(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu)(2021/C 337/03)
(Dz.U.UE C z dnia 23 sierpnia 2021 r.)
W dniu 24 września 2020 r. Komisja Europejska przyjęła wniosek dotyczący rozporządzenia w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937 (zwany dalej "wnioskiem"). We wniosku ustanowiono wymogi dotyczące przejrzystości i ujawniania informacji w odniesieniu do emisji i dopuszczania kryptoaktywów do obrotu; przepisy dotyczące udzielania zezwolenia dostawcom usług w zakresie kryptoaktywów oraz emitentom tokenów powiązanych z aktywami i emitentom tokenów będących pieniądzem elektronicznym, a także sprawowania nad nimi nadzoru; wniosek reguluje działalność, organizację i zasady zarządzania emitentów tokenów powiązanych z aktywami, emitentów tokenów będących pieniądzem elektronicznym i dostawców usług w zakresie kryptoaktywów; oraz zawiera przepisy dotyczące ochrony konsumentów w zakresie emisji kryptoaktywów, obrotu kryptoaktywami, wymiany kryptoaktywów i przechowywania kryptoaktywów, jak również środki zapobiegania nadużyciom na rynku w celu zapewnienia integralności rynku kryptoaktywów.
EIOD przypomina o potrzebie szerszej refleksji nad tym, jak lepiej zapewnić zgodność z przepisami i zasadami ochrony danych technologii bazowej kryptoaktywów, mianowicie technologię blockchain i technologię rozproszonego rejestru, a także odnosi się w tym względzie do ogólnych uwag zawartych w opinii na temat wniosku w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru oraz ponownie podkreśla potrzebę przeprowadzenia takiej dyskusji przed wejściem w życie odpowiedniego wniosku lub wniosków.
Jednocześnie EIOD podkreśla odpowiedzialność unijnego prawodawcy za dopilnowanie, by przetwarzanie, o którym mowa we wniosku, mogło być realizowane w sposób zgodny z przepisami o ochronie danych, a także podkreśla odpowiedzialność administratorów danych za zapewnienie zgodności z przepisami według zasady rozliczalności.
EIOD uważa, że administratorami danych na mocy RODO byliby najczęściej emitenci kryptoaktywów, biorąc pod uwagę projekt emitentów i w zakresie, w jakim wiąże się on z przetwarzaniem danych osobowych. Aby zwiększyć pewność prawa, EIOD zachęca prawodawcę do wyraźnego wskazania we wniosku emitentów jako administratorów danych. Ponadto przetwarzanie danych osobowych może spełniać co najmniej dwa kryteria wskazujące, że przetwarzanie może powodować wysokie ryzyko w rozumieniu prawa o ochronie danych. W związku z tym emitent kryptoaktywów może podlegać obowiązkowi przewidzianemu w art. 35 RODO, który dotyczy przeprowadzenia oceny skutków dla ochrony danych przed przewidywanym przetwarzaniem danych osobowych.
EIOD z zadowoleniem przyjmuje cel wniosku, jakim jest zwiększenie ochrony konsumentów jako nabywców kryptoaktywów (inwestorów). Jednocześnie EIOD uważa, że wniosek powinien również zawierać obowiązek emitentów do szczególnego wyeksponowania pewnych gwarancji dotyczących ochrony danych w celu lepszej ochrony osób, których dane dotyczą. EIOD zaleca włączenie do wniosku, w ramach informacji, które mają być przedstawione w dokumencie informacyjnym dotyczącym kryptoaktywów, informacji dotyczących przewidywanych czynności przetwarzania danych osobowych, a także głównych przewidywanych zagrożeń i strategii łagodzących w odniesieniu do ochrony danych.
EIOD zaleca, aby w odniesieniu do publikacji kar administracyjnych wśród kryteriów branych pod uwagę przez właściwy organ uwzględnić skutki dla ochrony danych osobowych osób fizycznych. Ponadto EIOD przypomina, że zgodnie z zasadą ograniczenia przechowywania dane osobowe muszą być przechowywane przez okres nie dłuższy niż jest to konieczne do celów, dla których dane osobowe są przetwarzane, i zaleca ustanowienie maksymalnego, a nie minimalnego okresu przechowywania danych na mocy art. 95 ust. 4 wniosku.
Bruksela, dnia 24 czerwca 2021 r.
|
Wojciech Rafał WIEWIÓROWSKI |
1 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów oraz zmieniającego dyrektywę (UE) 2019/1937, 24 września 2020, 2020/0265 (COD).
2 Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Banku Centralnego, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie strategii dla UE w zakresie finansów cyfrowych, 24 września 2020 r., COM(2020) 591.
3 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru - COM(2020) 594.
4 Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 - COM(2020) 595.
5 Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady zmieniającej dyrektywy 2006/43/WE, 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/65/UE, (UE) 2015/2366 i (UE) 2016/2341 - COM(2020) 596.
7 Opinia 7/2021 w sprawie wniosku dotyczącego rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014, dostępna pod adresem https:// edps.europa.eu/system/files/2021-05/2021-0203_d0943_opinion_digital_operational_resilience_for_the_financial_sector_en.pdf