Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv (Markets in Crypto Assets Regulation, MiCA), které představuje zcela nový právní rámec pro dosud komplexně neregulované odvětví kryptoaktiv v EU, bylo dne 9. června 2023 zveřejněno v Úředním věstníku Evropské unie.[1] Účinnost nabyde zčásti 30. června 2024 a zčásti 30. prosince 2024. K posledně uvedenému datu nabyde účinnosti i Nařízení č. 2023/1113 ze dne 31. května 2023, o informacích doprovázejících převody peněžních prostředků a některých kryptoaktiv[2] (Transfer of Funds Regulation, TFR).
Informace doprovázející transakce
Na základě TFR budou muset kryptografické transakce v EU obsahovat identifikační údaje bez ohledu na hodnotu transakce. Poskytovatelé služeb v oblasti kryptoaktiv („CASP“), jako jsou směnárny, burzy a další společnosti, budou pak muset shromažďovat osobní údaje o majitelích veřejných adres, na které jsou zasílány kryptoměny. Tím bude také definován právní titul zpracování osobních údajů pro tyto účely.
Preambule TFR (recitál 19) uvádí, že zpracování pro komerční účely mimo rámec GDPR je přísně zakázáno, a upozorňuje rovněž na zpracování osobních údajů ve veřejném zájmu, který je představován bojem proti legalizaci příjmů z trestné činnosti a financování terorismu „AML“). Konkrétní požadavky a povinnosti v oblasti AML jsou pak rozpracované dále v textu TFR. Poskytovatelům služeb souvisejících s kryptoaktivy vč. souvisejících platebních služeb, kteří působí ve více jurisdikcích a jejichž pobočky či dceřiné společnosti se nacházejí mimo Unii, nemá být bráněno v předávání informací o podezřelých transakcích uvnitř téže organizace, pokud použijí odpovídající zabezpečení. Dle článku 25 odst. 2 TFR smějí poskytovatelé platebních služeb a poskytovatelé služeb souvisejících s kryptoaktivy zpracovávat osobní údaje na základě tohoto nařízení pouze pro účely předcházení praní peněz a financování terorismu a nesmějí je dále zpracovávat způsobem, který je s těmito účely neslučitelný. Z toho lze usuzovat, že jiné využití takových údajů bude podléhat smluvní dohodě či souhlasu účastníka transakce, což bude muset být zohledněno při navazování obchodního vztahu, resp. v obchodních podmínkách. Poskytovatelé a zprostředkovatelé služeb souvisejících s kryptoaktivy a s nimi spojených platebních služeb by rovněž měli mít zavedena vhodná technická a organizační opatření na ochranu osobních údajů před jejich náhodnou ztrátou, změnou, neoprávněným sdělením nebo neoprávněným přístupem.
Evropský sbor pro ochranu údajů by měl po konzultaci s orgánem EBA (European Banking Authority, Evropský orgán pro bankovnictví) vydat pokyny k praktickému provádění požadavků na ochranu osobních údajů při jejich předávání do třetích zemí v souvislosti s převody kryptoaktiv (Recitál 34 a článek 25). Mohly by totiž nastat situace, kdy osobní údaje nelze předat. Proto bude vhodné zavést vhodné rozhodovací postupy týkající se nejen samotného provedení, ale i odmítnutí, vrácení nebo pozastavení převodu kryptoaktiv v situacích, kdy nelze zajistit soulad s požadavky GDPR na ochranu údajů pro předávání osobních údajů do třetích zemí. TFR se zabývá technologií DLT, tedy sdílených a synchronizovaných digitálních dat, která jsou geograficky rozprostřena po celém světě. Bohužel však nejsou nijak zohledněna specifika Blockchainu, což je typ DLT, kde se transakce zaznamenávají pomocí neměnného kryptografického podpisu. Je to systém decentralizovaných, distribuovaných digitálních záznamů, používaný k zaznamenávání transakcí napříč mnoha počítači, takže záznam nelze zpětně změnit bez změny všech následujících bloků a konsensu sítě.
Informace doprovázející převody peněžních prostředků
Dle čl. 4 je poskytovatel platebních služeb povinen zajistit, aby převod peněžních prostředků doprovázelo jméno plátce, číslo jeho platebního účtu, adresa plátce včetně příslušné země, číslo osobního dokladu a identifikační číslo či alternativně datum a místo jeho narození. Je-li dostupné LEI plátce a poskytl-li jej svému poskytovateli platebních služeb, pak má platbu doprovázet i LEI, resp. jiný dostupný rovnocenný identifikátor. Co se týče požadavků na informace o příjemci peněžních prostředků, pak se jedná o jméno příjemce, číslo jeho platebního účtu a rovněž i LEI příjemce, pokud jej má, či případný jiný dostupný identifikátor. Samotné nařízení MiCA v čl. 2 uvádí, kdy konkrétně je třeba převod peněžních prostředků podřadit pod rámec regulace platebních služeb, přičemž odkazuje na směrnici (EU) 2015/2366.
Informace doprovázející převody kryptoaktiv
Dle čl. 14 (a recitálu č. 36) musí v případě převodu kryptoaktiv poskytovatel služeb zajistit, aby s transakcí byly předány informace o jménu původce, adrese distribuovaného registru původce v případech, kdy je převod kryptoaktiv registrován v síti využívající DLT nebo podobnou technologii, a číslo účtu kryptoaktiv původce, jestliže takový účet existuje a je používán ke zpracování transakce. Dále pak číslo účtu kryptoaktiv původce v případech, kdy převod kryptoaktiv není registrován v síti využívající DLT, nebo podobnou technologii, adresa původce včetně názvu země, číslo úředního osobního dokladu původce a identifikační číslo klienta, nebo alternativně datum a místo narození původce a s výhradou existence nezbytného pole v příslušném formátu zprávy rovněž aktuálním LEI, nebo pokud neexistuje, jakýkoliv jiný dostupný rovnocenný oficiální identifikátor původce, pokud v příslušném formátu zprávy existuje nezbytné pole a pokud ho původce poskytl svému poskytovateli služeb souvisejících s kryptoaktivy. Informace by měly být předány bezpečným způsobem a před převodem kryptoaktiv nebo současně či souběžně s ním.
V případě příjemce pak musí původce poskytnout jméno a příjemce kryptoaktiv, adresu distribuovaného registru příjemce kryptoaktiv v případech, kdy je převod kryptoaktiv registrován v síti využívající DLT nebo podobnou technologii, a číslo účtu kryptoaktiv příjemce kryptoaktiv v případech, kdy takový účet existuje a je používán ke zpracování transakce, číslo účtu kryptoaktiv příjemce kryptoaktiv v případech, kdy převod kryptoaktiv není registrován v síti využívající DLT, nebo podobnou technologii a aktuální LEI, nebo pokud neexistuje, jakýkoliv jiný dostupný rovnocenný oficiální identifikátor příjemce kryptoaktiv, pokud v příslušném formátu zprávy existuje nezbytné pole a pokud ho původce poskytl svému poskytovateli služeb souvisejících s kryptoaktivy.
Pokud převod kryptoaktiv není registrován v síti využívající DLT nebo podobnou technologii a není prováděn z účtu kryptoaktiv nebo na účet kryptoaktiv, poskytovatel služeb souvisejících s kryptoaktivy původce musí zajistit, že bude převod kryptoaktiv doprovázen jedinečným identifikátorem transakce. Termíny původce a příjemce (v anglickém znění „originator/beneficiary“) nejsou bohužel v TFR definovány. Lze je však vykládat ve smyslu plátce a příjemce převáděných kryptoaktiv dle nařízení MiCA, kteří se účastní převodu doprovodných informací.
Osobní údaje jako platidlo?
Jak nařízení MiCA upozorňuje ve svém čl. 101, při zpracování osobních údajů v jeho rámci plní příslušné orgány své úkoly v souladu s nařízením (EU) 2016/679, tedy GDPR. Podle čl. 4 odst. 2 MiCA (druhý pododstavec), se kryptoaktivum nepovažuje za nabízené bezplatně, pokud je od kupujících požadováno, aby nabízející osobě výměnou za něj poskytli nebo se zavázali poskytnout osobní údaje, nebo pokud nabízející osoba výměnou za kryptoaktivum obdrží od jeho potenciálních držitelů jakékoli poplatky, provize nebo peněžní či nepeněžní plnění. Nařízení MiCA tedy předpokládá, že osobní údaje mohou být „prodávány“ za osobní údaje a jakmile k tomu dojde, vztáhne se na takový obchodní vztah regulace úplatných převodů.
Omezené zpracování OÚ
Poskytovatelé platebních služeb a poskytovatelé služeb souvisejících s kryptoaktivy musí poskytnout novým klientům standardní informace požadované podle článku 13 GDPR (totožnost a kontaktní údaje správce, pověřence pro ochranu osobních údajů, účely zpracování a právní základ zpracování a případné oprávněné zájmy zpracování, příjemce osobních údajů a úmysl předat osobní údaje do třetí země), a to před navázáním obchodního vztahu nebo provedením příležitostné transakce. Tyto informace se poskytují stručně, transparentně, srozumitelně a snadno přístupnou formou v souladu s článkem 12 GDPR a zahrnují zejména obecné oznámení týkající se právních povinností poskytovatelů platebních služeb a poskytovatelů služeb souvisejících s kryptoaktivy podle TFR při zpracovávání osobních údajů pro účely předcházení praní peněz a financování terorismu. Ovšem ani určení správce osobních údajů nemusí být v případě kryptografických transakcí jednoduché a zasloužilo by tak hlubší analýzu a úpravu, stejně jako možnost, že se osobní údaje ocitnou v mnoha zemích s tím, že správce by měl být schopen mít nad tímto geografickým rozptylem plnou kontrolu.
Uchovávání záznamů
Na základě článku 26 TFR nesmějí být informace o plátci a příjemci peněžních prostředků nebo o původci a příjemci kryptoaktiv uchovávány déle, než je nezbytně nutné. Nařízení TFR tak s přímou účinností omezuje uchování těchto údajů a právě zde naráží na technologické limitace Blockchainu, které však evidentně ignoruje.
Dle čl. 26 platí, že uchovávání záznamů uvedených v článcích 4 až 7 pro poskytovatele platebních služeb a v článcích 14 až 16 pro poskytovatele služeb souvisejících s kryptoaktivy je omezeno na dobu pěti let. Po uplynutí této doby je třeba zajistit, aby byly osobní údaje vymazány, nestanoví-li jinak vnitrostátní právní předpisy jinak. Členské státy mohou další uchovávání osobních údajů povolit nebo požadovat maximálně na dobu dalších pěti let. A to pouze na základě důkladného posouzení nezbytnosti a přiměřenosti takového dalšího uchovávání nebo tehdy, když jej považují za odůvodněné a nezbytné pro účely prevence či vyšetřování legalizace příjmů z trestné činnosti. To vše ve smyslu recitálu 54 platí, aniž je dotčeno vnitrostátní trestní právo týkající se důkazů použitelných pro probíhající trestní vyšetřování a soudní řízení. Z toho však dle názoru autora vyplývá, že pro tyto případy nelze stanovit delší dobu uchování než 10 let.
Např. dle § 34 odst. 1 b) zákona č. 40/2009 Sb., trestního zákoníku ovšem platí, že promlčecí doba trestní odpovědnosti činí patnáct let, činí-li horní hranice trestní sazby odnětí svobody nejméně deset let. V případě kvalifikované skutkové podstaty legalizace výnosů z trestné činnosti může být odnětím svobody na tři léta až deset let potrestán pachatel, který příslušný čin spáchá ve spojení s organizovanou skupinou působící ve více státech, ve vztahu k věci, která má hodnotu velkého rozsahu, nebo získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu. Lze tedy učinit i závěr, že promlčecí doby dle trestního zákoníku budou pro takové případy kratší, a to na základě přímé aplikovatelnosti TFR a jeho přednosti před národním právem. Otázkou k zamyšlení pak je např. i vliv na promlčení výkonu trestu ve smyslu § 94 trestního zákoníku.
Specifika blockchainu a technologie DLT pro zpracování osobních údajů
Sítě blockchainu jsou ze své podstaty neefektivní, protože každý plný uzel musí zpracovat každou transakci a udržovat kopii celého svého stavu. Každá nová transakce způsobuje růst sítě. Každý uzel v síti udržuje svou kopii Blockchainu, která je průběžně aktualizována přidáváním nových bloků. Uzly proto komunikují mezi sebou, aby se ujistily, že mají nejnovější kopii Blockchainu. Sítě mají vysoké výpočetní nároky potřebné k ověření transakcí a schopnost jejich včasného zpracování je ohrožena rostoucím počtem uživatelů, transakcí a aplikací. Data pak jednoduše nelze vymazat.
Technologie blockchain jsou ovšem i nástrojem správy dat, který by mohl podporovat alternativní formy jejich správy a distribuce a poskytovat výhody ve srovnání s jinými současnými řešeními. Nabízejí totiž transparentní kontrolu nad tím, kdo má k údajům přístup. Inteligentní smlouvy založené na blockchainech mohou navíc sdílení údajů automatizovat, a tedy i snížit transakční náklady. Tato technologie uživatelům umožňuje určit, kdo má přístup k jejich informacím online. Blockchain tak má potenciál ovlivnit současnou ekonomiku sdílení dat. Lze tedy na něj spoléhat i při podpoře některých cílů GDPR, jako je poskytnout subjektům údajů větší kontrolu nad osobními údaji, které se jich přímo či nepřímo týkají. Příkladem může být právo na přístup (článek 15 GDPR) nebo právo na přenositelnost údajů (článek 20 GDPR), která subjektům údajů poskytují kontrolu nad tím, co s jejich osobními údaji dělají ostatní a co mohou s těmito osobními údaji dělat oni sami. Díky Blockchainu lze podpořit kontrolu nad osobními údaji tím, že umožňuje sledovat dodržování zásady omezení účelu. Ve stejném duchu by tato technologie mohla pomoci při odhalování případů porušení ochrany osobních údajů a podvodů. Dále by tyto nástroje mohly být využity k tomu, aby uživatelé mohli sledovat, co se s jejich údaji děje, včetně toho, zda jsou předávány do třetích zemí. Obecněji řečeno, s blockchainy by se mohlo experimentovat s cílem zjistit, zda mohou být vhodnými nástroji, které subjektům údajů umožní nezávisle sledovat, jak správce údajů plní své povinnosti podle GDPR.[3]
Nakládání s osobními údaji po ukončení smlouvy
Nakládání s osobními údaji v případě ukončení smluvních závazků by mělo být upraveno v obchodních podmínkách, přičemž je nutno brát v potaz limitaci uchování osobních údajů pro účely AML úpravy. Aby byla činnost v souladu s nařízením GDPR, pak by se osobní údaje neměly zapisovat do blockchainu, protože po zápisu již nelze údaje měnit ani mazat. Jak již bylo uvedeno výše, jedná se o systém záznamů, který může být pouze doplňován, ale nikoli upravován či mazán. Je tedy otázkou, zda postačí provést určitou anonymizaci nebo zda je třeba přijmout taková řešení, aby byly osobní údaje skutečně „doprovodné“. Možným řešením pro kryptoměnové transakce je, že se osobní údaje neukládají do blockchainu, ale externě, přičemž budou propojeny s odkazem generovaným v blockchainu.[4]
Bohužel stále není zcela jasné, kde je hranice mezi anonymními údaji a osobními údaji. Pro posílení právní jistoty by bylo vhodné vyjasnit pojem „výmaz“ pro účely článku 17 GDPR, stejně jako pojem anonymní údaje a anonymizace. Další vyjasnění by pro tyto účely zasloužila i definice správce osobních údajů. Ačkoli GDPR uznává právo na výmaz, které mohou subjekty údajů za určitých okolností uplatnit, není v něm uvedeno, co konkrétně „výmaz“ představuje. Výklad základních pojmů GDPR je často zatížen nejednotností výkladů mezi jednotlivými dozorovými úřady v Evropské unii. Není tak jasné, zda je vyžadován výmaz v běžném slova smyslu nebo zda mohou postačovat alternativní technické přístupy s podobným výsledkem. Jedná se o důležitou otázku, protože výmazu v obecném smyslu slova je u DLT v podstatě nemožné dosáhnout, a proto je třeba uvažovat o jiných možnostech, které poskytnou dostatečnou ochranu osobních údajů, ale nebudou překážkou fungování kryptografických transakcí.
Např. v případě odstoupení od smlouvy by mělo být zpracování osobních údajů okamžitě ukončeno (vyjma veřejnoprávních povinností) a měly by být odstraněny ze všech databází poskytovatele služeb a všech jeho obchodních partnerů, kterým byly osobní údaje poskytnuty. Jestliže se odstoupením smlouva od počátku ruší, neuplatní se ani případná smluvní ujednání o využití osobních údajů pro další účely. Takový závěr je zvláště výrazný tehdy, když byla „úplata“ provedena nikoli finančními prostředky, ale právě poskytnutím osobních údajů.
Závěr
Nařízení MiCA v úvodu své preambule uvádí, že aplikace technologie distribuovaného registru (DLT) a technologie blockchainu, které dosud nebyly plně prozkoumány, vytvoří nové druhy podnikatelské činnosti a obchodních modelů. Je třeba poznamenat, že regulace něčeho, co doposud nebylo řádně prozkoumáno, pravděpodobně přinese i nepředvídatelná úskalí a výzvy. Nařízení TFR však příliš nepřispívá k lepšímu pochopení a využitelnosti těchto technologií s ohledem na zpracování osobních údajů. Nařízení TFR fakticky stanoví nové zákonné tituly zpracování, které by poskytovatelé krypto služeb měli zohlednit ve svých registrech zpracování, resp. analýze vlivu na zpracování osobních údajů, omezuje se však v podstatě na oblast AML. A hlavně ignoruje specifika blockchainu.
I přesto, že se jedná o přímo aplikovatelnou právní úpravu, budou se s ní národní zákonodárci muset vyrovnat tak, aby bylo dosaženo souladu s domácí právní úpravou, neboť na ni bude mít zásadní dopady. Jelikož aktuální znění návrhů právních předpisů, které adaptují nařízení MiCA do českého právního řádu[5], nebyly služby související s kryptoaktivy zařazeny do rámce finančních služeb, lze dle obecných ustanovení občanského zákoníku o smlouvách uzavíraných na dálku odstoupit od smlouvy do 14 dnů,[6] a to může mít v případě neúspěšné investice a využití práva odstoupení značné dopady na řízení rizik poskytovatelů kryptoslužeb. A že se české právo na smlouvy uzavřené se zahraničními poskytovateli, kteří zvolí jiné právo, neuplatní? Díky čl. 6 Nařízení Řím I[7] to v případě spotřebitele není pravda, neboť je chráněn svým domovským právem. MiCA se pak staví nejednoznačně i k vyřizování stížností, kdy není jasné, zda představuje lex specialis vůči vnitrostátním pravidlům pro vymáhání práv z vadného plnění, či nikoli. Je proto nutné posoudit, zda režim stížností dle MiCA (neobsahující žádné konkrétní lhůty ani právní následky) představuje vyjádření nespokojenosti s jednáním poskytovatele, nebo zda představuje také vyjádření nespokojenosti s kvalitou či kvantitou smluvního plnění. Těmto otázkám se autor věnuje v samostatném pojednání.
Je škoda, že nebyla využita šance formulovat nařízení TFR tak, aby nařízení GDPR doplňovalo i v tom smyslu, že by jednotlivé obecné pojmy doplňovalo a upřesňovalo pro účely provádění kryptografických transakcí a souvisejícího uchování a výmazu dat. Právě technologie DLT a Blockchain mohou totiž být nápomocné k tomu, aby veřejnosti poskytly skutečně efektivní kontrolu nad osobními údaji a tím i zlepšily reputaci GDPR jako celku. Nový regulatorní rámec však jejich efektivnímu využívání v tomto ohledu nepomohl.
Alexander Kult
Autor je odborník na finanční právo.
[1] Finální publikovaná verze je dostupná zde: https://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX:32023R1114.
[2] Dostupné zde: https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32023R1113&qid=1700408253287.
[3] European Parliament. Blockchain and the General Data Protection Regulation. Can distributed ledgers be squared with European data protection law? STUDY Panel for the Future of Science and Technology EPRS | European Parliamentary Research Service Scientific Foresight Unit (STOA) PE 634.445 – July 2019. Dostupné z: https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf.
[4] Seers. How Does GDPR Affect Blockchain And Cryptocurrency? Dostupné z: https://seersco.com/articles/gdpr-affect-the-blockchain-and-cryptocurrency/.
[5] Návrh zákona o implementaci předpisů Evropské unie v oblasti digitálních financí. Dostupné z: https://odok.cz/portal/veklep/material/KORNCWHFWZ3M/ a Návrh zákona, kterým se mění některé zákony v souvislosti s implementací předpisů Evropské unie v oblasti digitálních financí a financování udržitelnosti https://odok.cz/portal/veklep/material/KORNCWHGA6Y2/.
[6] § 1829 Občanského zákoníku.
[7] Nařízení Evropského parlamentu a Rady (ES) č. 593/2008 ze dne 17. června 2008 o právu rozhodném pro smluvní závazkové vztahy (Řím I), čl. 6.