ROZHODNUTÍ SPRÁVNÍ RADY EVROPSKÉHO ORGÁNU PRO CENNÉ PAPÍRY A TRHY

ze dne 1. října 2019,

kterým se přijímají vnitřní předpisy týkající se omezení některých práv subjektů údajů, pokud jde o zpracování osobních údajů v rámci fungování ESMA

SPRÁVNÍ RADA,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (1), a zejména na článek 25 tohoto nařízení,

s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES (2), které může být dále změněno, zrušeno nebo nahrazeno, a zejména na článek 71 uvedeného nařízení,

s ohledem na stanovisko evropského inspektora ochrany údajů ze dne 20. června 2019 a pokyny evropského inspektora ochrany údajů k článku 25 nového nařízení a k vnitřním předpisům,

po konzultaci Výboru zaměstnanců,

vzhledem k těmto důvodům:

(1)	Orgán ESMA vykonává své činnosti v souladu s nařízením (EU) č. 1095/2010 (dále jen „nařízení o orgánu ESMA“ a „orgán ESMA“), které může být dále změněno, zrušeno nebo nahrazeno.

(2)

Orgán ESMA zpracovává několik kategorií osobních údajů, včetně „objektivních“ údajů (např. údaje o totožnosti, kontaktní údaje, profesní údaje, správní podrobnosti, údaje získané ze zvláštních zdrojů, elektronická komunikace a provozní údaje) nebo „subjektivních“ údajů (např. údaje týkající se daného případu, např. odůvodnění, údaje o chování a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činností).

(3)	Orgán ESMA, zastoupený svým výkonným ředitelem, vystupuje jako správce údajů bez ohledu na další přenesení pravomocí spojených s úlohou správce v rámci orgánu ESMA s cílem zohlednit provozní odpovědnost za konkrétní operace zpracování osobních údajů.

(4)

Osobní údaje jsou bezpečně uloženy v elektronickém prostředí nebo v papírové podobě, která brání protiprávnímu přístupu nebo předání údajů osobám, které je nepotřebují znát. Zpracovávané osobní údaje jsou uchovávány jen po nezbytnou dobu a k účelům, pro které se zpracovávají během období uvedeného v záznamech o ochraně údajů a prohlášeních o ochraně soukromí orgánu ESMA.

(5)

Pro účely výkonu svého poslání je orgán ESMA povinen dodržovat v maximální možné míře základní práva subjektů údajů, zejména ta, která se týkají práva na poskytování informací, práva na přístup k údajům a jejich opravu, práva na výmaz, omezení zpracování, práva na oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo na důvěrnost komunikace, jak je zakotveno v nařízení (EU) 2018/1725.

(6)

Je však možné, že orgán ESMA bude muset informace poskytované subjektům údajů nebo jiná práva subjektů údajů omezit, a to zejména s cílem chránit důvěrnost a účelnost svých vlastních vyšetřování, vyšetřování a řízení jiných veřejných orgánů, jakož i práva jiných osob související s vyšetřováními nebo jinými řízeními.

(7)

V rámci svého správního fungování může orgán ESMA provádět některá vyšetřování, například správní šetření, disciplinární řízení, předběžné činnosti související s případy finančních podvodů, vyšetřování týkající se případů whistleblowingu nebo obtěžování, interní audity, vyšetřování týkající se ochrany osobních údajů nebo porušení etických pravidel, vyšetřování v oblasti informačních a komunikačních technologií, vyšetřování zabezpečení informací a činnosti vykonávané v souvislosti s bezpečnostními riziky a řízením incidentů. Orgán ESMA provádí pro účely výkonu svého poslání navíc vyšetřování týkající se jeho funkcí přímého dohledu nebo vymáhání a může provádět vyšetřování případných porušení práva Unie, jakož i šetření konkrétního typu finanční činnosti nebo typu produktu či jednání s cílem posoudit potenciální hrozby pro integritu finančních trhů nebo stabilitu finančního systému.

(8)

Vnitřní předpisy by se měly uplatňovat na všechny operace zpracování prováděné orgánem ESMA při výše uvedených vyšetřováních. Tyto vnitřní předpisy by měly platit i pro operace zpracování provedené před zahájením výše uvedených vyšetřování, během těchto vyšetřování a během sledování návazného postupu v reakci na výstupy těchto vyšetřování. Součástí by rovněž měla být pomoc, koordinace a/nebo spolupráce, o kterou orgán ESMA požádají vnitrostátní orgány a mezinárodní organizace v rámci svých vlastních správních vyšetřování.

(9)

Před využitím omezení předpokládaných v těchto vnitřních předpisech by orgán ESMA měl zvážit, zda se uplatňují některé z výjimek stanovených v nařízení (EU) 2018/1725. V případech, kdy se použijí omezení podle těchto vnitřních předpisů, musí orgán ESMA vysvětlit, proč jsou tato omezení přísně vzato nezbytná a přiměřená v demokratické společnosti, a musí dodržovat podstatu základních práv a svobod.

(10)	Orgán ESMA by měl sledovat, zda podmínky, které odůvodňují omezení, stále platí, a pokud již neplatí, měl by omezení zrušit.

(11)	Správce údajů by měl informovat pověřence pro ochranu osobních údajů, když omezuje uplatňování některých práv subjektů údajů podle tohoto rozhodnutí, když prodlužuje platnost takového omezení a když je toto omezení zrušeno,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

Předmět a oblast působnosti

1. Tímto rozhodnutím se stanoví vnitřní předpisy týkající se podmínek, za nichž může orgán ESMA v rámci svých činností stanovených v odstavcích 2 až 5 omezit uplatňování práv zakotvených v článcích 14 až 21 a 35, jakož i v článku 4 uvedeného nařízení, a to v souladu s článkem 25 nařízení (EU) 2018/1725. Těmito omezeními nejsou dotčeny výjimky z práv subjektů údajů stanovených v nařízení (EU) 2018/1725.

2. V rámci správního fungování orgánu ESMA se omezení předpokládaná v bodě 1 tohoto článku uplatňují na zpracování osobních údajů orgánem ESMA pro účely:

a)	správních šetření a disciplinárních řízení;

b)	zpracování nesrovnalostí v součinnosti s Evropským úřadem pro boj proti podvodům (OLAF);

c)	vyřizování případů whistleblowingu, (formálních a neformálních) případů obtěžování, jakož i interních a externích stížností;

d)	interních auditů a vyšetřování týkajících se ochrany osobních údajů nebo porušení etických pravidel;

e)	vyšetřování v oblasti informačních a komunikačních technologií, vyšetřování zabezpečení informací a činností vykonávaných v souvislosti s bezpečnostními riziky a řízením incidentů, probíhajících na interní úrovni nebo se zapojením externích subjektů.

3. V rámci výkonu poslání orgánu ESMA se omezení předpokládaná v bodě 1 tohoto článku uplatňují na zpracování osobních údajů orgánem ESMA pro účely:

a)	vyšetřování týkajících se funkcí orgánu ESMA v oblasti přímého dohledu a vymáhání;

b)	vyšetřování potenciálních porušení práva Unie podle článku 17 nařízení o orgánu ESMA a

c)	šetření konkrétního typu finanční činnosti, typu produktu či typu jednání s cílem posoudit potenciální hrozby pro integritu finančních trhů nebo stabilitu finančního systému podle článku 22 nařízení o orgánu ESMA.

4. Tato omezení se navíc vztahují na pomoc, koordinaci a/nebo spolupráci, kterou orgán ESMA poskytuje vnitrostátním orgánům pro cenné papíry a trhy, včetně orgánů třetích zemí, a mezinárodním organizacím v souvislosti s vyšetřováními vedenými při výkonu jejich zákonného poslání.

5. Tato omezení ve smyslu odstavce 1 tohoto článku platí i pro operace zpracování provedené před zahájením vyšetřování nebo jiných správních šetření podle odstavců 2 až 4 výše, během těchto vyšetřování a během sledování návazného postupu v reakci na výstupy těchto vyšetřování.

6. Toto rozhodnutí se použije na každou kategorii osobních údajů zpracovávaných v rámci činností uvedených v odstavcích 2 až 5 výše.

7 V závislosti na podmínkách stanovených v tomto rozhodnutí mohou platit omezení pro tato práva: poskytování informací subjektům údajů, právo na přístup, opravu, výmaz, omezení zpracování a oznamování případů porušení zabezpečení osobních údajů subjektu údajů.

Článek 2

Správce odpovědný za vyšetřování a příslušné záruky

1. Záruky zavedené s cílem zabránit porušení zabezpečení osobních údajů, únikům nebo neoprávněnému poskytnutí údajů v souvislosti s vyšetřováními uvedenými v článku 1 jsou tyto:

a)	papírové dokumenty se uchovávají v zabezpečených skříních a přístup k nim mají pouze oprávnění zaměstnanci;

veškeré elektronické údaje jsou spravovány se schválenými zařízeními, informačními systémy, aplikacemi a paměťovými médii orgánu ESMA. K organizaci, vyhledávání, sdílení, zachování a ochraně elektronických údajů orgánu ESMA se používají aplikace systému správy dokumentů orgánu ESMA. Oprávněným zaměstnancům orgánu ESMA je umožněn pouze přístup k těm elektronickým údajům, které potřebují;

c)	všechny osoby, které mají přístup k údajům, jsou vázány povinností zachovávat důvěrnost.

2. Správcem operací zpracování je orgán ESMA, zastoupený svým výkonným ředitelem, který může delegovat funkci správce. Subjekty údajů jsou informovány o delegovaném správci prostřednictvím záznamů o ochraně údajů zveřejněných na webových stránkách orgánu ESMA.

3. Období uchovávání zpracovávaných osobních údajů nesmí být delší, než je nezbytné a vhodné pro účely, pro něž se údaje zpracovávají. Doba uchovávání údajů je uvedena v záznamech o ochraně údajů a v prohlášeních o ochraně soukromí uvedených v čl. 5 odst. 1.

4. Pokud orgán ESMA zvažuje použití omezení, zváží se riziko pro práva a svobody subjektu údajů především ve srovnání s rizikem hrozícím právům a svobodám jiných subjektů údajů a s rizikem maření účinku vyšetřování nebo řízení vedených orgánem ESMA, například formou likvidace důkazů. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně rizik ohrožení dobrého jména a rizik spojených s právem na obhajobu a právem být vyslechnut.

Článek 3

Omezení

1. Veškerá omezení použije orgán ESMA pouze k zabezpečení:

a)	prevence, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;

jiných důležitých cílů obecného veřejného zájmu Unie nebo některého členského státu, zejména cílů společné zahraniční a bezpečnostní politiky Unie nebo důležitých hospodářských nebo finančních zájmů Unie nebo některého členského státu, včetně měnových, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení;

c)	vnitřní bezpečnosti orgánů a institucí Unie, včetně jejich sítí elektronických komunikací;

d)	prevence, vyšetřování, odhalování a stíhání případů porušení etických pravidel regulovaných povolání;

e)	monitorovací, inspekční nebo regulační funkce spojené, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) a b);

f)	ochrany subjektu údajů nebo práv a svobod druhých.

2. Jako zvláštní případ účelů uvedených v odstavci 1 výše může orgán ESMA použít omezení v souvislosti s osobními údaji vyměněnými s útvary Komise nebo orgány, institucemi a jinými subjekty Unie, příslušnými orgány členských států nebo třetích zemí nebo mezinárodními organizacemi, a to za těchto okolností:

pokud by výkon těchto práv a povinností mohl být omezen útvary Komise nebo orgány, institucemi a jinými subjekty Unie na základě jiných aktů, jak stanoví článek 25 nařízení (EU) 2018/1725, nebo v souladu s kapitolou IX uvedeného nařízení nebo se zřizovacími akty orgánů, institucí a jiných subjektů Unie;

pokud by výkon těchto práv a povinností mohl být omezen příslušnými orgány členských států na základě aktů uvedených v článku 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (3) nebo v souladu s vnitrostátními opatřeními, jimiž se provádí čl. 13 odst. 3, čl. 15 odst. 3 nebo čl. 16 odst. 3 směrnice Evropského parlamentu a Rady (EU) 2016/680 (4);

pokud by výkon těchto práv a povinností mohl ohrozit spolupráci orgánu ESMA s třetími zeměmi nebo mezinárodními organizacemi při provádění jeho úkolů nebo úkolů dané třetí země nebo mezinárodních organizací.

Před použitím omezení za okolností uvedených v písm. a) a b) prvního pododstavce konzultuje orgán ESMA příslušné útvary Komise, orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, ledaže je orgánu ESMA zjevné, že použití omezení je stanoveno jedním z aktů uvedených v těchto písmenech.

3. Všechna omezení musí být nezbytná a přiměřená vzhledem k rizikům pro práva a svobody subjektů údajů a musí dodržovat podstatu základních práv a svobod v demokratické společnosti.

4. Zvažuje-li se použití omezení, provede se test nezbytnosti a přiměřenosti na základě těchto pravidel. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti.

5. Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují. Zejména pak v případě, že se má za to, že uplatňování omezeného práva by již nemařilo účinek uloženého omezení nebo by nepříznivě ovlivňovalo práva nebo svobody jiných subjektů údajů.

Článek 4

Přezkum pověřencem pro ochranu osobních údajů

1. Správce neprodleně informuje pověřence pro ochranu osobních údajů, pokud omezí uplatňování práv subjektů údajů nebo prodlouží platnost omezení, a to v souladu s tímto rozhodnutím. Správce poskytne pověřenci pro ochranu osobních údajů přístup k internímu oznámení obsahujícímu posouzení nezbytnosti a přiměřenosti omezení a případně k základním věcným a právním prvkům a zdokumentuje datum informování pověřence pro ochranu osobních údajů.

2. Pověřenec pro ochranu osobních údajů může správce písemně požádat, aby přezkoumal použití omezení. Správce písemně informuje pověřence pro ochranu osobních údajů o výsledku vyžádaného přezkumu.

3. Správce informuje pověřence pro ochranu osobních údajů, pokud bylo omezení zrušeno.

4. Správce zdokumentuje zapojení pověřence pro ochranu osobních údajů v jednotlivých fázích procesu, počínaje datem, kdy jej informoval.

5. Interní oznámení a případně základní věcné a právní prvky jsou na požádání zpřístupněny evropskému inspektorovi ochrany údajů.

Článek 5

Poskytování informací subjektu údajů

1. Orgán ESMA zveřejní na svých webových stránkách záznamy o ochraně údajů, které informují všechny subjekty údajů o jeho činnostech zahrnujících zpracování osobních údajů, včetně informací týkajících se možného omezení práv subjektů údajů.

2. Orgán ESMA oznámí bez zbytečného odkladu a písemně jednotlivě všem subjektům údajů, které považuje za osoby dotčené vyšetřováním nebo šetřením, záznam o ochraně údajů týkající se konkrétních dotčených operací zpracování.

3. V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může orgán ESMA poskytování informací subjektům údajů podle odstavce 2 zcela nebo částečně omezit. V tomto případě zdokumentuje v interní poznámce důvody omezení, právní základ podle článku 3 tohoto rozhodnutí, včetně posouzení nezbytnosti a přiměřenosti omezení.

4. Omezení uvedené v odstavci 3 platí, dokud nepominou důvody, které jeho platnost odůvodňují.

Pokud důvody omezení již pominuly, oznámí orgán ESMA dotčenému subjektu údajů příslušný záznam o ochraně údajů a hlavní důvody omezení. Toto oznámení může být spojeno s výzvou, aby v rámci výkonu práv na obhajobu dotčeného subjektu údajů byla předložena zjištění probíhajícího vyšetřování nebo šetření. Současně orgán ESMA informuje dotčený subjekt údajů o právu kdykoliv podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

Orgán ESMA přezkoumá použití omezení každých šest měsíců ode dne jeho přijetí a při uzavření příslušného šetření nebo vyšetřování.

Článek 6

Právo subjektu údajů na přístup k údajům

1. Na žádost subjektu údajů může orgán ESMA zcela nebo částečně omezit právo tohoto subjektu údajů získat potvrzení, zda osobní údaje, které se ho týkají, zpracovává orgán ESMA v rámci vyšetřování nebo šetření uvedeného v článku 1 tohoto rozhodnutí, a pokud je tomu tak, může omezit právo na přístup k těmto údajům a k dalším informacím uvedeným v článku 17 nařízení (EU) 2018/1725.

2. Pokud orgán ESMA omezí právo na přístup, ve své odpovědi na žádost informuje dotčený subjekt údajů o platném omezení a o jeho hlavních důvodech a také o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

3. Poskytnutí informací uvedených v odstavci 2 lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle čl. 25 odst. 8 nařízení (EU) 2018/1725. Je-li tomu tak, orgán ESMA v oznámení o interním posuzování zdokumentuje důvody omezení, včetně posouzení nezbytnosti a přiměřenosti omezení a délky jeho trvání.

4. Orgán ESMA přezkoumá použití omezení každých šest měsíců ode dne jeho přijetí a při uzavření příslušného šetření nebo vyšetřování.

Článek 7

Právo na opravu, výmaz a omezení zpracování údajů

1. Na žádost subjektu údajů může orgán ESMA v souvislosti s vyšetřováním nebo šetřením uvedeným v článku 1 tohoto rozhodnutí zcela nebo částečně omezit právo tohoto subjektu údajů na opravu jeho osobních údajů, výmaz nebo omezení zpracování jeho osobních údajů, jak je stanoveno v článcích 18, 19 a 20 nařízení (EU) 2018/1725.

2. Pokud orgán ESMA omezí uplatnění práva na opravu, výmaz nebo omezení zpracování uvedeného výše, uskuteční kroky stanovené v čl. 6 odst. 2 a čl. 6 odst. 3 tohoto rozhodnutí.

3. Orgán ESMA přezkoumá použití omezení každých šest měsíců ode dne jeho přijetí a při uzavření příslušného šetření nebo vyšetřování.

Článek 8

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1. V souladu s článkem 35 nařízení (EU) 2018/1725 oznámí orgán ESMA dotčenému subjektu údajů bez zbytečného odkladu porušení zabezpečení osobních údajů, je-li pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

2. V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může orgán ESMA poskytování informací subjektům údajů podle odstavce 1 tohoto článku zcela nebo částečně omezit. V tomto případě zdokumentuje v interní poznámce důvody omezení, právní základ podle článku 3 tohoto rozhodnutí, včetně posouzení nezbytnosti a přiměřenosti omezení.

3. Omezení uvedené v odstavci 2 platí, dokud nepominou důvody, které jeho platnost odůvodňují.

Pokud důvody omezení již pominuly, oznámí orgán ESMA dotčenému subjektu údajů porušení zabezpečení osobních údajů a informuje ho o hlavních důvodech omezení. Současně orgán ESMA informuje dotčený subjekt údajů o právu kdykoliv podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

Orgán ESMA přezkoumá použití omezení každých šest měsíců ode dne jeho přijetí a při uzavření příslušného šetření nebo vyšetřování.

Článek 9

Vstup v platnost

Toto rozhodnutí vstupuje v platnost prvním dnem po vyhlášení v Úředním věstníku Evropské unie.

V Helsinkách dne 1. října 2019.

Za správní radu

Steven MAIJOOR

předseda

(1) Úř. věst. L 295, 21.11.2018, s. 39.

(2) Úř. věst. L 331, 15.12.2010, s. 84.

(3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(4) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).