Uitvoeringsrichtlijn (EU) 2015/2392 van de Commissie van 17 december 2015 bij Verordening (EU) nr. 596/2014 van het Europees Parlement en de Raad met betrekking tot de melding van daadwerkelijke of potentiële inbreuken op deze verordening aan de bevoegde autoriteiten

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) nr. 596/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende marktmisbruik (verordening marktmisbruik) en houdende intrekking van Richtlijn 2003/6/EG van het Europees Parlement en de Raad en Richtlijnen 2003/124/EG, 2003/125/EG en 2004/72/EG van de Commissie⁽¹⁾, en met name artikel 32, lid 5,

Overwegende hetgeen volgt:

1. Personen die daadwerkelijke of potentiële inbreuken op Verordening (EU) nr. 596/2014 aan de bevoegde autoriteiten melden (klokkenluiders) kunnen nieuwe informatie onder de aandacht van de bevoegde autoriteiten brengen en hen helpen bij het opsporen en bestraffen van marktmisbruik. Klokkenluiders kunnen echter worden ontmoedigd door angst voor represailles, discriminatie of de openbaarmaking van persoonsgegevens. Er zijn derhalve passende regelingen met betrekking tot klokkenluiders nodig om de algemene bescherming en de eerbiediging van de grondrechten van klokkenluiders en beschuldigde personen te waarborgen. Personen die willens en wetens onjuiste of misleidende informatie aan de bevoegde autoriteiten melden, moeten niet als klokkenluiders worden beschouwd en dienen dus niet in aanmerking te komen voor de beschermingsmechanismen.

2. Anonieme melding moet door de bevoegde autoriteiten worden toegestaan en de beschermingsmechanismen van deze richtlijn dienen ook van toepassing te zijn wanneer een anonieme klokkenluider in een later stadium besluit zijn identiteit aan de bevoegde autoriteit bekend te maken. Klokkenluiders dienen vrij te zijn om hetzij via interne procedures, voor zover die bestaan, hetzij rechtstreeks inbreuken bij de bevoegde autoriteiten te melden.

3. De bevoegde autoriteiten zouden over specifieke personeelsleden moeten beschikken die gekwalificeerd zijn, onder meer op het gebied van de toepasselijke gegevensbeschermingsvoorschriften, voor de verwerking van meldingen van inbreuken op Verordening (EU) nr. 596/2014, de communicatie met de meldende persoon, evenals voor een behoorlijke follow-up van de melding.

4. Personen die voornemens zijn om daadwerkelijke of potentiële inbreuken op Verordening (EU) nr. 596/2014 te melden, moeten met kennis van zaken kunnen beslissen of, hoe en wanneer zij tot melding overgaan. De bevoegde autoriteiten moeten daarom informatie openbaar maken welke gemakkelijk toegankelijk moet zijn, over de beschikbare communicatiekanalen met de bevoegde autoriteiten, over de toepasselijke procedures en over de personeelsleden binnen de autoriteit die zich specifiek bezighouden met meldingen van inbreuken. Alle informatie over meldingen van inbreuken moet transparant, begrijpelijk en betrouwbaar zijn ten einde de melding van inbreuken te bevorderen en niet te ontmoedigen.

5. Om te zorgen voor doeltreffende communicatie met de specifieke personeelsleden is het noodzakelijk dat de bevoegde autoriteiten over verschillende communicatiekanalen beschikken die gebruiksvriendelijk zijn en die voor schriftelijke en mondelinge, alsook voor elektronische en niet-elektronische communicatie kunnen worden gebruikt.

6. Het is belangrijk dat de procedures voor de bescherming van in het kader van een arbeidsovereenkomst werkzame personen, ongeacht de aard van hun werkrelatie en of zij al dan niet worden betaald, deze personen beschermen tegen represailles, discriminatie of andere vormen van rechtstreekse of onrechtstreekse onbillijke behandeling wanneer zij inbreuken melden of worden beschuldigd van inbreuken op Verordening (EU) nr. 596/2014. Onbillijke behandeling kan zeer uiteenlopende vormen aannemen naargelang van de omstandigheden. Daarom moeten individuele gevallen worden beoordeeld op grond van regels van geschillenbeslechting of gerechtelijke procedures die in het nationale recht voorhanden zijn.

7. De lidstaten dienen ervoor te zorgen dat de bevoegde autoriteiten over adequate beschermingsprocedures beschikken voor de verwerking van meldingen van inbreuken en van de persoonsgegevens van de aangegeven personen. Deze procedures moeten ervoor zorgen dat de identiteit van elke persoon die een melding doet of die wordt aangegeven, in alle fasen van de procedure wordt beschermd. Deze verplichting dient geen afbreuk te doen aan de noodzaak en de evenredigheid van de verplichting tot openbaarmaking van informatie wanneer dit door het Unierecht of de nationale wetgeving wordt voorgeschreven, en dient onderworpen te zijn aan passende waarborgen uit hoofde van die wetgeving, ook in het kader van onderzoek of gerechtelijke procedures of om de vrijheden van anderen te beschermen, zoals het recht op verdediging van de aangegeven persoon.

8. Het is uiterst belangrijk en noodzakelijk dat specifieke personeelsleden van de bevoegde autoriteit en personeelsleden van de bevoegde autoriteit die toegang krijgen tot informatie welke door een meldende persoon aan de bevoegde autoriteit is verstrekt, zich bij het doorgeven van de gegevens zowel binnen als buiten de bevoegde autoriteit houden aan het beroepsgeheim en de geheimhoudingsplicht, ook wanneer de bevoegde autoriteit een onderzoek start of handhavingsmaatregelen vaststelt naar aanleiding van de melding van inbreuken.

9. De lidstaten moeten erop toezien dat alle meldingen van een inbreuk naar behoren worden geregistreerd en dat iedere melding bij de bevoegde autoriteit kan worden opgevraagd, en dat informatie die via de meldingen wordt ontvangen, in voorkomend geval als bewijsmateriaal kan worden gebruikt in het kader van handhavingsmaatregelen. De lidstaten moeten ervoor zorgen dat Richtlijn 95/46/EG van het Europees Parlement en de Raad⁽²⁾ en de nationale wetgeving tot omzetting van Richtlijn 95/46/EG worden nageleefd.

10. De bescherming van de persoonsgegevens van de meldende en van de aangegeven persoon is van cruciaal belang om onbillijke behandeling of imagoschade als gevolg van de bekendmaking van persoonsgegevens, met name gegevens waaruit de identiteit van de betrokkene blijkt, te voorkomen. Daarom dienen de bevoegde autoriteiten naast de nationale wetgeving inzake gegevensbescherming die voortvloeit uit de omzetting van Richtlijn 95/46/EG, passende gegevensbeschermingsprocedures vast te stellen die specifiek gericht zijn op de bescherming van de meldende en de aangegeven persoon, met inbegrip van een veilig systeem binnen de bevoegde autoriteit dat uitsluitend toegankelijk is voor bevoegd personeel.

11. De doorgifte van persoonsgegevens door de bevoegde autoriteit naar aanleiding van de melding van een inbreuk zou noodzakelijk kunnen zijn om een dergelijke melding te beoordelen en om de noodzakelijke onderzoeks- en handhavingsmaatregelen te treffen. Bij de doorgifte van gegevens binnen de bevoegde autoriteit of aan derden moeten de bevoegde autoriteiten de vertrouwelijkheid van die gegevens, overeenkomstig de nationale wetgeving, zoveel mogelijk respecteren.

12. De rechten van de aangegeven persoon die beschuldigd wordt van een inbreuk op Verordening (EU) nr. 596/2014, moeten worden beschermd om reputatieschade of andere negatieve gevolgen te voorkomen. Voorts dienen, in alle fasen van de procedure volgend op de melding, het recht op verdediging en de toegang tot rechtsmiddelen van de aangegeven persoon volledig te worden gerespecteerd. De lidstaten dienen het recht op verdediging van de aangegeven persoon te waarborgen, met inbegrip van het recht op toegang tot het dossier, het recht om te worden gehoord en het recht op een doeltreffend rechtsmiddel tegen een besluit betreffende de aangegeven persoon, overeenkomstig de toepasselijke procedures van nationaal recht in het kader van een onderzoek of de daaropvolgende gerechtelijke procedures.

13. Een regelmatige en ten minste tweejaarlijkse (eenmaal per twee jaar) evaluatie van de procedures van de bevoegde autoriteiten moet garanderen dat deze procedures passend en actueel zijn en derhalve aan hun doel beantwoorden. Hiertoe is het belangrijk dat de bevoegde autoriteiten hun eigen ervaringen evalueren en ervaringen en goede praktijken uitwisselen met andere bevoegde autoriteiten.

14. Gezien het feit dat de opstelling van gedetailleerde regels voor de bescherming van klokkenluiders het voor de lidstaten moeilijker zou maken de verenigbaarheid en de operationele overeenstemming met hun nationale stelsels, met inbegrip van de administratieve, procedurele en institutionele aspecten daarvan te waarborgen, dient de uitvoeringshandeling een enigszins flexibel karakter te hebben. Deze flexibiliteit zou beter worden bereikt met een richtlijn dan met een verordening en daarom lijkt een richtlijn het geschiktste instrument om de lidstaten in staat te stellen de regelgeving betreffende de melding van inbreuken op efficiënte wijze in hun nationale stelsels, waaronder het institutionele kader, op te nemen.

15. Gezien het feit dat Verordening (EU) nr. 596/2014 op 3 juli 2016 in werking treedt, dienen de lidstaten de bepalingen die uit deze richtlijn voortvloeien vanaf 3 juli 2016 om te zetten en toe te passen.

16. De in deze richtlijn vervatte maatregelen stroken met het advies van het Europees Comité voor het effectenbedrijf,

HEEFT DE VOLGENDE RICHTLIJN VASTGESTELD: