Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, partnerów centralnych i repozytoriów transakcji(2011/C 216/04)
(Dz.U.UE C z dnia 22 lipca 2011 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2), w szczególności jego art. 41,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. WPROWADZENIE
1. W dniu 15 września 2010 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, partnerów centralnych i repozytoriów transakcji ("wniosek")(3). Głównym celem wniosku jest ustanowienie wspólnych zasad zwiększających bezpieczeństwo i efektywność pozagiełdowego rynku instrumentów pochodnych.
2. Komisja nie skonsultowała się z EIOD, chociaż wymaga tego art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 ("rozporządzenie (WE) nr 45/2001"). Działając z własnej inicjatywy, EIOD przyjął zatem niniejszą opinię w oparciu o art. 41 ust. 2 rozporządzenia (WE) nr 45/2001.
3. EIOD zdaje sobie sprawę, że niniejsza porada ma miejsce na stosunkowo późnym etapie procesu legislacyjnego, niemniej jednak uważa wydanie niniejszej opinii za stosowne i przydatne. Po pierwsze podkreśla potencjalne konsekwencje wniosku dla ochrony danych. Po drugie analiza przedstawiona w niniejszej opinii jest bezpośrednio istotna dla stosowania istniejącego prawodawstwa oraz dla innych oczekujących i możliwych przyszłych wniosków zawierających podobne przepisy, jak zostanie wyjaśnione w sekcji 3.4 niniejszej opinii.
2. KONTEKST I GŁÓWNE ELEMENTY WNIOSKU
4. W następstwie kryzysu finansowego Komisja zainicjowała i przedstawiła przegląd istniejących ram prawnych dotyczących nadzoru finansowego w celu zaradzenia poważnym nieprawidłowościom zidentyfikowanym w tej dziedzinie zarówno w poszczególnych przypadkach, jak i w odniesieniu do całego systemu finansowego. W tej dziedzinie przyjęto ostatnio pewną liczbę wniosków ustawodawczych, mając na celu wzmocnienie istniejących regulacji dotyczących nadzoru oraz usprawnienie koordynacji i współpracy na poziomie UE.
5. W reformie wprowadzono w szczególności udoskonalone europejskie ramy nadzoru finansowego złożone z Europejskiej Rady ds. Ryzyka Systemowego(4) oraz Europejskiego Systemu Organów Nadzoru Finansowego (ESFS). ESFS składa się z sieci krajowych organów nadzoru finansowego współpracujących z trzema nowymi europejskimi organami nadzoru, tj. Europejskim Urzędem Nadzoru Bankowego(5) (EBA), Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych(6) (EIOPA) oraz Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych (ESMA)(7). Ponadto Komisja przyjęła szereg inicjatyw służących wprowadzeniu reformy regulacyjnej w odniesieniu do określonych obszarów lub produktów finansowych.
6. Jedną z nich stanowi wniosek omawiany w niniejszej opinii. Dotyczy on "instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym", tj. tych instrumentów pochodnych(8), które nie są przedmiotem obrotu na giełdach, a zamiast tego są przedmiotem prywatnych negocjacji między dwoma kontrahentami. We wniosku wprowadzono wymóg, aby wszyscy kontrahenci finansowi i kontrahenci niefinansowi spełniający pewne warunki rozliczali wszystkie zestandaryzowane instrumenty pochodne będące przedmiotem obrotu poza rynkiem regulowanym za pośrednictwem partnerów centralnych (CCP). Ponadto w proponowanym rozporządzeniu zobowiązuje się tych kontrahentów finansowych i niefinansowych do przekazywania zarejestrowanemu repozytorium transakcji danych na temat kontraktów pochodnych oraz ich zmian. We wniosku przewidziane są również zharmonizowane wymogi organizacyjne i ostrożnościowe dotyczące CCP oraz wymogi organizacyjne i operacyjne dotyczące repozytoriów transakcji. Zgodnie z proponowanym rozporządzeniem rejestracja repozytoriów transakcji i sprawowanie nad nimi nadzoru są w pełni powierzone ESMA, podczas gdy właściwe organy krajowe zachowują uprawnienia do udzielania CCP zezwoleń oraz sprawowania nad nimi nadzoru.
3. ANALIZA PRZEPISÓW DOTYCZĄCYCH DOSTĘPU DO REJESTRÓW POŁĄCZEŃ TELEFONICZNYCH I TRANSMISJI DANYCH
3.1. Uwagi ogólne
7. W art. 61 ust. 2 lit. d) wniosku uprawnia się ESMA do "żądania rejestrów połączeń telefonicznych i transmisji danych" (podkreślenie dodane). Jak zostanie wyjaśnione poniżej, niejasny jest zakres stosowania tego przepisu, a w szczególności dokładne znaczenie sformułowania "rejestry połączeń telefonicznych i transmisji danych". Niemniej jednak prawdopodobne wydaje się - lub przynajmniej nie można tego wykluczyć - że wspomniane rejestry połączeń telefonicznych i transmisji obejmują dane osobowe w rozumieniu dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001 oraz, w odpowiednim zakresie, dyrektywy 2002/58/WE (zwanej obecnie, po zmianach wprowadzonych dyrektywą 2009/136/WE, "dyrektywą o e-prywatności"), tj. dane dotyczące połączeń telefonicznych i transmisji danych zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych(9). Jeśli tak rzeczywiście jest, należy zagwarantować pełne poszanowanie warunków rzetelnego i legalnego przetwarzania danych osobowych, określonych we wspomnianych dyrektywach i rozporządzeniu.
8. Dane dotyczące stosowania środków łączności elektronicznej mogą obejmować wiele różnych danych osobowych, takich jak: tożsamość osób wykonujących i otrzymujących połączenie, godzina i czas trwania połączenia, wykorzystana sieć, współrzędne geograficzne użytkownika w przypadku urządzeń przenośnych itd. W odniesieniu do korzystania z Internetu i poczty elektronicznej pewne dane o ruchu (np. lista odwiedzonych stron internetowych) mogą dodatkowo ujawniać ważne szczegóły dotyczące treści komunikatu. Ponadto przetwarzanie danych o ruchu jest sprzeczne z tajemnicą korespondencji. Z uwagi na to w dyrektywie 2002/58/WE ustanowiono zasadę, że dane o ruchu muszą być usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu(10). Państwa członkowskie mogą do prawodawstwa krajowego włączyć odstępstwa dotyczące określonych uzasadnionych celów, ale wszelkie tego typu odstępstwa powinny być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla osiągnięcia tych celów(11).
9. EIOD uznaje, że cele, do których w danym przypadku dąży Komisja, są uzasadnione. Rozumie konieczność podejmowania inicjatyw mających na celu wzmocnienie nadzoru nad rynkami finansowymi, by zachować ich właściwe funkcjonowanie i lepiej chronić inwestorów i całą gospodarkę. Jednakże uprawnienia dochodzeniowe bezpośrednio odnoszące się do danych o ruchu muszą, ze względu na swój potencjalnie inwazyjny charakter, być zgodne z wymogami dotyczącymi konieczności i proporcjonalności, tj. muszą być ograniczone do tego, co jest właściwe dla osiągnięcia zamierzonego celu, i nie mogą wykraczać poza to, co jest niezbędne dla osiągnięcia zamierzonego celu(12). Dlatego też w tej perspektywie niezbędne jest jasne sformułowanie tych uprawnień pod względem ich zakresu osobowego i przedmiotowego, a także okoliczności, w jakich mogą być stosowane, oraz warunków, na jakich może to mieć miejsce. Ponadto należy uwzględnić odpowiednie zabezpieczenia przed ryzykiem nadużyć.
3.2. Zakres uprawnień ESMA jest niejasny
10. Artykuł 61 ust. 2 lit. d) stanowi, że "w celu wywiązania się z obowiązków przewidzianych w art. 51-60 oraz art. 62 i 63 (tj. obowiązków w zakresie nadzoru nad repozytoriami transakcji) ESMA posiada uprawnienia do [...] żądania rejestrów połączeń telefonicznych i transmisji danych". Z powodu tak ogólnego sformułowania przepis ten budzi pewne wątpliwości co do jego zakresu przedmiotowego i osobowego.
11. Przede wszystkim znaczenie sformułowania "rejestry połączeń telefonicznych i transmisji danych" nie jest całkowicie jasne, a zatem wymaga sprecyzowania. Przepis ten może odnosić się do rejestrów połączeń telefonicznych i transmisji danych, które repozytoria transakcji mają obowiązek zatrzymywać podczas prowadzenia działalności. Kilka przepisów proponowanego rozporządzenia odnosi się do wymogów co do prowadzenia dokumentacji przez repozytoria transakcji(13). Jednakże w żadnym z tych przepisów nie określono, czy repozytoria transakcji muszą zatrzymywać rejestry połączeń telefonicznych i transmisji danych oraz jakie są to rejestry(14). Z tego względu - jeżeli przepis ten odnosi się do rejestrów posiadanych przez repozytoria transakcji - niezbędne jest dokładne określenie kategorii połączeń telefonicznych i transmisji danych, które muszą być zatrzymywane i których może żądać ESMA. Zgodnie z zasadą proporcjonalności takie dane muszą być prawidłowe, stosowne oraz nienadmierne w stosunku do celów nadzorczych, dla których są przetwarzane(15).
12. Szczególnie w tym przypadku potrzebna jest większa dokładność, zważywszy na wysokie grzywny i okresowe kary pieniężne, które repozytoria transakcji i inne zainteresowane strony (w tym osoby fizyczne, jeśli chodzi o okresowe kary pieniężne) mogą ponosić za naruszenie proponowanego rozporządzenia (por. art. 55 i 56). Grzywny te mogą mieć wysokość do 20 % rocznego przychodu lub obrotu repozytorium transakcji w poprzedzającym roku obrotowym, jest więc to próg dwukrotnie wyższy od maksymalnego progu przewidzianego w przypadku naruszeń europejskich przepisów dotyczących konkurencji.
13. Należy także zauważyć, że w ust. 4 wyżej przytoczonego art. 67 powierza się Komisji uprawnienia do przyjęcia regulacyjnych standardów określających treść informacji, które repozytoria transakcji mają obowiązek udostępniać ESMA i innym organom. Przepis ten można byłoby zatem wykorzystać do dalszego określenia wymogów co do prowadzenia dokumentacji przez repozytoria transakcji, a więc i uprawnień przyznanych przez ESMA w zakresie dostępu do rejestrów połączeń telefonicznych i transmisji danych. Artykuł 290 TFUE stanowi, że akt ustawodawczy może przekazywać Komisji uprawnienia do przyjęcia aktów o charakterze nieustawodawczym o zasięgu ogólnym, które uzupełniają lub zmieniają inne niż istotne elementy aktu ustawodawczego. Zdaniem EIOD dokładne granice uprawnień do dostępu do danych o ruchu nie mogą być uważane ze inny niż istotny element rozporządzenia. Zasięg przedmiotowy rozporządzenia powinien być zatem bezpośrednio określony w tekście tego rozporządzenia, a nie odkładany do ustanowienia przyszłych aktów delegowanych.
14. Podobne wątpliwości dotyczą osobowego zakresu danego przepisu. W szczególności w art. 61 ust. 2 lit. d) nie określono potencjalnych adresatów żądania udostępnienia rejestrów połączeń telefonicznych i transmisji danych. Nie jest zwłaszcza jasne, czy uprawnienia do żądania rejestrów połączeń telefonicznych i transmisji danych byłyby ograniczone wyłącznie do repozytoriów transakcji(16). Ponieważ celem tego przepisu jest umożliwienie ESMA prowadzenia nadzoru nad repozytoriami transakcji, EIOD jest zdania, że uprawnienia te powinny być ściśle ograniczone wyłącznie do repozytoriów transakcji.
15. Ponadto EIOD sądzi, że celem art. 61 ust. 2 lit. d) nie jest umożliwienie ESMA dostępu do danych o ruchu bezpośrednio od dostawców usług telefonicznych. Stwierdzenie to wydaje się logiczne szczególnie z uwagi na fakt, że we wniosku zupełnie nie wspomina się o danych przechowywanych przez dostawców usług telefonicznych ani o wymogach określonych w dyrektywie o e-prywatności, o których mowa w pkt 8 powyżej(17). Jednakże dla jasności EIOD zaleca sprecyzowanie takiego stwierdzenia w art. 61 ust. 2 lub przynajmniej w motywach proponowanego rozporządzenia.
3.3. We wniosku nie wskazano okoliczności, w jakich można żądać dostępu, ani warunków, na jakich można to uczynić
16. W art. 61 ust. 2 lit. d) nie wskazano okoliczności, w jakich można żądać dostępu, ani warunków, na jakich można to uczynić. Nie przewidziano też ważnych gwarancji proceduralnych ani zabezpieczeń przed ryzykiem nadużyć. W poniższych akapitach EIOD przedstawia pewne konkretne sugestie w tym zakresie.
a) Zgodnie z art. 61 ust. 2 ESMA może żądać dostępu do rejestrów połączeń telefonicznych i transmisji danych "w celu wywiązania się z obowiązków przewidzianych w art. 51-60 oraz art. 62 i 63". Artykuły te obejmują cały tytuł proponowanego rozporządzanie dotyczący rejestracji repozytoriów transakcji i nadzoru nad nimi Zdaniem EIOD okoliczności i warunki korzystania z takich uprawnień powinny być wyraźniej określone. EIOD zaleca ograniczenie dostępu do rejestrów połączeń telefonicznych i transmisji danych do wyraźnie określonych i poważnych naruszeń przepisów proponowanego rozporządzenia oraz do przypadków, w których istnieje uzasadnione podejrzenie (które powinno być poparte konkretnymi dowodami wstępnymi), że popełniono takie naruszenie. Takie ograniczenie jest również szczególnie ważne, jeśli chodzi o uniknięcie sytuacji, w których uprawnienia do dostępu mogłyby zostać wykorzystane dla celów "fishingu" lub eksploracji danych bądź dla innych celów.
b) Wniosek nie zawiera wymogu, żeby przed żądaniem dostępu do rejestrów połączeń telefonicznych i transmisji danych ESMA posiadał zezwolenie sądu. EIOD uważa, że ten ogólny wymóg byłby uzasadniony z uwagi na potencjalną inwazyjność omawianych uprawnień. Należy również wziąć pod uwagę fakt, że prawo niektórych państw członkowskich wymaga wcześniejszego zezwolenia sądu w odniesieniu każdego rodzaju ingerencji w tajemnicę korespondencji, a zatem uniemożliwia innym organom egzekwowania prawa (tj. policji) i instytucjom o charakterze administracyjnym dokonywanie takiej ingerencji bez ścisłego nadzoru(18). EIOD jest zdania, że nieuniknione jest przynajmniej wprowadzenie obowiązku zdobycia zezwolenia sądu, o ile takie zezwolenie wymagane jest w prawie krajowym(19).
c) EIOD zaleca wprowadzenie wymogu, żeby ESMA żądał rejestrów połączeń telefonicznych i transmisji danych w oparciu o formalną decyzję, w której określona będzie podstawa prawa i cel żądania oraz potrzebne informacje, termin, w którym informacje te mają być udzielone, oraz prawo adresata do kontroli tej decyzji przez Trybunał Sprawiedliwości. Wszelkie żądania wysuwane wobec braku formalnej decyzji nie będą wiążące dla adresata.
d) Należy zapewnić stosowne zabezpieczenia proceduralne przed możliwymi nadużyciami. Pod tym względem we wniosku można byłoby zawrzeć wymóg, żeby Komisja przyjęła środki wykonawcze szczegółowo określające procedury, zgodnie z którymi repozytoria transakcji i ESMA mają postępować przy przetwarzaniu danych. W aktach tych należy w szczególności określić odpowiednie środki bezpieczeństwa oraz stosowne gwarancje chroniące przed ryzykiem nadużyć, w tym m.in. standardy zawodowe, którymi powinny kierować się właściwe osoby przetwarzające te dane, oraz procedury wewnętrzne zapewniające odpowiednie przestrzeganie przepisów dotyczących poufności i tajemnicy służbowej. W trakcie procedury związanej z przyjęciem takich środków należy skonsultować się z EIOD.
3.4. Znaczenie niniejszej opinii dla innych instrumentów prawnych zawierających podobne przepisy
17. Uprawienia organów nadzorczych do żądania dostępu do rejestrów połączeń telefonicznych i transmisji danych nie są w prawodawstwie europejskim nowością, ponieważ zostały przewidziane w różnych istniejących dyrektywach i rozporządzeniach dotyczących sektora finansowego. Podobne przepisy istnieją w szczególności dyrektywie w sprawie nadużyć na rynku(20), dyrektywie w sprawie rynków instrumentów finansowych(21), dyrektywie UCITS(22) oraz w obecnym rozporządzeniu w sprawie agencji ratingowych(23). Dotyczy to również kilku ostatnich wniosków przyjętych przez Komisję, a mianowicie wniosku dotyczącego dyrektywy w sprawie zarządzających alternatywnymi funduszami inwestycyjnymi(24), rozporządzenia zmieniającego obecne rozporządzenie w sprawie agencji ratingowych (25), rozporządzenia w sprawie krótkiej sprzedaży i wybranych aspektów dotyczących swapów ryzyka kredytowego(26) i rozporządzenia w sprawie integralności i przejrzystości rynku energii(27).
18. W odniesieniu do tych istniejących i proponowanych instrumentów prawnych należy dokonać rozróżnienia pomiędzy uprawnieniami dochodzeniowymi przyznanymi organom krajowym a udzieleniem takich uprawnień organom UE. Kilka instrumentów zobowiązuje państwa członkowskie do przyznania organom krajowym uprawnień do żądania rejestrów połączeń telefonicznych i transmisji danych "zgodnie z prawem krajowym"(28). W konsekwencji faktyczne wykonanie tego obowiązku z konieczności podlega prawu krajowemu, w tym przepisom wdrażającym dyrektywy 95/46/WE i 2002/58/WE oraz innym przepisom krajowym zawierającymi dalsze zabezpieczenia proceduralne dla krajowych organów nadzorczych i dochodzeniowych.
19. Takiego warunku nie ma w instrumentach przyznających bezpośrednio organom UE uprawnienia do żądania rejestrów połączeń telefonicznych i transmisji danych, takich jak obecny wniosek w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym i wyżej wspomniany wniosek dotyczący rozporządzenia zmieniającego rozporządzenie (WE) nr 1060/2009 w sprawie agencji ratingowych. W rezultacie w takich przypadkach istnieje nawet większa konieczność wyjaśnienia w samym instrumencie prawnym osobowego i przedmiotowego zakresu tych uprawnień, okoliczności, w jakich mogą być stosowane, oraz warunków, na jakich może to mieć miejsce, a także konieczność zagwarantowania, że istnieją odpowiednie zabezpieczenia przed nadużyciem.
20. Pod tym względem spostrzeżenia poczynione w niniejszej opinii, chociaż dotyczą wniosku w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, mają znaczenie bardziej ogólne. EIOD ma świadomość, że w odniesieniu do prawodawstwa już przyjętego lub bliskiego przyjęcia uwagi te mogą być spóźnione. Niemniej jednak uprasza instytucje o zastanowienie się nad potrzebą zmiany oczekujących wniosków, tak aby wziąć pod uwagę obawy wyrażone w niniejszej opinii. W odniesieniu do już przyjętych tekstów EIOD prosi instytucje o poszukanie możliwości wyjaśnienia pewnych kwestii, na przykład czy zakres stosowania danego przepisu ma być bezpośrednio lub pośrednio określony w aktach delegowanych lub wykonawczych, na przykład w aktach zawierających szczegółowe wymogi dotyczące prowadzenia dokumentacji, w obwieszczeniach dotyczących wykładni lub w innych porównywalnych dokumentach(29). EIOD oczekuje, że Komisja skonsultuje się z nim w stosownym czasie w kontekście tych powiązanych procedur.
4. KWESTIE ZWIĄZANE Z DANYMI OSOBOWYMI ODNOSZĄCE SIĘ DO INNYCH CZĘŚCI WNIOSKU
21. EIOD uważa, że właściwe jest przedstawienie dodatkowych uwag na temat pewnych innych punktów wniosków, które odnoszą się do praw osób fizycznych do prywatności i do ochrony danych.
4.1. Stosowanie dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001
22. W motywie 48 poprawnie stwierdza się, że państwa członkowskie i ESMA chronią prawo do prywatności osób fizycznych podczas przetwarzania danych osobowych, zgodnie z dyrektywą 95/46/WE. EIOD z zadowoleniem przyjmuje to odesłanie do dyrektywy obecne w motywie. Jednakże znaczenie motywu można byłoby sprecyzować poprzez dalsze określenie, że przepisy rozporządzenia pozostają bez uszczerbku dla krajowych przepisów wykonawczych do dyrektywy 95/46/WE. Najlepiej byłoby, gdyby takie odesłanie uwzględniono w przepisie materialnym.
23. Ponadto EIOD zwraca uwagę, że ESMA jest organem europejskim podlegającym rozporządzeniu (WE) nr 45/2001 oraz nadzorowi EIOD. Z tego względu zaleca się wprowadzenie wyraźnego odesłania do tego rozporządzenia, stanowiącego również, że przepisy wniosku pozostają bez uszczerbku dla tego rozporządzenia.
4.2. Celowość, konieczność i jakość danych
24. Jednym z podstawowych celów proponowanego rozporządzenia jest zwiększenie przejrzystości pozagiełdowego rynku instrumentów pochodnych i poprawa nadzoru regulacyjnego nad tym rynkiem. Z uwagi na ten cel we wniosku zobowiązuje się kontrahentów finansowych i niefinansowych spełniających określone warunki do zgłaszania zarejestrowanemu repozytorium transakcji szczegółów na temat wszystkich zawartych przez nich kontraktów dotyczących instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym oraz na temat wszelkich zmian lub rozwiązania tych kontraktów (art. 6)(30). Informacje te mają być przechowywane przez repozytoria transakcji i udostępniane przez nie różnym organom w celach regulacyjnych (art. 67)(31).
25. W przypadku gdy jedna ze stron kontraktu dotyczącego instrumentów pochodnych podlegającego powyższemu obowiązkowi rozliczania i zgłaszania jest osobą fizyczną, informacje o tej osobie fizycznej stanowią dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46/WE. Spełnienie powyższych obowiązków stanowi zatem przetwarzanie danych osobowych w rozumieniu art. 2 lit. b) dyrektywy 95/46/WE. Nawet w przypadku, gdy strony kontraktu nie są osobami fizycznym, dane osobowe, takie jak np. nazwiska i dane kontaktowe dyrektorów przedsiębiorstw, nadal mogą być przetwarzanie w ramach art. 6 i 67. Dlatego też przepisy dyrektywy 95/46/WE (lub rozporządzenia (WE) nr 45/2001, gdy ma zastosowanie) miałyby zastosowanie do takich działań.
26. Zgodnie z podstawowym wymogiem przepisów o ochronie danych informacje należy przetwarzać w konkretnych, bezpośrednich i zgodnych z prawem celach i nie można ich dalej przetwarzać w sposób niezgodny z tymi celami(32). Ponadto dane wykorzystane do osiągnięcia celów powinny być prawidłowe, stosowne oraz nienadmierne w stosunku do tych celów. Po dokonaniu analizy proponowanego rozporządzenia EIOD stwierdza, że system wprowadzony we wniosku nie spełnia tych wymogów.
27. W odniesieniu do celowości trzeba podkreślić, że we wniosku nie określono celu systemu zgłaszania i, co najważniejsze, powodów, dla których właściwe organy mogą mieć dostęp do informacji przechowywanych przez repozytoria transakcji w oparciu o art. 67 wniosku. Ogólne odwołanie do potrzeby zwiększenia przejrzystości pozagiełdowego rynku instrumentów pochodnych jest wyraźnie niewystarczające do osiągnięcia zgodności z zasadą celowości. Zasada ta jest istotna również w kontekście art. 20 ust. 3 proponowanego rozporządzenia, który dotyczy "Tajemnicy służbowej". W obecnym brzmieniu przepis ten wydaje się zezwalać na wykorzystywanie informacji poufnych uzyskanych zgodnie z proponowanym rozporządzeniem dla kilku dodatkowych, a niejasno określonych celów(33).
28. Ponadto we wniosku nie określono rodzaju danych, które będą rejestrowane, zgłaszane i udostępniane, w tym dowolnych danych osobowych zidentyfikowanych lub możliwych do zidentyfikowania osób. Wyżej wspomniane art. 6 i 67 upoważniają Komisję do dalszego określenia w aktach delegowanych obowiązków co do zgłaszanych treści i prowadzenia dokumentacji. Chociaż EIOD rozumie praktyczną potrzebę stosowania takiej procedury, pragnie podkreślić, że o ile informacje przetwarzane na mocy powyższych artykułów dotyczą osób fizycznych, główne przepisy i gwarancje w zakresie ochrony danych powinny być określone w ustawach zasadniczych.
29. Ponadto zgodnie z art. 6 dyrektywy 46/95/WE i art. 4 rozporządzenia (WE) nr 45/2001 dane osobowe muszą być przechowywane w postaci, która pozwala na zidentyfikowanie osób, których dotyczą dane, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały gromadzone. EIOD zwraca uwagę, że we wniosku nie określono żadnego konkretnego okresu przedawnienia dla zatrzymywania danych osobowych potencjalnie przetwarzanych na mocy art. 6, 27 i 67 proponowanego rozporządzenia. Artykuły 27 i 67 stanowią jedynie, że właściwe rejestry są zatrzymywane przez co najmniej dziesięć lat. Jednakże jest to tylko minimalny okres zatrzymywania, który jest wyraźnie sprzeczny z wymogami ustanowionymi w przepisach w dziedzinie ochrony danych.
30. W związku z powyższym EIOD zaleca, aby prawodawca określił rodzaj danych osobowych, które mogą być przetwarzane na mocy wniosku, aby zdefiniował powody, dla których dane osobowe mogą być przetwarzane przez różne zainteresowane podmioty, i aby określił precyzyjny, konieczny i proporcjonalny okres zatrzymywania danych dla celów wyżej wspomnianego przetwarzania.
4.3. Kontrole na miejscu
31. W art. 61 ust. 2 lit. c) upoważnia się ESMA do przeprowadzania zapowiedzianych lub niezapowiedzianych kontroli na miejscu. Nie jest jasne, czy kontrole te byłyby ograniczone do lokali repozytoriów transakcji, czy miałyby zastosowanie również do prywatnych lokali lub nieruchomości osób fizycznych. Artykuł 56 ust. 1 lit. c), w którym umożliwia się Komisji, na wniosek ESMA, nakładanie okresowych kar pieniężnych na pracowników repozytorium transakcji lub inne osoby związane z tym repozytorium, aby zmusić ich do poddania się kontroli na miejscu zarządzonej przez ESMA zgodnie z art. 61 ust. 2, może (nieumyślnie) sugerować inaczej.
32. Bez dalszego omawiania tej kwestii EIOD zaleca ograniczenie uprawnień do przeprowadzania kontroli na miejscu (i powiązanych uprawnień w zakresie nakładania okresowych kar pieniężnych na mocy art. 56) wyłącznie do lokali repozytoriów transakcji i innych osób prawnych, zasadniczo i wyraźnie z nimi związanych (34). Jeżeli Komisja rzeczywiście planuje umożliwienie kontroli lokali niezwiązanych z działalnością handlową należących do osób fizycznych, należy to wyraźnie stwierdzić i przewidzieć bardziej rygorystyczne wymogi w celu zapewnienia zgodności z zasadami konieczności i proporcjonalności (szczególnie w odniesieniu do wskazania okoliczności, w których kontrola może być przeprowadzona, i warunków, na jakich może się odbyć).
4.4. Wymiana danych i zasada celowości
33. Kilka przepisów proponowanego rozporządzenia umożliwia szeroką wymianą danych i informacji pomiędzy ESMA, właściwymi organami państw członkowskich oraz właściwymi organami państw trzecich (zob. w szczególności art. 21, 23 i 62). Przekazywanie danych do państw trzecich może również mieć miejsce, gdy uznany CCP lub repozytorium transakcji z państwa trzeciego świadczy usługi podmiotom uznanym w UE. Jeżeli wymieniane informacje i dane dotyczą zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, to w stosownych przypadkach zastosowanie mają art. 7-9 rozporządzenia (WE) nr 45/2001 i art. 25-26 dyrektywy 95/46/WE. Szczególnie przekazywanie danych do państw trzecich może nastąpić wyłącznie w przypadku, gdy w tych państwach zapewniony jest odpowiedni poziom ochrony lub gdy ma zastosowanie jedno z odpowiednich odstępstw przewidzianych w przepisach dotyczących ochrony danych. Dla jasności do tekstu należy wprowadzić jednoznaczne odesłanie do rozporządzenia (WE) nr 45/2001 i dyrektywy 95/46/WE wskazujące, że takie przekazanie danych powinno być zgodne z obowiązującymi zasadami przewidzianymi odpowiednio w tym rozporządzeniu i tej dyrektywie.
34. Zgodnie z zasadą celowości(35) EIOD zaleca również wprowadzenie wyraźnych ograniczeń w odniesieniu do rodzaju danych osobowych, które mogą być wymieniane, oraz określenie celów, dla których dane osobowe mogą być wymieniane.
4.5. Rozliczalność i składanie sprawozdań
35. Artykuł 68 wniosku zawiera kilka obowiązków sprawozdawczych Komisji dotyczących wdrażania różnych elementów proponowanego rozporządzenia. EIOD zaleca również nałożenie na ESMA obowiązku okresowej sprawozdawczości w zakresie stosowania jej uprawnień dochodzeniowych, a w szczególności uprawnień do żądania rejestrów połączeń telefonicznych i transmisji danych. W świetle rezultatów sprawozdania Komisja powinna również móc sporządzić zalecenia, w tym - w stosownych przypadkach - wnioski o dokonanie przeglądu rozporządzenia.
5. WNIOSKI
36. Omawiany wniosek upoważnia ESMA do "żądania rejestrów połączeń telefonicznych i transmisji danych" w celu wywiązania się z obowiązków związanych z nadzorem nad repozytoriami transakcji. Aby uprawnienia do żądania rejestrów połączeń telefonicznych i transmisji danych mogły być uznane za niezbędne i proporcjonalne, należy ograniczyć je do tego, co jest właściwe dla osiągnięcia zamierzonego celu, i nie mogą wykraczać poza to, co jest niezbędne dla osiągnięcia zamierzonego celu. W obecnym brzmieniu dany przepis nie spełnia tych wymogów, ponieważ jest sformułowany zbyt ogólnie. W szczególności niewystarczająco szczegółowo określono zakres przedmiotowy i osobowy uprawnień oraz okoliczności i warunki, w których można je wykorzystać.
37. Uwagi zawarte w niniejszej opinii, chociaż dotyczą wniosku w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, są również istotne dla stosowania istniejącego prawodawstwa oraz dla innych oczekujących i możliwych przyszłych wniosków zawierających podobne przepisy. Dotyczy to zwłaszcza sytuacji, w której dane uprawnienia powierza się, jak ma to miejsce w obecnym wniosku, organowi UE bez konieczności odwoływania się do określonych warunków i procedur ustanowionych w prawodawstwie krajowym (np. wniosek w sprawie agencji ratingowych).
38. Mając na uwadze powyższe EIOD zaleca prawodawcy:
– wyraźne określenie kategorii połączeń telefonicznych i transmisji danych, które muszą być zatrzymywane przez repozytoria transakcji lub przekazywane właściwym organom. Takie dane muszą być prawidłowe, stosowne oraz nienadmierne w stosunku do celów, dla których są przetwarzane,
– ograniczenie uprawnień do żądania dostępu do rejestrów połączeń telefonicznych i transmisji danych do repozytoriów transakcji,
– wyjaśnienie, że dostęp do rejestrów połączeń telefonicznych i transmisji danych bezpośrednio od przedsiębiorstw telekomunikacyjnych jest wykluczony,
– ograniczenie dostępu do rejestrów połączeń telefonicznych i transmisji danych do określonych i poważnych naruszeń przepisów proponowanego rozporządzenia oraz do przypadków, w których istnieje uzasadnione podejrzenie (które powinno być poparte konkretnymi dowodami wstępnymi), że popełniono takie naruszenie,
– wyjaśnienie, że repozytoria transakcji przekazują rejestry połączeń telefonicznych i transmisji danych wyłącznie na żądanie oparte na formalnej decyzji, w której określone jest m.in. prawo do kontroli tej decyzji przez Trybunał Sprawiedliwości,
– wprowadzenie wymogu, że decyzja nie może być wykonana bez wcześniejszego sądowego zezwolenia krajowego organu sądowego danego państwa członkowskiego (przynajmniej w przypadku, gdy takie zezwolenie jest wymagane na mocy prawodawstwa krajowego),
– wprowadzenie wymogu, aby Komisji przyjęła środki wykonawcze szczegółowo określające procedury, zgodnie z którymi należy postępować, w tym odpowiednie środki bezpieczeństwa i zabezpieczenia.
39. W odniesieniu do innych aspektów wniosku, EIOD pragnie odwołać się do swoich uwag poczynionych w sekcji 4 niniejszej opinii. W szczególności EIOD zaleca prawodawcy:
– wprowadzenie odesłania do dyrektywy 95/46/WE i rozporządzenia (WE) nr 45/2001, przynajmniej w motywach proponowanego rozporządzenia, a najlepiej również w przepisie materialnym, stwierdzającego, że przepisy proponowanego rozporządzenia pozostają bez uszczerbku dla, odpowiednio, dyrektywy i rozporządzenia,
– określenie rodzaju danych osobowych, które mogą być przetwarzane w ramach wniosku zgodnie z zasadą konieczności (szczególnie w odniesieniu do art. 6 i 67), zdefiniowanie powodów, dla których dane osobowe mogą być przetwarzane w przez różne organy/podmioty, oraz określenie precyzyjnych, koniecznych i proporcjonalnych okresów zatrzymywania danych dla celów wyżej wspomnianego przetwarzania,
– ograniczenie uprawnień do przeprowadzania kontroli na miejscu na mocy art. 61 ust. 2 lit. c) oraz uprawnień w zakresie nakładania okresowych kar pieniężnych na mocy art. 56 wyłącznie do lokali repozytoriów transakcji innych osób prawnych zasadniczo i wyraźnie z nimi związanych,
– sprecyzowanie, że międzynarodowe przekazywanie danych osobowych musi być zgodne z odpowiednimi przepisami rozporządzenia (WE) nr 45/2001 i dyrektywy 95/46/WE, wprowadzenie wyraźnych ograniczeń w odniesieniu do rodzaju danych, które mogą być wymieniane oraz określenie celów, dla których dane osobowe mogą być wymieniane.
Sporządzono w Brukseli dnia 19 kwietnia 2011 r.
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) COM(2010) 484 wersja ostateczna.
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1092/2010 z dnia 24 listopada 2010 r. w sprawie unijnego nadzoru makroostrożnościowego nad systemem finansowym i ustanowienia Europejskiej Rady ds. Ryzyka Systemowego, (Dz.U. L 331 z 15.12.2010, s. 1).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE, (Dz.U. L 331 z 15.12.2010, s. 12).
(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1094/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/79/WE, (Dz.U. L 331 z 15.12.2010, s. 48).
(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE, (Dz.U. L 331 z 15.12.2010, s. 84).
(8) Instrument pochodny to kontrakt finansowy powiązany z przyszłą wartością lub statusem instrumentu bazowego, do którego się odnosi (np. z poziomem stóp procentowych lub z poziomem wartości waluty).
(9) Zazwyczaj są to pracownicy, którym można przypisać połączenia telefoniczne i transmisję danych, a także odbiorcy i inni zainteresowani użytkownicy.
(10) Zob. art. 6 ust. 1 dyrektywy 2002/58/WE, (Dz.U. L 201 z 31.7.2002, s. 45).
(11) Zob. art. 15 ust. 1 dyrektywy 2002/58/WE, który przewiduje, że takie ograniczenia muszą stanowić środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (tj. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania przestępstwom kryminalnym lub niedozwolonemu używaniu systemów łączności elektronicznej oraz dochodzenia, wykrywania i karania takich czynów, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w tym ustępie.
(12) Zob. np. sprawy połączone C-92/09 i C-93/09, Volker und Markus Schecke GbR (C-92/09), Hartmut Eifert (C-92/09) przeciwko Land Hessen, wyrok dotychczas nieopublikowany w Zb.Orz., pkt 74.
(13) Na przykład motyw 44 stanowi, że repozytoria transakcji podlegają rygorystycznym wymogom dotyczącym rejestrowania danych i zarządzania nimi. Artykuł 66 przewiduje, że repozytorium transakcji "bezzwłocznie rejestruje dane otrzymane na mocy art. 6 i przechowuje je przez co najmniej dziesięć lat po rozwiązaniu danych kontraktów. Repozytorium transakcji stosuje szybkie i wydajne procedury rejestrowania w celu udokumentowania zmian zarejestrowanych informacji [sic]". Ponadto art. 67 stanowi, że "repozytorium transakcji udostępnia niezbędne informacje" ESMA i różnym innym właściwym organom.
(14) Wyrażenie "rejestry połączeń telefonicznych i transmisji danych" może obejmować szeroki zakres informacji, w tym długość, czas lub pojemność komunikatu, zastosowany protokół, lokalizację urządzeń końcowych nadawcy lub odbiorcy, sieć, w której komunikat powstaje lub zostaje przerwany, początek, koniec lub długość połączenia, lub nawet listę odwiedzonych stron internetowych i treść samych komunikatów, o ile są rejestrowane. Wszystkie te informacje stanowią dane osobowe, o ile odnoszą się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych.
(15) Zob. art. 6 ust. 1 lit. c) dyrektywy 95/46/WE i art. 4 ust. 1 lit. c) rozporządzenia (WE) nr 45/2001. Należy także rozważyć, czy można opracować konkretne zabezpieczenia, aby uniknąć przechwycenia i przetwarzania danych dotyczących rzeczywiście prywatnego użytku.
(16) Artykuł 56 ust. 1 lit. c), w którym umożliwia się Komisji, na wniosek ESMA, nakładanie okresowych kar pieniężnych na pracowników repozytorium transakcji lub inne osoby związane z tym repozytorium, aby zmusić ich do poddania się dochodzeniu wszczętemu przez ESMA zgodnie z art. 61 ust. 2, może (nieumyślnie) sugerować inaczej.
(17) Jak już wspomniano, w dyrektywie o e-prywatności ustanowiono zasadę, że dane o ruchu muszą być usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu. Takie dane mogą być dalej przetwarzane jedynie dla celów naliczania opłat i rozliczeń międzyoperatorskich, przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę. Wszelkie odstępstwa od tej zasady muszą być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla określonych celów porządku publicznego (tj. bezpieczeństwa krajowego, czyli bezpieczeństwa państwa, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom kryminalnym lub niedozwolonemu używaniu systemów łączności elektronicznej oraz dochodzenia, wykrywania i karania takich czynów).
(18) Na przykład włoska konstytucja zawiera wymóg, aby każda ingerencja w tajemnicę korespondencji, w tym dostęp do danych o ruchu nieujawniających treści komunikatu, była nakazana lub zatwierdzona przez sędziego.
(19) Podobny wymóg wprowadzono w zmienionej wersji wniosku w sprawie agencji ratingowych przegłosowanego przez PE w grudniu 2010 r.
(20) Dyrektywa 2003/6/WE Parlamentu Europejskiego i Rady z dnia 28 stycznia 2003 r. w sprawie wykorzystywania poufnych informacji i manipulacji na rynku (nadużyć na rynku), (Dz.U. L 96 z 12.4.2003, s. 16).
(21) Dyrektywa 2004/39/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie rynków instrumentów finansowych zmieniająca dyrektywę Rady 85/611/EWG i 93/6/EWG i dyrektywę 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 93/22/EWG, (Dz.U. L 145 z 30.4.2004, s. 1).
(22) Dyrektywa Parlamentu Europejskiego i Rady 2009/65/WE z dnia 13 lipca 2009 r. w sprawie koordynacji przepisów ustawowych, wykonawczych i administracyjnych odnoszących się do przedsiębiorstw zbiorowego inwestowania w zbywalne papiery wartościowe (UCITS), (Dz.U. L 302 z 17.11.2009, s. 32).
(23) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1060/2009 z dnia 16 września 2009 r. w sprawie agencji ratingowych, (Dz.U. L 302 z 17.11.2009, s. 1).
(24) Wniosek z dnia 30 kwietnia 2009 r. dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie zarządzających alternatywnymi funduszami inwestycyjnymi i zmieniającej dyrektywy 2004/39/WE i 2009/.../WE, COM(2009) 207.
(25) Wniosek z dnia 2 czerwca 2010 r. dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (WE) nr 1060/2009 w sprawie agencji ratingowych, COM(2010) 289.
(26) Wniosek z dnia 15 września 2010 r. dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie krótkiej sprzedaży i wybranych aspektów dotyczących swapów ryzyka kredytowego, COM(2010) 482.
(27) Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie integralności i przejrzystości rynku energii, COM(2010) 726.
(28) Zob. na przykład art. 12 ust. 2 dyrektywy w sprawie nadużyć na rynku, wspomnianej w przypisie 20. Zob. także art. 50 dyrektywy w sprawie rynków instrumentów finansowych, wspomnianej w przypisie 21.
(29) Na przykład art. 37 wniosku w sprawie agencji ratingowych umożliwia Komisji wprowadzenie zmian w załącznikach do rozporządzenia, które zawierają szczegółowe informacje na temat wymogów dotyczących rejestrowania danych, którym podlegają agencje ratingowe; zob. także motyw 10 wniosku w sprawie agencji ratingowych, w którym wspomina się o uprawnieniach ESMA do wydawania i aktualizowania niewiążących wytycznych w kwestiach związanych ze stosowaniem rozporządzenia w sprawie agencji ratingowych.
(30) W art. 6 ust. 4 wniosku powierza się Komisji uprawnienia do określenia szczegółów i rodzaju zgłoszeń dla poszczególnych kategorii instrumentów pochodnych oraz przewiduje się, że zgłoszenia te zawierają co najmniej: a) tożsamość stron kontraktu, oraz, jeśli to inne podmioty, beneficjentów praw i obowiązków wynikających z tego kontraktu; oraz b) główne cechy kontraktu, w tym rodzaj, instrument bazowy, termin wymagalności i wartość nominalna.
(31) Zob. uzasadnienie, s. 11. W art. 67 jest to sprecyzowane przez stwierdzenie, że repozytorium transakcji udostępnia niezbędne informacje pewnym podmiotom, a mianowicie ESMA, właściwym organom nadzorującym przedsiębiorstwa podlegające obowiązkowi zgłaszania, właściwym organom nadzorującym CCP oraz odpowiednim bankom centralnym ESBC.
(32) Zob. np. opinia EIOD z dnia 6 stycznia 2010 r. w sprawie wniosku dotyczącego dyrektywy Rady w sprawie współpracy administracyjnej w dziedzinie opodatkowania, (Dz.U. C 101 z 20.4.2010, s. 1).
(33) Artykuł 20 ust. 3 brzmi następująco: "Bez uszczerbku dla przypadków podlegających przepisom prawa karnego, właściwe organy, ESMA, podmioty lub osoby fizyczne i prawne inne niż właściwe organy, uzyskujące poufne informacje na mocy niniejszego rozporządzenia, mogą wykorzystywać te informacje wyłącznie do wykonywania obowiązków oraz pełnienia funkcji, w przypadku właściwych organów - w zakresie stosowania niniejszego rozporządzenia, a w przypadku innych organów, podmiotów lub osób fizycznych i prawnych - do celów, do których przekazano im takie informacje, lub w kontekście postępowania administracyjnego lub sądowego odnoszącego się do wykonywania powierzonych im funkcji, bądź w obydwu tych przypadkach. Jeżeli ESMA, właściwy organ lub inny organ, podmiot lub osoby przekazujące informacje wyrażają na to zgodę, organ otrzymujący informacje może je wykorzystać do innych celów".
(34) Podobną specyfikację wprowadzono w zmienionej wersji wniosku w sprawie agencji ratingowych przegłosowanego przez PE w grudniu 2010 r.
(35) Zob. art. 6 ust. 1 lit. b) dyrektywy 95/46/WE i art. 4 ust. 1 lit. b) rozporządzenia (WE) nr 45/2001.
