This document is an excerpt from the EUR-Lex website
Document 32019Q1125(01)
Decision of the Management Board of the European Securities and Markets Authority of 1 October 2019 adopting internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of ESMA
Решение на Управителния съвет на Европейския орган за ценни книжа и пазари от 1 октомври 2019 година относно приемането на вътрешни правила, свързани с ограниченията на някои права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на ESMA
Решение на Управителния съвет на Европейския орган за ценни книжа и пазари от 1 октомври 2019 година относно приемането на вътрешни правила, свързани с ограниченията на някои права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на ESMA
OB L 303, 25.11.2019, p. 31–36
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
25.11.2019 |
BG |
Официален вестник на Европейския съюз |
L 303/31 |
РЕШЕНИЕ НА УПРАВИТЕЛНИЯ СЪВЕТ НА ЕВРОПЕЙСКИЯ ОРГАН ЗА ЦЕННИ КНИЖА И ПАЗАРИ
от 1 октомври 2019 година
относно приемането на вътрешни правила, свързани с ограниченията на някои права на субекти на данни във връзка с обработването на лични данни в рамките на функционирането на ESMA
Управителният съвет,
като взе предвид Договора за функционирането на Европейския съюз,
като взе предвид Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (1), и по-специално член 25 от него,
като взе предвид Регламент (ЕС) № 1095/2010 на Европейския парламент и на Съвета от 24 ноември 2010 г. за създаване на Европейски надзорен орган (Европейски орган за ценни книжа и пазари), за изменение на Решение № 716/2009/ЕО и за отмяна на Решение 2009/77/ЕО на Комисията (2) с допълнителните изменения, отмяна или замяна, и по-конкретно член 71 от него,
като взе предвид становището на Европейския надзорен орган по защита на данните (ЕНОЗД) от 20 юни 2019 г. и насоките на ЕНОЗД относно член 25 от новия регламент и вътрешните правила,
след консултация с Комитета по персонала,
като има предвид, че:
|
(1) |
Органът изпълнява дейността си в съответствие с Регламент (ЕС) № 1095/2010 („Регламент за ESMA“ или „ESMA“) с допълнителните изменения, отмяна или замяна. |
|
(2) |
Органът обработва няколко категории лични данни, включително потвърдени данни (напр. данни за идентификация, данни за контакт, професионални данни, административни данни, данни, получени от специфични източници, електронни съобщения и данни за трафик) и/или непотвърдени данни (свързани със случая, напр. мотиви, данни за поведението и действията, както и данни, свързани или представени във връзка с предмета на процедурата или дейността). |
|
(3) |
Органът, представляван от своя изпълнителен директор, действа като администратор на данни независимо от делегирането на допълнителни функции на администратор в рамките на Органа, които отразяват оперативните отговорности за определени операции по обработването на лични данни. |
|
(4) |
Личните данни се съхраняват по сигурен начин в електронна среда или на хартия с оглед предотвратяването на незаконния достъп до тях или предаването на данни на лица, които не е необходимо да се запознават с тях. Обработваните лични данни се съхраняват за срок, не по-дълъг от необходимия за целите, за които се обработват данните, за периода, посочен в регистрите за защита на личните данни и декларациите за защита на личните данни на Органа. |
|
(5) |
За изпълнението на мисията си Органът е задължен да зачита в максимална степен основните права на субектите на данни, и по-специално правото на предоставяне на информация, достъп и коригиране, правото на изтриване, ограничаване на обработването, правото на информиране на субекта на данните за нарушение на сигурността на личните данни или правото на поверителност на съобщенията, както е предвидено в Регламент (ЕС) 2018/1725. |
|
(6) |
Същевременно Органът може да бъде задължен да ограничи информацията, която се предоставя на субекта на данни, както и други права на субекта на данни, по-специално с цел да защити поверителността на собствените си разследвания, разследванията и процедурите на други публични органи, както и правата и свободите на други лица, свързани с неговите разследвания или други процедури. |
|
(7) |
В рамките на административното си функциониране Органът може да провежда определени видове проучвания, например административни проверки, дисциплинарни производства, предварителни действия във връзка с финансови измами, проучвания във връзка със случаи на подадени сигнали за нередности или тормоз, вътрешни одити, проучвания за защита на личните данни или за нарушения на етичния кодекс, проучвания в областта на ИКТ, проучвания за надеждност на информацията и дейности, извършвани в контекста на управлението на рисковете за сигурността и инцидентите. Освен това, за изпълнението на мисията си, Органът провежда проучвания, свързани с преките му надзорни или правоприлагащи функции, и може да провежда проучвания за потенциални нарушения на правото на Съюза, както и проверки на определен вид финансова активност, вид продукт или действия с цел оценка на потенциалните заплахи за целостта на финансовите пазари или за стабилността на финансовата система. |
|
(8) |
Вътрешните правила следва да се прилагат за всички операции по обработване, извършвани от Органа за целите на горепосочените разследвания. Те следва да се прилагат за операциите по обработване, извършвани преди започването на горепосочените проучвания, по време на тях и по време на проследяването на последващите действия във връзка с резултатите от тези проучвания. Тук следва да бъдат включени също помощта и сътрудничеството, които Органът предоставя на националните органи и международните организации извън административните му проучвания. |
|
(9) |
Преди да приложи ограниченията, предвидени в настоящите вътрешни правила, Органът трябва да прецени дали е приложимо някое от изключенията, предвидени в Регламент (ЕС) 2018/1725. В случаите, в които се прилагат тези вътрешни правила, Органът трябва да представи обосновка и да обясни защо ограниченията са строго необходими и пропорционални в едно демократично общество и как се зачита същността на основните права и свободи. |
|
(10) |
Органът следва периодично да проверява дали условията, обосноваващи ограничението, продължават да бъдат валидни, и ако вече не са, следва да отмени ограничението. |
|
(11) |
Администраторът следва да информира длъжностното лице за защита на данните при ограничаване на прилагането на правата на определени субекти на данни по силата на настоящото решение, при удържаване на ограничението и при отмяната му, |
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
Предмет и приложно поле
1. С настоящото решение се определят правила относно условията, при които Органът, в рамките на своите процедури, посочени в параграфи 2—5, може да ограничи прилагането на правата, заложени в членове 14—21 и 36, както и в член 4 от него, като се спазва член 25 от Регламент (ЕС) 2018/1725. Тези ограничения не засягат изключенията от правата на субектите на данни, предвидени в Регламент (ЕС) 2018/1725.
2. В рамките на административното функциониране на Органа, ограниченията, предвидени в точка 1 от настоящия член, се прилагат за обработката на лични данни от Органа за целите на:
|
а) |
административни проверки и дисциплинарни производства; |
|
б) |
обработване на нередности в сътрудничество с Европейската служба за борба с измамите (OLAF); |
|
в) |
обработване на случаи във връзка с подадени сигнали за нередности, (официални и неофициални), случаи на тормоз, както и вътрешни и външни жалби; |
|
г) |
вътрешни одити, проучвания за защита на личните данни или за нарушения на етичния кодекс; |
|
д) |
проучвания в областта на ИКТ, проучвания за надеждност на информацията и дейностите, извършвани в контекста на управлението на рисковете за сигурността и инцидентите, извършвани вътрешно или с външно участие. |
3. В рамките на изпълнението на мисията на Органа, ограниченията, предвидени в точка 1 от настоящия член, се прилагат за обработката на лични данни от Органа за целите на:
|
а) |
проучвания, свързани с преките надзорни или правоприлагащи функциие на Органа; |
|
б) |
проучвания за потенциални нарушения на правото на Съюза съгласно член 17 от Регламента за ESMA; и |
|
в) |
проверки на определен вид финансова активност, вид продукт или действия с цел оценка на потенциалните заплахи за целостта на финансовите пазари или за стабилността на финансовата система съгласно член 22 от Регламента за ESMA. |
4. В допълнение, ограниченията се прилагат по отношение на помощта, координацията и/или сътрудничеството, предоставяни от Органа на националните органи за ценни книжа и пазари, включително органи на трети страни, и международните организации в контекста на проучванията, провеждани за изпълнение на законоустановените им мисии.
5. Ограниченията, посочени в параграф 1 от настоящия член, се прилагат за операциите по обработване, извършвани преди започването на проучванията или другите административни проверки, изброени в параграфи 2 до 4 по-горе, по време на тях и по време на проследяването на последващите действия във връзка с резултатите от тези проучвания.
6. Настоящото решение е приложимо за всяка категория лични данни, обработвани в контекста на дейностите, посочени в параграфи 2 до 5 по-горе.
7. При спазване на условията, определени в настоящото решение, ограничения могат да се прилагат по отношение на следните права: предоставяне на информация на субектите на данни, право на достъп, коригиране, изтриване, ограничаване на обработването на данни и информиране на субекта за нарушение на сигурността на личните данни.
Член 2
Администратор на данни, отговарящ за проучванията и приложимите мерки за защита
1. Въведените предпазни мерки за избягване на нарушения по отношение на сигурността на данните, изтичане на информация или неразрешено оповестяване в контекста на проучванията, посочени в член 1, са следните:
|
а) |
документите на хартиен носител се съхраняват в обезопасени шкафове и са достъпни само за упълномощени служители; |
|
б) |
всички електронни данни се управляват посредством одобрени от Органа устройства, информационни системи, приложения и ресурси за съхранение на данни. Приложенията на системата за управление на документи на Органа се използват за организиране, намиране, споделяне, поддържане и защита на електронните данни на Органа. Упълномощените служители на Органа получават достъп до електронните данни само в съответствие с принципа „необходимост да се знае“; |
|
в) |
всички лица, които имат достъп до данните, са обвързани от задължението за поверителност. |
2. Администратор на операциите по обработване е Органът, представляван от своя изпълнителен директор, който може да делегира функцията на администратор. Субектите на данни се уведомяват относно делегирания администратор чрез регистри за защита на данните, публикувани на уебсайта на Органа.
3. Срокът на запазване на обработваните лични данни не може да бъде по-дълъг от срока, който е необходим и подходящ за целите, за които се обработват данните. Срокът на запазване се посочва в регистрите за защита на данните и декларациите за поверителност, посочени в член 5, параграф 1.
4. Когато Органът обмисля налагането на ограничение, рискът за правата и свободите на субекта на данни се преценява, по-специално въз основа на риска за правата и свободите на други субекти на данни и риска от премахване на ефекта от проучванията или процедурите на Органа, например чрез унищожаване на доказателства. Рисковете за правата и свободите на субекта на данни са свързани предимно, но не само, с рискове за репутацията, както и с рискове за правото на защита и правото на изслушване.
Член 3
Ограничения
1. Всички ограничения се прилагат от Органа единствено с цел да се гарантира:
|
а) |
предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказания, включително предпазването и предотвратяването на заплахи за обществената сигурност; |
|
б) |
други важни цели от общ обществен интерес на Съюза или на държава членка, по-специално целите на общата външна политика и политика на сигурност на Съюза или важен икономически или финансов интерес на Съюза или на държава членка, включително парични, бюджетни и данъчни въпроси, общественото здраве и социалната защита; |
|
в) |
вътрешната сигурност на институциите и органите на Съюза, включително сигурността на техните електронни съобщителни мрежи; |
|
г) |
предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии; |
|
д) |
наблюдението, проверката или регламентирането, свързани, дори само понякога, с упражняването на официални правомощия в случаите, посочени в букви а) и б); |
|
е) |
защитата на субекта на данни или на правата и свободите на други лица. |
2. Конкретно за целите, описани в параграф 1 по-горе, Органът може да прилага ограничения по отношение на личните данни, обменяни със службите на Комисията или други институции, органи, агенции и служби на Съюза, с компетентните органи на държавите членки или трети държави или с международни организации при следните обстоятелства:
|
а) |
когато упражняването на тези права и задължения може да бъде ограничено от службите на Комисията или други институции, органи, агенции и служби на Съюза въз основа на други актове, предвидени в член 25 от Регламент (ЕС) 2018/1725 или в съответствие с глава IX от същия регламент, или въз основа на актовете за създаване на други институции, органи, агенции и служби на Съюза; |
|
б) |
когато упражняването на тези права и задължения може да бъде ограничено от компетентните органи на държавите членки въз основа на актовете, посочени в член 23 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (3), или съгласно националните мерки за транспониране на член 13, параграф 3, член 15, параграф 3 или член 16, параграф 3 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (4); |
|
в) |
когато упражняването на тези права и задължения може да застраши сътрудничеството на Органа с трета държава или международни организации при изпълнението на неговите задачи или на задачите на третата държава или международните организации. Преди да наложи ограничения при обстоятелствата, посочени в букви а) и б), първа алинея, Органът се консултира със съответните служби на Комисията и институции, органи, агенции и служби на Съюза или с компетентните органи на държавите членки, освен ако за Органа не е ясно, че налагането на ограничение е предвидено в някой от актовете, посочени в тези букви. |
3. Всяко ограничение трябва да бъде необходимо и пропорционално предвид рисковете за правата и свободите на субектите на данни и да зачита същността на основните права и свободи в демократичното общество.
4. Ако се обмисля налагането на ограничение, се извършва проверка на необходимостта и пропорционалността въз основа на настоящите правила. Проверката се документира за всеки отделен случай чрез вътрешна бележка за оценка за целите на отчетността.
5. Ограниченията се отменят веднага след като обстоятелствата, послужили като основание за налагането им, престанат да съществуват. По-специално когато бъде преценено, че упражняването на ограниченото право вече няма да премахва ефекта от наложеното ограничение или няма да засяга неблагоприятно правата или свободите на други субекти на данни.
Член 4
Преглед от длъжностното лице за защита на данните
1. Администраторът уведомява своевременно длъжностното лице за защита на данните („ДЛЗД“) всеки път, когато администраторът ограничава прилагането на правата на субектите на данни или разширява обхвата на ограничението съгласно настоящото решение. Администраторът предоставя на ДЛЗД достъп до вътрешната бележка, съдържаща оценката на необходимостта и пропорционалността на ограничението, както и, ако е приложимо, до основните фактически и правни елементи, и документира датата на уведомяване на ДЛЗД.
2. ДЛЗД може да поиска от администратора да направи преглед на прилагането на ограниченията в писмен вид. Администраторът информира писмено ДЛЗД относно резултата от поискания преглед.
3. Администраторът информира ДЛЗД, когато ограничението е отменено.
4. Администраторът документира участието на ДЛЗД в различните етапи на процеса, като се започне от датата на уведомяване на ДЛЗД.
5. Вътрешната бележка и, ако е приложимо, основните фактически и правни елементи се предоставят при поискване на Европейския надзорен орган по защита на данните.
Член 5
Предоставяне на информация на субекта на данни
1. Органът публикува на своя уебсайт регистри за защита на личните данни, които информират всички субекти на данни за дейностите на Органа, свързани с обработването на лични данни, включително информация за потенциалното ограничаване на правата на субектите на данни.
2. Органът уведомява поотделно всички субекти на данни, за които счита, че са засегнати от проучването или проверката, относно регистъра за защита на личните данни във връзка със специфичните операции по обработване, без ненужно забавяне и в писмена форма.
3. В надлежно обосновани случаи и при условията, предвидени в настоящото решение, Органът може да ограничи изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 2. В този случай той документира във вътрешна бележка причините за ограничаването, законовото основание в съответствие с член 3 от настоящото решение, включително оценката на необходимостта и пропорционалността на ограничението.
4. Ограничението, посочено в параграф 3, продължава да се прилага, докато причините за него продължават да бъдат валидни.
Когато причините за ограничението вече не са валидни, Органът уведомява засегнатия субект на данни относно съответния регистър за защита на данните и основните причини за прилагането на ограничение. Уведомлението може да съдържа покана за представяне на резултатите от текущото проучване или проверката, като част от упражняването на правото на защита на засегнатия субект на данни. В същото време Органът информира субекта на данни за правото да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да търси защита по съдебен ред пред Съда на Европейския съюз.
Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответната проверка или проучване.
Член 6
Право на достъп на субекта на данните
1. В допълнение към искането на субект на данни, Органът може да ограничи изцяло или частично правото на този субект да получи потвърждение дали отнасящите се до него/нея лични данни се обработват от Органа в контекста на проучване или проверка, посочени в член 1 от настоящото решение, и ако случаят е такъв, правото на достъп до тези данни и друга информация, посочена в член 17 от Регламент (ЕС) 2018/1725.
2. Когато ограничава правото на достъп, в отговор на съответното искане, Органът информира засегнатия субект на данни за наложеното ограничение и за основните причини за него, както и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсенето на защита по съдебен ред пред Съда на Европейския съюз;
3. Предоставянето на информацията, посочена в параграф 2, може да бъде отложено, пропуснато или отказано, ако предоставянето би премахнало ефекта от ограничението в съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725. В такъв случай Органът документира във вътрешна бележка за оценка причините за ограничаването, включително оценката на необходимостта, пропорционалността на ограничението и продължителността му.
4. Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответната проверка или проучване.
Член 7
Право на коригиране, изтриване и ограничаване на обработването
1. В допълнение към искането на субект на данни, Органът може, в контекста на проучване или проверка, посочени в член 1 от настоящото решение, да ограничи изцяло или частично правото на този субект на коригиране на лични данни, свързани с него или нея, на изтриване или ограничаване на обработването на неговите или нейните лични данни, както е предвидено в членове 18, 19 и 20 от Регламент (ЕС) 2018/1725.
2. Когато ограничава прилагането на правото на коригиране, изтриване или ограничаване на обработването, посочено по-горе, Органът предприема стъпките, посочени в член 6, параграф 2 и член 6, параграф 3 от настоящото решение.
3. Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответната проверка или проучване.
Член 8
Информиране на субекта на данните за нарушение на сигурността на личните данни
1. Органът съобщава на засегнатия субект на данни за нарушение на сигурността на личните данни, когато има вероятност това нарушение да доведе до висок риск за правата и свободите на физическите лица, както е предвидено в член 35 от Регламент (ЕС) 2018/1725.
2. В надлежно обосновани случаи и при условията, предвидени в настоящото решение, Органът може да ограничи изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 1 от настоящия член. В този случай той документира във вътрешна бележка причините за ограничаването, законовото основание в съответствие с член 3 от настоящото решение, включително оценката на необходимостта и пропорционалността на ограничението.
3. Ограничението, посочено в параграф 2, продължава да се прилага, докато причините за него продължават да бъдат валидни.
Когато причините за ограничението вече не са валидни, Органът съобщава за нарушението на сигурността на личните данни на засегнатия субект на данни и информира субекта на данните за основните причини за ограничението. В същото време Органът информира субекта на данни за правото да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да търси защита по съдебен ред пред Съда на Европейския съюз.
Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответната проверка или проучване.
Член 9
Влизане в сила
Настоящото решение влиза в сила на деня след публикуването му в Официален вестник на Европейския съюз.
Съставено в Хелзинки на 1 октомври 2019 година.
За Управителния съвет
Steven MAIJOOR
Председател
(1) ОВ L 295, 21.11.2018 г., стр. 39.
(2) ОВ L 331, 15.12.2010 г., стр. 84.
(3) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (OВ L 119, 4.5.2016 г., стр. 1).
(4) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (OB L 119, 4.5.2016 г., стр. 89).