22.7.2011   

SV

Europeiska unionens officiella tidning

C 216/9

1.

Den 15 september 2010 antog kommissionen Europaparlamentets och rådets förslag till förordning om OTC-derivat, centrala motparter och transaktionsregister (”förslaget”) (3). Förslagets huvudsyfte är att fastställa gemensamma regler för att göra marknaden för OTC-derivat säkrare och effektivare.

2.

Kommissionen har inte samrått med Europeiska datatillsynsmannen trots att detta krävs i artikel 28.2 i förordning (EG) nr 45/2001 (”förordning (EG) nr 45/2001”). Europeiska datatillsynsmannen har därför på eget initiativ avgett detta yttrande baserat på artikel 41.2 i förordning (EG) nr 45/2001.

3.

Europeiska datatillsynsmannen är medveten om att detta yttrande lämnas på ett relativt tidigt stadium i lagstiftningsprocessen. Han anser det ändå lämpligt och fördelaktigt att avge detta yttrande. Till att börja med betonar han förslagets potentiella konsekvenser för uppgiftsskyddet. För det andra är analysen i detta yttrande direkt relevant för tillämpning av befintlig lagstiftning och för andra pågående och eventuella framtida förslag som innehåller liknande bestämmelser, vilket kommer att förklaras i avsnitt 3.4 i detta yttrande.

4.

I finanskrisens kölvatten har kommissionen initierat och lagt fram en översikt av den befintliga rättsliga ramen för finansiell tillsyn i syfte att hantera de stora brister som upptäckts på området, både i enskilda fall och när det gäller finanssystemet som helhet. Ett antal lagstiftningsförslag har nyligen antagits på området för att stärka befintliga tillsynsordningar och förbättra samordningen och samarbetet på EU-nivå.

5.

Genom reformen infördes framför allt ett effektiviserat EU-ramverk för finansiell tillsyn som består av en europeisk systemrisknämnd (4) och ett EU-system för finansiell tillsyn (ESFS). ESFS består i sin tur av ett nätverk av nationella finansiella tillsynsmyndigheter som samarbetar med tre nya europeiska tillsynsmyndigheter, nämligen Europeiska bankmyndigheten (5) (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (6) (Eiopa) och Europeiska värdepappers- och marknadsmyndigheten (Esma) (7). Kommissionen antog dessutom ett antal specifika initiativ för att genomföra reformen avseende särskilda områden eller finansiella produkter.

6.

Ett av dessa är föreliggande förslag som tar upp ”OTC-derivat”, dvs. de derivatprodukter (8) som inte handlas på börser, utan i stället förhandlas privat mellan två motparter. Det innebär att alla finansiella motparter och icke-finansiella motparter som uppfyller vissa tröskelkrav är skyldiga att reglera alla standardiserade OTC-derivat via centrala motparter (CCP). Den föreslagna förordningen ska dessutom tvinga dessa finansiella och icke-finansiella motparter att redovisa detaljerna i alla derivatkontrakt och alla ändringar av dessa i ett registrerat transaktionsregister. Förslaget innehåller också harmoniserade organisatoriska och tillsynsmässiga krav för centrala motparter och organisatoriska och operativa krav för transaktionsregister. Nationella behöriga myndigheter ansvarar även fortsättningsvis för tillstånd och tillsyn rörande dessa motparter, medan registrering och övervakning av transaktionsregister helt anförtros värdepappers- och marknadsmyndigheten enligt den föreslagna förordningen.

7.

Enligt artikel 61.2 d i förslaget får värdepappers- och marknadsmyndigheten befogenhet att kräva register över tele- och datatrafik. Bestämmelsens omfattning och särskilt den exakta innebörden av ”register över tele- och datatrafik” är inte tydlig, vilket kommer att förklaras nedan. Det förefaller emellertid sannolikt – eller det kan åtminstone inte uteslutas – att de aktuella registren över tele- och datatrafik innehåller personuppgifter enligt betydelsen i direktiv 95/46/EG och förordning (EG) nr 45/2001 och, i relevant omfattning, direktiv 2002/58/EG (efter ändring genom direktiv 2009/136/EG nu benämnt ”direktivet om integritet och elektronisk kommunikation”), dvs. uppgifter som gäller tele- och datatrafik för identifierade eller identifierbara fysiska personer (9). Så länge det fungerar på det viset bör man säkerställa att villkoren för rättvis och laglig behandling av personuppgifter respekteras fullt ut, på det sätt som anges i direktiven och förordningen.

8.

Uppgifter som gäller användning av elektronisk kommunikation kan ge mycket personlig information, såsom identiteten hos den person som ringer och tar emot samtal, klockslag och varaktighet för samtalet, vilket nätverk som används, var användaren befinner sig om han eller hon använder bärbar utrustning, etc. Vissa trafikuppgifter som gäller Internet och användning av e-post (exempelvis en förteckning över besökta webbplatser) kan dessutom avslöja viktiga detaljer i kommunikationens innehåll. Bearbetning av trafikuppgifter strider dessutom mot brevhemligheten. Mot bakgrund av detta har man genom direktiv 2002/58/EG inrättat principen att trafikuppgifter måste raderas eller göras anonyma när de inte längre behövs för överföring av ett meddelande (10). Medlemsstaterna kan införa undantag i nationell lagstiftning för specifika berättigade syften, men de måste vara nödvändiga, lämpliga och proportionella inom ett demokratiskt samhälle för att uppnå dessa mål (11).

9.

Europeiska datatillsynsmannen erkänner att kommissionens mål i detta fall är berättigade. Han inser behovet av initiativ som syftar till att stärka tillsyn av finansmarknader i syfte att bevara deras sundhet och bättre skydda investerare och ekonomin i allmänhet. Befogenheter att göra undersökningar som är direkt kopplade till trafikuppgifter måste emellertid, med tanke på deras eventuellt ingripande karaktär, uppfylla kraven på nödvändighet och proportionalitet, dvs. de måste begränsas till vad som är lämpligt för att uppnå målsättningen och inte gå längre än vad som är nödvändigt för att uppnå den (12). Det är därför avgörande i detta perspektiv att de formuleras tydligt när det gäller vilken personkrets eller vilket materiellt tillämpningsområde som omfattas, liksom under vilka omständigheter och villkor de kan användas. Dessutom bör det finnas adekvat skydd mot risken för missbruk.

10.

I artikel 61.2 d står att ”för fullgörandet av sina uppgifter enligt artiklarna 51–60, 62 och 63 (dvs. uppgifter som gäller tillsyn av transaktionsregister), ska värdepappers- och marknadsmyndigheten ha […] (befogenhet) att få begära register över tele- och datatrafik”. På grund av den breda formuleringen reser bestämmelsen flera tvivel när det gäller personkrets och materiellt tillämpningsområde.

11.

Till att börja med är innebörden av ”register över tele- och datatrafik” inte helt klar och behöver därför förtydligas. Bestämmelsen kan gälla register över tele- och datatrafik som transaktionsregister är skyldiga att bevara under sin verksamhet. Flera bestämmelser i den föreslagna förordningen gäller krav på transaktionsregisters registerhållning (13). Det framgår emellertid inte i någon av dessa bestämmelser om, och i så fall vilka, register över tele- och datatrafik som måste hållas av transaktionsregister (14). Om bestämmelsen skulle hänvisa till register som hålls av transaktionsregister, är det därför viktigt att exakt definiera vilka kategorier tele- och datatrafik som måste hållas och kan krävas av värdepappers- och marknadsmyndigheten. I linje med proportionalitetsprincipen måste dessa uppgifter vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de behandlas (15).

12.

Större precision krävs särskilt i detta fall med tanke på de omfattande böter och viten som transaktionsregister och andra berörda personer (inbegripet fysiska personer vad gäller vite) kan drabbas av om de bryter mot den föreslagna förordningen (jfr artiklarna 55 och 56). Dessa böter kan uppgå till 20 procent av årsinkomsten eller omsättningen för transaktionsregistret under föregående verksamhetsår, dvs. en tröskel som är dubbelt så hög som den maximala tröskeln som föreskrivs för överträdelse i EU:s konkurrenslagstiftning.

13.

Det bör också noteras att genom ovannämnda artikel 67.4 har kommissionen befogenhet att anta tekniska regleringsstandarder om närmare uppgifter i informationen som transaktionsregister obligatoriskt ska göra tillgänglig för värdepappers- och marknadsmyndigheten och andra myndigheter. Bestämmelsen kan därför användas för att ytterligare specificera registerhållningskrav för transaktionsregister och därmed indirekt den befogenhet som värdepappers- och marknadsmyndigheten beviljar för att ge tillgång till register över tele- och datatrafik. Artikel 290 i fördraget om Europeiska unionens funktionssätt innebär att genom en lagstiftningsakt kan det till kommissionen delegeras befogenhet att anta akter med allmän räckvidd som inte är lagstiftningsakter som kompletterar eller ändrar icke väsentliga delar i lagstiftningsakten. Enligt värdepappers- och marknadsmyndigheten kan inte den exakta omfattningen av befogenheten för att få tillgång till trafikuppgifter betraktas som en icke-väsentlig del i förordningen. Den väsentliga omfattningen av den bör därför specificeras direkt i förordningens text och inte skjutas upp till framtida delegerade akter.

14.

Liknande tvivel gäller den personkrets som den berörda bestämmelsen är tillämplig på. De eventuella mottagarna av en begäran om att tillhandahålla register över tele- och datatrafik anges inte i artikel 61.2 d. Det är framför allt inte tydligt huruvida befogenheten att kräva register över tele- och datatrafik endast skulle begränsas till transaktionsregister (16). Eftersom bestämmelsens syfte är att göra det möjligt för värdepappers- och marknadsmyndigheten att utöva tillsyn över transaktionsregister anser Europeiska datatillsynsmannen att denna befogenhet bör vara strikt begränsad till enbart transaktionsregister.

15.

Avslutningsvis inser Europeiska datatillsynsmannen att målet med artikel 61.2 d inte är att göra det möjligt för värdepappers- och marknadsmyndigheten att få tillgång till trafikuppgifter direkt från telekomleverantörer. Det ser ut att vara den logiska slutsatsen, särskilt med tanke på att man i förslaget inte alls hänvisar till uppgifter som innehas av telekomleverantörer eller till kraven som anges i direktivet om integritet och elektronisk kommunikation enligt vad som anges i punkt 8 ovan (17). För tydlighetens skull rekommenderar datatillsynsmannen ändå att en sådan slutsats blir mer explicit i artikel 61.2 eller åtminstone i ett skäl i den föreslagna förordningen.

16.

I artikel 61.2 d anges inte omständigheterna och villkoren för när tillträde kan krävas. Den innehåller inte heller viktiga garantier för förfaranden eller skydd mot risken för missbruk. I följande stycken kommer datatillsynsmannen att lämna några konkreta förslag i den riktningen.

17.

Tillsynsmyndigheters befogenhet att kräva tillträde till register över tele- och datatrafik är inte ny i EU-lagstiftningen eftersom den redan ingår i olika befintliga direktiv och förordningar för finanssektorn. Direktivet om marknadsmissbruk (20), MiFID-direktivet (21), Ucits-direktivet (22) och den nuvarande förordningen om kreditvärderingsinstitut (23) innehåller alla bestämmelser som utformats på liknande sätt. Detsamma gäller för att antal förslag som nyligen antagits av kommissionen, nämligen förslagen till ett direktiv om förvaltning av alternativa investeringsfonder (24), en förordning om ändring av den befintliga förordningen om kreditvärderingsinstitut (25), en förordning om blankning och vissa aspekter av kreditswappar (26) samt en förordning om integritet och öppenhet på energimarknaderna (27).

18.

När det gäller dessa befintliga och föreslagna lagstiftningsinstrument bör en åtskillnad göras mellan undersökande befogenheter som beviljas nationella myndigheter och beviljande av sådana befogenheter till EU-myndigheter. Enligt flera instrument är medlemsstaterna skyldiga att bevilja nationella myndigheter befogenheten att kräva tele- och datatrafikregister ”i enlighet med nationell rätt” (28). Det faktiska verkställandet av denna skyldighet omfattas därför nödvändigtvis av nationell lag, inbegripet den som införlivar direktiven 95/46/EG och 2002/58/EG och andra nationella lagar som innehåller ytterligare förfarandeskydd för nationella tillsyns- och undersökningsmyndigheter.

19.

Inget sådant villkor ingår i det instrument som direkt beviljar EU-myndigheter befogenheten att kräva tele- och datatrafikregister, såsom i det föreliggande förslaget om OTC-derivat och ovannämnda förslag till förordning om ändring av förordning (EG) nr 1060/2009 om kreditvärdighetsinstitut (”förslaget om kreditvärderingsinstitut”). I dessa fall finns det därför ett ännu starkare krav på att i själva lagstiftningsinstrumentet klargöra omfattningen av denna befogenhet när det gäller personkrets och materiellt tillämpningsområde, och under vilka omständigheter och villkor det kan användas för att säkerställa att lämpligt skydd mot missbruk finns.

20.

I detta hänseende är iakttagelserna i föreliggande yttrande mer allmänt relevanta även om de gäller förslaget om OTC-derivat. Datatillsynsmannen är medveten om att när det gäller lagstiftning som redan antagits eller är på väg att antas kanske dessa kommentarer kommer för sent. Han uppmanar ändå institutionerna att överväga behovet av att ändra de ännu inte avgjorda förslagen för att ta hänsyn till den oro som uttryckts i föreliggande yttrande. När det gäller redan antagna texter uppmanar datatillsynsmannen institutionerna att eftersträva möjligheter att klargöra frågor, exempelvis huruvida omfattningen av den aktuella bestämmelsen direkt eller indirekt kan specificeras i delegerade akter eller genomförandeakter, såsom akter där detaljerna för kraven på registerhållning, tolkningsmeddelanden eller andra jämförbara dokument fastställs (29). Datatillsynsmannen förväntar sig att kommissionen rådgör med honom i god tid i samband med dessa förfaranden.

21.

Datatillsynsmannen anser det lämpligt att lämna ytterligare kommentarer om några andra punkter i förslaget som gäller enskildas rätt till integritet och dataskydd.

22.

I skäl 48 anges korrekt att medlemsstaterna och värdepappers- och marknadsmyndigheten bör skydda fysiska personers rätt när det gäller bearbetning av personuppgifter, i enlighet med direktiv 95/46/EG. Datatillsynsmannen välkomnar hänvisningen till direktivet i skälet. Skälets innebörd kan emellertid bli tydligare om man ytterligare specificerar att bestämmelserna i förordningen inte påverkar de nationella reglerna för genomförande av direktiv 95/46/EG. Denna hänvisning bör helst också ingå i en faktisk bestämmelse.

23.

Datatillsynsmannen noterar dessutom att värdepappers- och marknadsmyndigheten är ett europeiskt organ som omfattas av förordning (EG) nr 45/2001 och datatillsynsmannens tillsyn. En uttrycklig hänvisning till denna förordning bör därför införas, där det specificeras att också bestämmelserna i förslaget inte påverkar denna förordning.

24.

Ett av de huvudsakliga syftena med den föreslagna förordningen är att förbättra insynen på marknaden för OTC-derivat och förbättra lagens tillsyn över denna marknad. Mot bakgrund av den målsättningen innebär förslaget att finansiella motparter och icke finansiella motparter som uppfyller vissa tröskelvillkor är skyldiga att rapportera detaljerna i alla OTC-derivatavtal som de har ingått och alla ändringar eller avslut av dem till ett transaktionsregister (artikel 6) (30). Denna information är tänkt att hållas av transaktionsregister och göras tillgänglig av dessa till olika myndigheter i regleringssyfte (artikel 67) (31).

25.

Om en av parterna i ett derivatavtal som omfattas av ovannämnda clearing- och redovisningsskyldigheter är en fysisk person, utgör information om denna fysiska person personuppgifter i den mening som avses i artikel 2 a i direktiv 95/46/EG. Uppfyllandet av ovannämnda skyldigheter utgör därför bearbetning av personuppgifter i den mening som avses i artikel 2 b i direktiv 95/46/EG. Till om med om parterna i transaktionen inte är fysiska personer kan personuppgifter fortfarande bearbetas inom ramen för artiklarna 6 och 67, exempelvis namn och kontaktuppgifter för företagens ledare. Bestämmelserna i direktiv 95/46/EG (eller förordning (EG) nr 45/2001 i förekommande fall) skulle därför vara tillämpliga på denna åtgärd.

26.

Ett grundläggande krav för lagstiftning om uppgiftsskydd är att informationen måste bearbetas för specificerade, uttryckliga och berättigade syften och att den inte kan bearbetas ytterligare på ett sätt som inte är förenligt med dessa syften (32). De uppgifter som används för att uppnå syftena bör dessutom vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de behandlas. Efter att ha analyserat den föreslagna förordningen drar datatillsynsmannen slutsatsen att förslagets system inte uppfyller dessa krav.

27.

När det gäller begränsning av syftet måste det betonas att förslagen inte lyckas specificera syftena med redovisningssystemet och, viktigast av allt, i vilka syften informationen som innehas av transaktionsregister kan nås av behöriga myndigheter enligt artikel 67 i förslaget. En allmän hänvisning till behovet av att förbättra insynen på marknaden för OTC-derivat är tydligen inte tillräckligt för att uppfylla syftet med principen om begränsning. Denna princip utsätts för ytterligare press i artikel 20.3 i den föreslagna förordningen om ”tystnadsplikt”, som med den nuvarande formuleringen ser ut att tillåta användning av konfidentiell information som erhållits enligt den föreslagna förordningen för ett antal ytterligare och inte tydligt specificerade syften (33).

28.

I förslaget specificeras inte heller det slag av uppgifter som kommer att registreras, redovisas och göras tillgängliga, inbegripet personuppgifter för identifierade eller identifierbara personer. De ovannämnda artiklarna 6 och 67 ger kommissionen befogenhet att ytterligare specificera innehållet i skyldigheter som rör redovisning och registerhållning i delegerade akter. Även om datatillsynsmannen inser det praktiska behovet av att använda ett sådant förfarande vill han ändå betona att så länge som den information som bearbetas enligt artiklarna ovan gäller fysiska personer bör de huvudsakliga reglerna och garantierna för uppgiftsskydd anges i den grundläggande lagen.

29.

Avslutningsvis krävs i artikel 6 i direktiv 46/95/EG och artikel 4 i förordning (EG) nr 45/2001 att personuppgifter måste hållas i en form som gör det möjligt att identifiera de personer som berörs av uppgifterna endast under den tid som krävs för de syften för vilka uppgifterna samlades in. Datatillsynsmannen noterar att förslaget inte innehåller någon konkret begränsad period för att bevara personuppgifter som kan ha bearbetats enligt artiklarna 6, 27 och 67 i den föreslagna förordningen. I artiklarna 27 och 67 föreskrivs endast att relevanta register ska hållas i minst tio år. Detta är emellertid endast en minimiperiod, som tydligt strider mot kraven i lagstiftningen om uppgiftsskydd.

30.

På grundval av ovanstående anmodar datatillsynsmannen lagstiftaren att specificera det slag av personuppgifter som kan bearbetas enligt förslaget, att definiera syftena för vilka personuppgifter kan bearbetas av de olika berörda enheterna och fastställa exakta, nödvändiga och proportionella perioder för uppgiftsbevarande för ovannämnda bearbetning.

31.

Enligt artikel 61.2 c har värdepappers- och marknadsmyndigheten befogenhet att genomföra inspektioner på plats med eller utan avisering. Det är inte klart huruvida dessa inspektioner ska begränsas till transaktionsregisters affärslokaler eller om de också gäller privata lokaler eller fysiska personers innehav. Artikel 56.1 c som gör det möjligt för kommissionen att på begäran av värdepappers- och marknadsmyndigheten besluta att viten ska åläggas anställda vid ett transaktionsregister eller andra personer anknutna till ett transaktionsregister, för att förmå dem att underkasta sig en inspektion på plats som begärts av värdepappers- och marknadsmyndigheten enligt artikel 61.2, kan (oavsiktligt) väcka andra tankar.

32.

Utan att utveckla denna punkt ytterligare rekommenderar datatillsynsmannen att man begränsar befogenheten att utföra inspektioner på plats (och den därtill hörande befogenheten att kräva viten enligt artikel 56) endast till affärslokaler som tillhör transaktionsregister och andra juridiska personer som avsevärt och tydligt är anknutna till dem (34). Om kommissionen faktiskt skulle planera för att tillåta inspektioner av fysiska personers lokaler som inte är affärslokaler bör det göras tydligt och mer stringenta krav behövs för att se till att detta sker i överensstämmelse med nödvändighets- och proportionalitetsprinciperna (särskilt vad gäller angivande av omständigheter och villkor där sådana inspektioner kan genomföras).

33.

Flera bestämmelser i den föreslagna förordningen möjliggör ett brett utbyte av uppgifter och information mellan värdepappers- och marknadsmyndigheten, behöriga myndigheter i medlemsstater och behöriga myndigheter i tredje land (se särskilt artiklarna 21, 23 och 62). Överföring av uppgifter till tredje länder kan också förekomma när en erkänd central motpart eller transaktionsregister från ett tredje land tillhandahåller tjänster till enheter som är godkända i unionen. I den mån som den information och de uppgifter som utbyts gäller identifierade eller identifierbara fysiska personer gäller artiklarna 7–9 i förordning (EG) nr 45/2001 respektive 25–26 i direktiv 95/46/EG. Överföring till tredje land kan endast ske när en lämplig nivå av skydd kan garanteras i dessa länder eller om ett av de relevanta undantagen i lagstiftningen om uppgiftsskydd gäller. Av tydlighetsskäl bör texten innehålla en uttrycklig hänvisning till förordning (EG) nr 45/2001 och direktiv 95/46/EG och det bör framgå att dessa överföringar bör vara förenliga med tillämpliga regler i förordningen respektive direktivet.

34.

I enlighet med principen om begränsning av syftet (35) rekommenderar datatillsynsmannen även att tydliga gränser ska införas för det slag av personlig information som kan utbytas och definiera i vilka syften personuppgifter kan utbytas.

35.

Artikel 68 i förslaget innehåller ett antal redovisningsskyldigheter från kommissionen rörande genomförandet av olika beståndsdelar av den föreslagna förordningen. Datatillsynsmannen rekommenderar att man även inför skyldigheten för värdepappers- och marknadsmyndigheten att periodiskt redovisa användningen av sin undersökande befogenhet och särskilt befogenheten att kräva register över tele- och datatrafik. Mot bakgrund av resultatet av rapporten bör kommissionen även kunna lämna rekommendationer, inbegripet lämpliga förslag för översyn av förordningen.

36.

Föreliggande förslag ger värdepappers- och marknadsmyndigheten befogenhet att ”begära register över tele- och datatrafik” i syfte att fullgöra uppgifter i anslutning till tillsyn av transaktionsregister. För att kunna betraktas som nödvändig och proportionell bör befogenheten att begära register över tele- och datatrafik begränsas till vad som är lämpligt för att uppnå målsättningen och inte gå längre än vad som är nödvändigt för att uppnå den. I den nuvarande utformningen uppfyller bestämmelsen i fråga inte dessa krav eftersom den är alltför brett formulerat. Framför allt är omfattningen av befogenheten när det gäller personkrets och materiellt tillämpningsområde samt omständigheter och villkor för när den kan användas inte tillräckligt specificerad.

37.

Även om kommentarerna i föreliggande yttrande rör förslaget om OTC-derivat, är de också relevanta för tillämpningen av befintlig lagstiftning och för andra ej avgjorda och eventuella framtida förslag som innehåller liknande förslag. Det gäller särskilt när befogenheten, som i detta förslag, har anförtrotts en EU-myndighet utan att hänvisa till de specifika villkor och förfaranden som finns i nationell lagstiftning (exempelvis förslaget om kreditvärderingsinstitut).

38.

Med beaktande av ovanstående råder datatillsynsmannen lagstiftaren att

39.

Vad gäller övriga aspekter i förslaget skulle datatillsynsmannen vilja hänvisa till sina kommentarer under avsnitt 4 i yttrandet. Datatillsynsmannen uppmanar lagstiftaren framför allt att