(2010/C 323/03)

(Dz.U.UE C z dnia 30 listopada 2010 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych⁽¹⁾,

uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych⁽²⁾,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

1. W dniu 12 lipca 2010 r. Komisja przyjęła wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie systemów gwarancji depozytów (wersja przekształcona)⁽³⁾.

2. Wniosek został przesłany do EIOD zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 w dniu jego przyjęcia. Przed przyjęciem wniosku prowadzono nieoficjalne konsultacje z EIOD. EIOD przyjął te nieoficjalne konsultacje z zadowoleniem i cieszy go, że wszystkie jego uwagi zostały uwzględnione w ostatecznej wersji wniosku.

3. W niniejszej opinii EIOD krótko wyjaśni i przeanalizuje aspekty wniosku dotyczące ochrony danych.

II. ASPEKTY WNIOSKU DOTYCZĄCE OCHRONY DANYCH

4. Systemy gwarancji depozytów spłacają deponentów do wysokości pewnej kwoty w przypadku konieczności zamknięcia instytucji kredytowej. Dyrektywa 94/19/WE, obligująca państwa członkowskie do utworzenia na swoim terytorium co najmniej jednego systemu gwarancji depozytów, przyjęta została przez Parlament Europejski i Radę dnia 30 maja 1994 r. Tuż po wybuchu kryzysu finansowego w 2008 r. Rada zwróciła się do Komisji o przedłożenie odpowiedniego wniosku w celu promowania konwergencji systemów gwarancji depozytów, co miało przyczynić się do przywrócenia zaufania do sektora finansowego. W dniu 11 marca 2009 r. przyjęto w charakterze środka awaryjnego dyrektywę 2009/14/WE zmieniającą dyrektywę 94/19/WE. Najbardziej wyraźną zmianą było podniesienie poziomu gwarancji z 20.000 EUR do 100.000 EUR w odniesieniu do deponentów w przypadku konieczności zamknięcia banku. Na strona 5 uzasadnienia do aktualnego wniosku Komisja wskazuje, że ponieważ dyrektywa 2009/14/WE nie została jeszcze w pełni wdrożona, uważa za niezbędne skonsolidowanie i zmianę dyrektyw 94/19/WE i 2009/14/WE w drodze przekształcenia.

5. Wniosek ma na celu uproszczenie i harmonizację odpowiednich przepisów krajowych, w szczególności w odniesieniu do zakresu gwarancji i warunków wypłat. Przepisy zmieniane są w celu dalszego zmniejszania limitu czasu spłaty deponentów oraz zagwarantowania lepszego dostępu systemów gwarancji depozytów do informacji na temat ich członków (instytucji kredytowych, takich jak banki). Dokonano również kilku korekt przewidujących zapewnienie solidnych i wiarygodnych systemów gwarancji depozytów, finansowanych w odpowiedni sposób⁽⁴⁾.

6. Ulepszona procedura spłaty deponentów przewiduje wzrost przetwarzania danych osobowych deponentów w ramach państwa członkowskiego, ale również pomiędzy państwami członkowskimi. W art. 3 ust. 7 stwierdza się, iż "państwa członkowskie zapewniają systemom gwarancji depozytów prawo do uzyskania, w dowolnym momencie i na ich żądanie, od swoich członków wszystkich informacji niezbędnych do przygotowania spłaty deponentów". Jak wynika z art. 12 ust. 4 informacje takie mogą być również przekazywane pomiędzy systemami gwarancji depozytów w różnych państwach członkowskich.

7. Jeśli deponent jest osobą fizyczną, informacje na jego temat stanowią dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46/WE. Przekazywanie takich informacji pomiędzy instytucjami kredytowymi a systemem gwarancji depozytów lub pomiędzy systemami gwarancji depozytów stanowi przetwarzanie danych osobowych w rozumieniu art. 2 lit. b) dyrektywy 95/46/WE. Przepisy dyrektywy 95/46/WE, wdrożone w odpowiednim prawodawstwie krajowym, mają zatem zastosowanie do tych operacji przetwarzania danych. EIOD z zadowoleniem odnotowuje, że zostało to potwierdzone i podkreślone w motywie 29 wniosku.

8. Ponadto EIOD odnotowuje z zadowoleniem, że we wniosku poświęcono dużo uwagi pewnym elementom przetwarzania danych osobowych. W art. 3 ust. 7 przewidziano, że informacje uzyskane na potrzeby przygotowania spłaty deponentów mogą być wykorzystane wyłącznie do tego celu i nie mogą być przechowywane dłużej, niż jest to konieczne do tych celów. Jest to doprecyzowanie zasady celowości zawartej w art. 6 ust. 1 lit. b) dyrektywy 95/46/WE oraz obowiązku przechowywania danych nie dłużej niż jest to konieczne dla celu, dla którego zostały zgromadzone lub są dalej przetwarzane, jak przewiduje to art. 6 ust. 1 lit. e) dyrektywy 95/46/WE.

9. W art. 3 ust. 7 wskazano jasno, że informacje niezbędne do przygotowania spłaty deponentów obejmują również oznaczenia zgodnie z art. 4 ust. 2. Artykuł ten przewiduje, że instytucje kredytowe zobowiązane są do oznaczania depozytów, jeśli z jakichś powodów nie kwalifikują się one do spłaty, na przykład dlatego, że depozyty te powstały w związku z transakcjami, na podstawie których osoby objęte postępowaniem karnym zostały skazane z powodu prania pieniędzy w rozumieniu art. 1 lit. c) dyrektywy Rady 91/308/EWG (zob. art. 4 ust. 1 wniosku). Ponieważ celem wymiany informacji jest właśnie spłata depozytu, przekazanie takich oznaczeń można uznać za środek konieczny. EIOD jest zatem zdania, że przekazywanie takich oznaczeń, kiedy uznaje się je za dane osobowe, jest zgodne z zasadami ochrony danych jeśli same oznaczenia nie zawierają większej ilości informacji niż jest to konieczne. Warunek taki spełnia proste oznaczenie wskazujące, że depozyt nie kwalifikuje się do spłaty. Dlatego też aby zawarty w art. 4 ust. 2 obowiązek spełniał zasady wynikające z dyrektywy 95/46/WE, powinien być stosowany w taki właśnie sposób.

10. Artykuł 3 ust. 7 wniosku dotyczy również gromadzenia przez systemy gwarancji depozytów informacji niezbędnych do przeprowadzenia regularnych testów warunków skrajnych systemów. Informacje te są przekazywane na bieżąco systemom gwarancji depozytów przez instytucje kredytowe. W trakcie nieoficjalnych konsultacji EIOD wyraził zaniepokojenie, czy informacje te będą również zawierać dane osobowe. EIOD miał wątpliwość, czy przetwarzanie danych osobowych jest rzeczywiście niezbędne dla przeprowadzania testów warunków skrajnych. Komisja skorygowała wniosek w tym miejscu i dodała przepis mówiący, że informacje takie są anonimizowane. W odniesieniu do ochrony danych oznacza to, że po uwzględnieniu wszelkich możliwych do zastosowania sposobów informacje nie mogą zostać powiązane z możliwą do zidentyfikowania osoba fizyczną⁽⁵⁾. EIOD jest usatysfakcjonowany zastosowanym rozwiązaniem.

11. Również w odniesieniu do informacji uzyskiwanych na potrzeby testów warunków skrajnych stwierdza się w art. 3 ust. 7, że informacje te mogą zostać wykorzystane wyłącznie do tego celu i że mogą być przechowywane tylko tak długo, jak jest to do tych celów konieczne. EIOD pragnie wskazać, że jeśli informacji nadano charakter anonimowy, nie ma już do niej zastosowania definicja danych osobowych, co do których obowiązują przepisy dyrektywy 95/46/WE. Mogą istnieć uzasadnione powody do ograniczenia wykorzystania takich informacji. EIOD pragnie jednakże wskazać, że zasady ochrony danych tego nie wymagają.

12. W celu ułatwienia efektywnej współpracy pomiędzy systemami gwarancji depozytów, w tym w odniesieniu do przewidzianej w art. 3 ust. 7 wymiany informacji, w art. 12 ust. 5 zawarto przepis, że systemy gwarancji depozytów lub, tam gdzie to stosowne, właściwe organy zawierają pisemne umowy dotyczące współpracy. W takich umowach należy zawrzeć bardziej szczegółowe ustalenia dotyczące zastosowania zasad ochrony danych. EIOD z zadowoleniem przyjmuje fakt, że do art. 12 ust. 5 dodano dodatkowe zdanie podkreślające, że "umowy takie uwzględniają wymogi określone w dyrektywie 95/46/WE".

III. WNIOSEK

13. EIOD jest zadowolony ze sposobu, w jaki we wniosku w sprawie dyrektywy zajęto się kwestiami ochrony danych i pragnie jedynie zwrócić uwagę na uwagi zawarte w pkt 9 i 11 niniejszej opinii.

Sporządzono w Brukseli dnia 9 września 2010 r.

______

⁽¹⁾ Dz.U. L 281 z 23.11.1995, s. 31.

⁽²⁾ Dz.U. L 8 z 12.1.2001, s. 1.

⁽³⁾ Zob. COM(2010) 368 wersja ostateczna.

⁽⁴⁾ Zob. s. 2-3 uzasadnienia wniosku.

⁽⁵⁾ Więcej informacji na temat pojęcia "anonimowości" - zob. pkt 2009 r. w sprawie przeszczepów narządów (Dz.U. C 192 z 15.8.2009, s. 6). Dokument ten można znaleźć na stronie http://www.edps.europa.eu >> Consultation >> Opinions >> 2009.