos ne ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisessa yhteiskunnassa (11).

9.

Euroopan tietosuojavaltuutettu myöntää, että komission tässä tapauksessa asettamat tavoitteet ovat oikeutettuja. Tietosuojavaltuutettu ymmärtää tarpeen toteuttaa aloitteita, joilla lujitetaan finanssimarkkinoiden valvontaa markkinoiden vakauden säilyttämiseksi sekä sijoittajien ja koko talouden suojelun parantamiseksi. Koska liikennetietoihin suoraan kohdistuvat tutkintavaltuudet voivat loukata yksityisyyden suojaa, niiden on perustuttava tarpeellisuuden ja oikeasuhteisuuden periaatteisiin. Tutkintavaltuuksien on toisin sanoen sovelluttava niille asetettujen tavoitteiden saavuttamiseen, eikä niillä saa ylittää sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi (12). Tästä näkökulmasta tarkasteltuna on tärkeää, että tutkintavaltuudet muotoillaan selkeästi määrittämällä niiden henkilöllinen ja aineellinen soveltamisala sekä se, missä tilanteissa ja millä edellytyksillä niitä voidaan käyttää. Lisäksi olisi säädettävä riittävistä suojatoimista väärinkäytön riskiä vastaan.

10.

Ehdotuksen 61 artiklan 2 kohdan d alakohdan mukaan ”EAMV:llä on 51–60 artiklan sekä 62 ja 63 artiklan mukaisten tehtäviensä (esim. kauppatietorekisterien valvontaan liittyvät velvollisuudet) suorittamiseksi valtuudet – vaatia puhelin- ja tietoliikennetietoja”. Väljän muotoilunsa vuoksi säännös herättää useita aineelliseen ja henkilölliseen soveltamisalaan liittyviä kysymyksiä.

11.

Ensinnäkään ei ole täysin selvää, mitä ”puhelin- ja tietoliikennetiedoilla” tarkoitetaan. Tätä käsitettä on sen vuoksi syytä tarkentaa. Käsite saattaa viitata sellaisiin puhelin- ja tietoliikennetietoihin, joita kauppatietorekistereillä on velvollisuus säilyttää osana toimintaansa. Ehdotukseen sisältyy useita säännöksiä, jotka koskevat tietojen säilyttämistä kauppatietorekistereissä (13). Missään niistä ei kuitenkaan täsmennetä, onko kauppatietorekistereissä säilytettävä puhelin- ja tietoliikennetietoja ja minkälaisista tiedoista on kysymys (14). Jos kyseisellä käsitteellä viitataan kauppatietorekistereissä säilytettäviin tietoihin, on erittäin tärkeää määritellä tarkasti puhelin- ja tietoliikennetiedot, joita rekistereissä on säilytettävä ja joita EAMV:llä on valtuudet vaatia. Suhteellisuusperiaatteen mukaan henkilötietojen on oltava asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja suhteessa valvontatarkoituksiin, joihin niitä käsitellään (15).

12.

Säännöksiä olisi tässä tapauksessa aiheellista täsmentää erityisesti, kun otetaan huomioon suuret sakot ja uhkasakot, joita kauppatietorekistereille ja muille oikeushenkilöille (uhkasakkojen osalta myös luonnollisille henkilöille) voidaan määrätä asetusehdotuksen säännösten rikkomisesta (ks. 55 ja 56 artikla). Sakon määrä saa olla enintään 20 prosenttia kauppatietorekisterin edellisen tilikauden vuosituloista tai vuosittaisesta liikevaihdosta. Tämä enimmäismäärä on kaksi kertaa niin suuri kuin EU:n kilpailuoikeuden rikkomisista säädettyjen sakkojen enimmäismäärä.

13.

Lisäksi on huomattava, että 67 artiklan 4 kohdassa komissiolle siirretään valtuudet hyväksyä teknisiä sääntelystandardeja, joissa määritetään tarkemmin tiedot, joita kauppatietorekisterien on annettava EAMV:lle ja muille viranomaisille. Tätä säännöstä voitaisiin kenties käyttää tietojen säilyttämistä kauppatietorekistereissä koskevien vaatimusten ja siten välillisesti myös EAMV:n antamien puhelin- ja tietoliikennetietojen tutkintavaltuuksien täsmentämisessä. SEUT-sopimuksen 290 artiklassa määrätään, että lainsäätämisjärjestyksessä hyväksyttävässä säädöksessä voidaan siirtää komissiolle valta antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia. Euroopan tietosuojavaltuutetun näkemyksen mukaan liikennetietojen tutkintavaltuuksien tarkan soveltamisalan rajaamista ei voida pitää asetuksen muuna kuin sen keskeisenä osana. Niiden aineellinen soveltamisala olisi sen vuoksi määritettävä suoraan asetuksen tekstissä eikä myöhemmillä delegoiduilla säädöksillä.

14.

Kyseisen säännöksen henkilöllinen soveltamisala herättää samanlaisia kysymyksiä. Ehdotuksen 61 artiklan 2 kohdan d alakohdassa ei täsmennetä, miltä tahoilta puhelin- ja tietoliikennetietoja on mahdollista vaatia. Epäselvää on etenkin se, voitaisiinko puhelin- ja tietoliikennetietoja vaatia ainoastaan kauppatietorekistereiltä (16). Koska säännöksen tarkoituksena on valtuuttaa EAMV valvomaan kauppatietorekistereitä, Euroopan tietosuojavaltuutettu katsoo, että tietojen vaatimista koskevat valtuudet olisi rajattava koskemaan yksinomaan kauppatietorekistereitä.

15.

Euroopan tietosuojavaltuutettu tulkitsee, ettei 61 artiklan 2 kohdan d alakohdan tarkoituksena ole valtuuttaa EAMV:tä vaatimaan liikennetietoja suoraan televiestintäyrityksiltä. Se näyttäisi olevan loogisin johtopäätös etenkin, kun ehdotuksessa ei viitata sanallakaan teleliikenneyritysten hallussa oleviin tietoihin eikä sähköisen viestinnän tietosuojadirektiivin vaatimuksiin, jotka mainittiin edellä 8 kohdassa (17). Selvyyden vuoksi Euroopan tietosuojavaltuutettu kuitenkin suosittaa, että tämä johtopäätös ilmaistaisiin nimenomaisesti 61 artiklan 2 kohdassa tai vähintäänkin ehdotetun asetuksen johdanto-osassa.

16.

Ehdotuksen 61 artiklan 2 kohdan d alakohdassa ei määritellä, missä tilanteissa ja millä edellytyksillä puhelin- ja tietoliikennetietoja voidaan vaatia. Siinä ei myöskään säädetä riittävistä menettelyllisistä takeista tai suojatoimista väärinkäytön riskiä vastaan. Euroopan tietosuojavaltuutettu esittää seuraavassa joitakin konkreettisia tähän liittyviä ehdotuksia.

17.

Valvontaviranomaisten valtuuksissa vaatia puhelin- ja tietoliikennetietoja ei sinänsä ole mitään uutta EU:n lainsäädännössä, sillä siitä säädetään monissa nykyisin voimassa olevissa finanssialan direktiiveissä ja asetuksissa. Erityisesti markkinoiden väärinkäyttöä koskeva direktiivi (20), rahoitusvälineiden markkinoista annettu direktiivi (21), yhteissijoitusdirektiivi (22), luottoluokituslaitoksia koskeva nykyinen asetus (23) sisältävät jokainen vastaavia säännöksiä. Sama koskee muutamia muitakin komission äskettäin hyväksymiä ehdotuksia, kuten ehdotusta direktiiviksi vaihtoehtoisten sijoitusrahastojen hoitajista (24), ehdotusta asetukseksi luottoluokituslaitoksista annetun asetuksen muuttamiseksi (25), ehdotusta asetukseksi lyhyeksi myynnistä ja tietyistä luottoriskinvaihtosopimusten osa-alueista (26) sekä ehdotusta asetukseksi energiamarkkinoiden eheydestä ja läpinäkyvyydestä (27).

18.

Voimassa olevissa säädöksissä ja säädösehdotuksissa pitäisi tehdä ero kansallisille viranomaisille myönnettyjen tutkintavaltuuksien ja EU:n viranomaisille myönnettävien tutkintavaltuuksien välillä. Useissa oikeudellisissa välineissä jäsenvaltiot velvoitetaan myöntämään kansallisille viranomaisille valtuudet vaatia puhelin- ja tietoliikennetietoja ”kansallisen lainsäädännön mukaisesti” (28). Tämä merkitsee, että kyseistä velvoitetta täytäntöön pantaessa on sovellettava kansallista lainsäädäntöä, kuten direktiivien 95/46/EY ja 2002/58/EY kansallisia täytäntöönpanosäännöksiä ja muita kansallisia lakeja, joihin sisältyy kansallisia valvonta- ja tutkintaviranomaisia koskevia menettelyllisiä takeita.

19.

Tällaista edellytystä ei kuitenkaan ole sisällytetty niihin oikeudellisiin välineisiin, joissa EU:n viranomaisille annetaan suoraan valtuudet vaatia puhelin- ja tietoliikennetietoja, kuten esimerkiksi tähän OTC-johdannaisia koskevaan ehdotukseen tai edellä mainittuun ehdotukseen asetukseksi luottolaitoksia koskevan asetuksen (EY) N:o 1060/2009 muuttamisesta (jäljempänä ’luottoluokituslaitoksia koskeva asetusehdotus’). Näissä tapauksissa kyseisiä oikeudellisia välineitä on sitäkin suuremmalla syyllä aiheellista täsmentää määrittämällä valtuuksien henkilöllinen ja aineellinen soveltamisala ja se, missä tilanteissa ja millä edellytyksillä niitä voidaan käyttää, sekä ottamalla käyttöön asianmukaiset suojatoimet väärinkäyttöä vastaan.

20.

Tältä osin lausunnossa esitetyillä näkökohdilla on myös laajempi merkitys, vaikka ne liittyvätkin ensisijaisesti OTC-johdannaisia koskevaan ehdotukseen. Euroopan tietosuojavaltuutettu on tietoinen siitä, että jo hyväksytyn tai lähellä hyväksymistä olevan lainsäädännön osalta nämä huomiot saattavat tulla liian myöhään. Tietosuojavaltuutettu kuitenkin kehottaa toimielimiä harkitsemaan, voitaisiinko muita vireillä olevia ehdotuksia vielä muuttaa tässä lausunnossa mainittujen ongelmien huomioon ottamiseksi. Jo hyväksyttyjen säädösten osalta Euroopan tietosuojavaltuutettu pyytää toimielimiä harkitsemaan mahdollisuutta selkiyttää niihin sisältyviä säännöksiä esimerkiksi tarkentamalla suoraan tai välillisesti niiden soveltamisalaa delegoiduilla säädöksillä tai täytäntöönpanosäädöksillä, esimerkiksi säädöksillä, joissa annetaan yksityiskohtaiset säännökset tietojen säilyttämistä koskevista vaatimuksista, taikka tulkitsevilla tiedonannoilla tai muilla vastaavilla asiakirjoilla (29). Euroopan tietosuojavaltuutettu odottaa komission kuulevan häntä hyvissä ajoin menettelyjen kuluessa.

21.

Euroopan tietosuojavaltuutettu katsoo aiheelliseksi esittää joitakin huomautuksia myös ehdotuksen muista säännöksistä, jotka koskevat yksilöiden oikeutta yksityisyyteen ja tietosuojaan.

22.

Ehdotuksen johdanto-osan 48 perustelukappaleessa todetaan aivan oikein, että on olennaisen tärkeää, että jäsenvaltiot ja EAMV suojelevat henkilötietoja käsitellessään luonnollisten henkilöiden oikeutta yksityisyyteen direktiivin 95/46/EY mukaisesti. Euroopan tietosuojavaltuutettu on tyytyväinen, että perustelukappaleessa viitataan kyseiseen direktiiviin. Kyseisen perustelukappaleen merkitystä voitaisiin kuitenkin vielä tarkentaa mainitsemalla, että asetuksen säännökset eivät rajoita direktiivin 95/46/EY kansallisten täytäntöönpanosäännösten soveltamista. Tähän olisi mieluiten viitattava myös jossakin aineellisessa säännöksessä.

23.

Lisäksi Euroopan tietosuojavaltuutettu huomauttaa, että EAMV on EU:n elin, johon sovelletaan asetusta (EY) N:o 45/2001 ja jonka toimintaa Euroopan tietosuojavaltuutettu valvoo. Sen vuoksi ehdotukseen on suositeltavaa lisätä nimenomainen viittaus asetukseen (EY) N:o 45/2001 ja täsmentää, etteivät ehdotuksen säännökset rajoita tämän asetuksen soveltamista.

24.

Yksi ehdotetun asetuksen tärkeimmistä tavoitteista on lisätä OTC-johdannaismarkkinoiden avoimuutta ja parantaa niiden sääntelyn valvontaa. Tämän tavoitteen huomioon ottaen ehdotuksessa velvoitetaan tietyt kynnysarvot ylittävät finanssialalla toimivat vastapuolet ja finanssialan ulkopuoliset vastapuolet ilmoittamaan tiedot tekemistään OCT-johdannaissopimuksista ja niiden mahdollisesta muuttamisesta tai päättämisestä rekisteröidylle kauppatietorekisterille (6 artikla) (30). Kauppatietorekisterit velvoitetaan säilyttämään nämä tiedot ja antamaan ne eri viranomaisten saataville sääntelytarkoituksia varten (67 artikla) (31).

25.

Jos jompikumpi selvitys- ja ilmoitusvelvollisuuksien kohteena olevan johdannaissopimuksen osapuolista on luonnollinen henkilö, häntä koskevia tietoja on pidettävä direktiivin 95/46/EY 2 artiklan a kohdassa tarkoitettuina henkilötietoina. Näiden velvollisuuksien täyttäminen edellyttää toisin sanoen direktiivin 95/46/EY 2 artiklan b kohdassa tarkoitettua henkilötietojen käsittelyä. Ehdotuksen 6 ja 67 artiklassa säädettyjen tehtävien yhteydessä saatetaan käsitellä henkilötietoja myös siinä tapauksessa, että liiketapahtuman osapuolet eivät ole luonnollisia henkilöitä (esim. yritysjohtajien nimet ja yhteystiedot). Direktiivin 95/46/EY (tai soveltuvin osin asetuksen (EY) N:o 45/2001) säännöksiä olisi sen vuoksi sovellettava näihin tehtäviin.

26.

Tietosuojalainsäädännön keskeisiin periaatteisiin kuuluu, että henkilötiedot on käsiteltävä tiettyjä perusteltuja ja nimenomaisesti määriteltyjä laillisia tarkoituksia varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (32). Kyseisiin tarkoituksiin käytettävien tietojen on oltava asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja suhteessa tarkoituksiin, joihin niitä käsitellään. Asetusehdotuksen tarkastelun perusteella Euroopan tietosuojavaltuutettu katsoo, ettei ehdotuksella käyttöön otettava järjestelmä täytä näitä vaatimuksia.

27.

Käyttötarkoituksen rajoittamisen periaatteen osalta on huomattava, ettei ehdotuksessa tarkenneta ilmoitusjärjestelmän tarkoitusta eikä etenkään sitä, mihin tarkoituksiin ehdotuksen 67 artiklassa tarkoitetuille toimivaltaisille viranomaisille voidaan luovuttaa tietoja kauppatietorekistereistä. Siinä esitetty yleinen viittaus tarpeeseen lisätä OTC-johdannaismarkkinoiden avoimuutta ei selvästikään riitä täyttämään käyttötarkoituksen rajoittamisen vaatimusta. Tähän periaatteeseen kohdistuu paineita myös ehdotetun asetuksen ”Salassapitovelvollisuutta” koskevan 20 artiklan 3 kohdassa, joka nykymuodossaan näyttäisi sallivan ehdotetun asetuksen nojalla saatujen luottamuksellisten tietojen käyttämisen vielä moniin muihinkin tarkoituksiin, joita ei kuitenkaan selvästi määritellä (33).

28.

Ehdotuksessa ei liioin täsmennetä, minkälaisia tietoja voidaan säilyttää, ilmoittaa ja luovuttaa ja sisältyykö niihin tunnistettujen tai tunnistettavissa olevien henkilöiden henkilötietoja. Edellä mainituissa 6 ja 67 artiklassa komissio valtuutetaan täsmentämään ilmoitusvelvollisuuden ja tietojen säilyttämistä koskevan velvollisuuden sisältöä delegoiduilla säädöksillä. Vaikka tietosuojavaltuutettu ymmärtää, että kyseisen menettelyn noudattaminen on käytännössä tarpeen, hän korostaa, että sikäli kuin edellä mainittujen artiklojen perusteella käsiteltävät tiedot koskevat luonnollisia henkilöitä, tärkeimmät tietosuojaa koskevat säännöt ja takuut olisi esitettävä peruslainsäädännössä.

29.

Direktiivin 46/95/EY 6 artiklassa ja asetuksen (EY) N:o 45/2001 4 artiklassa säädetään, että henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niitä tarkoituksia varten, joihin tiedot kerättiin. Euroopan tietosuojavaltuutettu panee merkille, ettei ehdotuksessa määritetä konkreettista enimmäisaikaa asetuksen 6, 27 ja 67 artiklan nojalla mahdollisesti käsiteltävien henkilötietojen säilyttämiselle. Sen 27 ja 67 artiklassa ainoastaan säädetään, että tietoja on säilytettävä vähintään kymmenen vuoden ajan. Tässä on kuitenkin säädetty pelkästään vähimmäissäilytysajasta, mikä on selvästi tietosuojalainsäädännön vaatimusten vastaista.

30.

Edellä esitetyn perusteella Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää täsmentämään, minkälaisia henkilötietoja ehdotuksen perusteella voidaan käsitellä, määrittämään, mihin tarkoituksiin kyseiset yhteisöt voivat käsitellä henkilötietoja, sekä vahvistamaan täsmällisen ja oikeasuhteisen enimmäisajan tietojen säilyttämiselle edellä mainittua käsittelyä varten.

31.

Ehdotuksen 61 artiklan 2 kohdan c alakohdassa EAMV valtuutetaan suorittamaan paikalla tehtäviä tarkastuksia, myös ilmoittamatta niistä etukäteen. Ei kuitenkaan ole selvää, rajoittuvatko nämä tarkastukset ainoastaan kauppatietorekisterien toimitiloihin vai koskevatko ne myös luonnollisten henkilöiden yksityisasuntoja tai -tiloja. Ehdotuksen 56 artiklan 1 kohdan c alakohta, jossa komissio valtuutetaan EAMV:n pyynnöstä määräämään kauppatietorekisterin työntekijöille tai siihen sidoksissa oleville henkilöille uhkasakkoja pakottaakseen nämä suostumaan paikalla tehtävään tarkastukseen, jonka EAMV on määrännyt 61 artiklan 2 kohdan nojalla, näyttäisi (tahattomasti) tukevan päinvastaista tulkintaa.

32.

Käsittelemättä nyt tarkemmin tätä näkökohtaa Euroopan tietosuojavaltuutettu suosittaa, että valtuudet toimittaa tarkastuksia paikalla (ja niihin liittyvät valtuudet määrätä 56 artiklassa tarkoitettuja uhkasakkoja) rajoitettaisiin ainoastaan kauppatietorekisterien toimitiloihin ja muiden sellaisten oikeushenkilöiden toimitiloihin, jotka ovat olennaisesti ja selvästi sidoksissa kauppatietorekistereihin (34). Sikäli kuin komissio aikoo sallia tarkastukset luonnollisten henkilöiden yksityisissä tiloissa, tämä olisi ilmaistava ehdotuksessa selvästi ja tällaisille tarkastuksille olisi asetettava tavallista tiukemmat vaatimukset, jotta varmistetaan tarpeellisuuden ja oikeasuhteisuuden periaatteiden noudattaminen (erityisesti määrittämällä, missä tilanteissa ja millä edellytyksillä tällaisia tarkastuksia voidaan suorittaa).

33.

Useissa ehdotetun asetuksen säännöksissä mahdollistetaan laaja tietojenvaihto EAMV:n, jäsenvaltioiden toimivaltaisten viranomaisten ja kolmansien maiden toimivaltaisten viranomaisten välillä (ks. erityisesti 21, 23 ja 62 artikla). Tietoja saatetaan siirtää myös kolmansiin maihin tilanteissa, joissa tunnustettu kolmanteen maahan sijoittautunut keskusvastapuoli tai kauppatietorekisteri tarjoaa selvityspalveluja tunnustetuille unioniin sijoittautuneille yhteisöille. Sikäli kuin tietojenvaihto koskee tunnistettuja tai tunnistettavissa olevia luonnollisia henkilöitä, siihen on sovellettava asetuksen (EY) N:o 45/2001 7–9 artiklaa ja soveltuvin osin direktiivin 95/46/EY 25 ja 26 artiklaa. Kolmansiin maihin voidaan siirtää tietoja vain, jos vastaanottajamaissa varmistetaan tietosuojan riittävä taso tai jos niihin sovelletaan jotakin EU:n tietosuojalainsäädännössä säädetyistä poikkeuksista. Selvyyden vuoksi ehdotuksen tekstiin olisi lisättävä nimenomainen viittaus asetukseen (EY) N:o 45/2001 ja direktiiviin 95/46/EY, ja siinä olisi täsmennettävä, että tietojen siirrossa on noudatettava tapauksen mukaan joko asetuksessa tai direktiivissä annettuja sääntöjä.

34.

Käyttötarkoituksen rajoittamista koskevan periaatteen (35) mukaisesti Euroopan tietosuojavaltuutettu myös suosittelee, että ehdotuksessa rajataan selkeästi, minkälaisia henkilötietoja voidaan vaihtaa ja määritellään, mihin tarkoituksiin niitä vaihdetaan.

35.

Ehdotuksen 68 artiklassa asetetaan komissiolle tiettyjä raportointivelvoitteita, jotka koskevat ehdotetun asetuksen eri säännösten täytäntöönpanoa. Euroopan tietosuojavaltuutettu suosittelee, että myös EAMV velvoitettaisiin laatimaan säännöllisesti kertomuksia tutkintavaltuuksiensa ja erityisesti puhelin- ja tietoliikennetietojen vaatimista koskevien valtuuksiensa käytöstä. Komission olisi voitava antaa EAMV:n kertomusten perusteella suosituksia, joihin sisältyy tarpeen mukaan ehdotuksia asetuksen tarkistamiseksi.

36.

Ehdotuksessa annetaan EAMV:lle valtuudet ”vaatia puhelin- ja tietoliikennetietoja” kauppatietorekisterien valvontaan liittyvien tehtäviensä hoitamiseksi. Jotta valtuudet vaatia puhelin- ja tietoliikennetietoja täyttäisivät tarpeellisuuden ja oikeasuhteisuuden vaatimukset, näiden valtuuksien on sovelluttava niille asetetun tavoitteen saavuttamiseen, eikä niillä saa ylittää sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi. Tarkasteltavana oleva säännös ei nykymuodossaan täytä näitä vaatimuksia, sillä se on muotoiltu liian väljästi. Etenkään valtuuksien henkilöllistä ja aineellista soveltamisalaa ja sitä, missä tilanteissa ja millä edellytyksillä niitä voidaan käyttää, ei ole määritelty riittävän tarkasti.

37.

Vaikka lausunnossa esitetyt näkökohdat liittyvätkin ensisijaisesti OTC-johdannaisia koskevaan ehdotukseen, niillä on merkitystä myös nykyisen lainsäädännön soveltamisen ja muiden sellaisten vireillä olevien ja tulevien ehdotusten kannalta, joihin sisältyy samankaltaisia säännöksiä. Näin on erityisesti silloin, kun EU:n viranomaiselle annetaan tällaisia valtuuksia ilman viittausta kansallisissa lainsäädännöissä säädettyihin erityissäännöksiin ja -menettelyihin (esim. luottoluokituslaitoksia koskeva asetusehdotus).

38.

Edellä esitetyn huomioon ottaen Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää

39.

Muiden ehdotukseen liittyvien näkökohtien osalta Euroopan tietosuojavaltuutettu viittaa lausunnon 4 kohdassa esittämiinsä huomautuksiin. Euroopan tietosuojavaltuutettu kehottaa lainsäätäjää erityisesti