Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32019Q1125(01)

Afgørelse truffet af bestyrelsen for Den Europæiske Værdipapir- og Markedstilsynsmyndighed den 1. oktober 2019 om vedtagelse af interne regler om begrænsninger af visse registreredes rettigheder i forbindelse med behandling af personoplysninger i forbindelse med driften af ESMA

EUT L 303 af 25.11.2019, p. 31–36 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/proc_rules/2020/1125/oj

25.11.2019   

DA

Den Europæiske Unions Tidende

L 303/31


AFGØRELSE TRUFFET AF BESTYRELSEN FOR DEN EUROPÆISKE VÆRDIPAPIR- OG MARKEDSTILSYNSMYNDIGHED

den 1. oktober 2019

om vedtagelse af interne regler om begrænsninger af visse registreredes rettigheder i forbindelse med behandling af personoplysninger i forbindelse med driften af ESMA

BESTYRELSEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (1), særlig artikel 25,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (2), som kan ændres, ophæves eller erstattes, særlig artikel 71,

under henvisning til EDPS' udtalelse af 20. juni 2019 og til EDPS' vejledning om artikel 25 i den nye forordning og interne regler,

efter høring af personaleudvalget og

ud fra følgende betragtninger:

(1)

ESMA gennemfører sine aktiviteter i overensstemmelse med forordning (EU) nr. 1095/2010 (herefter »ESMA-forordningen« og »ESMA«), som kan ændres, ophæves eller erstattes.

(2)

ESMA behandler flere kategorier af personoplysninger, herunder »objektive« oplysninger (såsom identifikationsoplysninger, kontaktoplysninger, faglige oplysninger, administrative oplysninger, oplysninger modtaget fra specifikke kilder, elektronisk kommunikation og trafikoplysninger) og/eller »subjektive« oplysninger (i forbindelse med sagen, f.eks. ræsonnementer, oplysninger om adfærd og opførsel samt oplysninger relateret til eller fremkommet i forbindelse med genstanden for den pågældende procedure eller aktivitet).

(3)

ESMA, som repræsenteres af den administrerende direktør, fungerer som dataansvarlig uanset yderligere delegering af rollen som dataansvarlig i ESMA for at afspejle det operationelle ansvar for specifikke behandlingsaktiviteter vedrørende personoplysninger.

(4)

Personoplysningerne opbevares sikkert i et elektronisk miljø eller på papir, hvilket forhindrer ulovlig adgang for eller overførsel af data til personer, der ikke har brug for denne viden. De personoplysninger, der behandles, opbevares ikke i længere tid, end det er nødvendigt og passende for de formål, hvortil de behandles i den angivne periode i ESMA's databeskyttelsesregistreringer og privatlivserklæringer.

(5)

Med henblik på varetagelsen af sine opgaver er ESMA forpligtet til i videst muligt omfang at respektere de registreredes grundlæggende rettigheder, især dem, der vedrører retten til oplysninger, indsigt og berigtigelse, retten til sletning, begrænsning af behandling, retten til underretning af en registreret om et brud på persondatasikkerheden eller fortroligheden af kommunikation som nedfældet i forordning (EU) 2018/1725.

(6)

ESMA kan dog være forpligtet til at begrænse oplysningerne til den registreredes eller andre registreredes rettigheder for at beskytte især fortroligheden og effektiviteten under sine egne undersøgelser, andre offentlige myndigheders undersøgelser og procedurer samt andre personers rettigheder vedrørende ESMA's undersøgelser eller andre procedurer.

(7)

Inden for rammerne af sin administrative funktion kan ESMA foretage en række undersøgelser, såsom administrative undersøgelser, disciplinærsager, indledende aktiviteter i forbindelse med økonomisk svig, undersøgelser vedrørende sager om whistleblowing eller chikane, interne revisioner, databeskyttelsesrelaterede eller etiske efterforskninger, IKT-undersøgelser, undersøgelser af informationssikkerhed og aktiviteter udført i forbindelse med sikkerhedsrisici og håndtering af hændelser. Med henblik på varetagelsen af sine opgaver foretager ESMA endvidere undersøgelser af sine direkte tilsyns- eller håndhævelsesfunktioner og kan foretage undersøgelser af potentielle overtrædelser af EU-retten samt undersøgelser af en bestemt type finansiel aktivitet eller produkttype eller adfærd med henblik på at vurdere potentielle trusler mod de finansielle markeders integritet eller det finansielle systems stabilitet.

(8)

De interne regler bør finde anvendelse på alle de behandlingsaktiviteter, som ESMA udfører i forbindelse med førnævnte undersøgelser. De bør også anvendes på behandlingsaktiviteter, der gennemføres forud for ovennævnte undersøgelser, i løbet af disse undersøgelser og under overvågningen af opfølgningen på resultatet af disse undersøgelser. De bør også omfatte bistand, koordinering og/eller samarbejde, som de nationale myndigheder og internationale organisationer anmoder ESMA om i forbindelse med deres egne administrative undersøgelser.

(9)

Før der gøres brug af de begrænsninger, der er fastsat i disse interne regler, bør ESMA overveje, om en af undtagelserne i forordning (EU) 2018/1725 finder anvendelse. I de tilfælde, hvor der ifølge disse interne regler anvendes begrænsninger, skal ESMA begrunde, hvorfor begrænsningerne er strengt nødvendige og forholdsmæssige i et demokratisk samfund, og respektere kernen i de grundlæggende rettigheder og frihedsrettigheder.

(10)

ESMA bør overvåge, om de forhold, der berettiger begrænsningen, fortsat gør sig gældende, og ophæve begrænsningen, når de ikke længere er gældende.

(11)

Den dataansvarlige bør underrette den databeskyttelsesansvarlige, når den dataansvarlige begrænser anvendelsen af visse registreredes rettigheder i henhold til denne afgørelse, når vedkommende forlænger en sådan begrænsning, og når begrænsningen ophæves —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Genstand og anvendelsesområde

1.   I denne afgørelse fastlægges interne regler vedrørende betingelserne for, hvornår ESMA inden for rammerne af de aktiviteter, der er fastsat i stk. 2-5, kan begrænse anvendelsen af de rettigheder, der er nedfældet i artikel 14-21 og 35, samt artikel 4, efter artikel 25 i forordning (EU) 2018/1725. Disse begrænsninger berører ikke de undtagelser fra registreredes rettigheder, der er fastsat i forordning (EU) 2018/1725.

2.   Inden for rammerne af ESMA's administrative funktion finder begrænsningerne i denne artikels stk. 1 anvendelse på ESMA's behandling af personoplysninger med henblik på:

a)

administrative undersøgelser og disciplinærsager

b)

uregelmæssigheder i samarbejde med Det Europæiske Kontor for Bekæmpelse af Svig (OLAF)

c)

whistleblowingsager, (formelle og uformelle) sager om chikane samt interne og eksterne klager

d)

interne revisioner, databeskyttelsesrelaterede eller etiske efterforskninger

e)

IKT-undersøgelser, undersøgelser af informationssikkerhed og aktiviteter udført i forbindelse med sikkerhedsrisici og håndtering af hændelser, internt eller med ekstern bistand.

3.   Inden for ESMA's varetagelse af sine opgaver finder begrænsningerne i denne artikels stk. 1 anvendelse på ESMA's behandling af personoplysninger med henblik på:

a)

undersøgelser af ESMA's direkte tilsyns- og håndhævelsesfunktioner

b)

undersøgelser af potentielle overtrædelser af EU-retten i henhold til artikel 17 i ESMA-forordningen og

c)

undersøgelser af en bestemt type finansiel aktivitet eller produkttype eller type af adfærd med henblik på at vurdere potentielle trusler mod de finansielle markeders integritet eller det finansielle systems stabilitet i henhold til artikel 22 i ESMA-forordningen.

4.   Disse begrænsninger finder desuden anvendelse på bistand, koordinering og/eller samarbejde, som ESMA yder til nationale værdipapir- og markedsmyndigheder, herunder tredjelandes myndigheder, og internationale organisationer i forbindelse med de undersøgelser, de foretager i forbindelse med udøvelsen af deres lovbestemte opgaver.

5.   Begrænsningerne i denne artikels stk. 1 finder også anvendelse på behandlingsaktiviteter, der gennemføres forud for de undersøgelser, der nævnes i stk. 2-4 ovenfor, i løbet af disse undersøgelser og under overvågningen af opfølgningen på resultatet af disse undersøgelser.

6.   Denne afgørelse finder anvendelse på alle kategorier af personoplysninger, der behandles i forbindelse med de aktiviteter, der er beskrevet i stk. 2-5 ovenfor.

7.   På de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde følgende rettigheder: oplysninger til de registrerede, ret til indsigt, berigtigelse, sletning, begrænsning af behandling, underretning af en registreret om et brud på persondatasikkerheden.

Artikel 2

Den dataansvarlige med ansvar for undersøgelser og gældende sikkerhedsforanstaltninger

1.   Der er indført følgende sikkerhedsforanstaltninger med henblik på at undgå brud på datasikkerheden, lækager eller uautoriseret videregivelse i forbindelse med de i artikel 1 nævnte undersøgelser:

a)

Papirdokumenter opbevares i sikrede skabe, som kun autoriserede medarbejdere har adgang til.

b)

Alle elektroniske oplysninger forvaltes med ESMA's godkendte udstyr, informationssystemer, applikationer og lagringsmedier. Applikationerne i ESMA's dokumenthåndteringssystem anvendes til at organisere, finde, udveksle, vedligeholde og beskytte ESMA's elektroniske oplysninger. ESMA's autoriserede medarbejdere får kun adgang til elektroniske oplysninger, hvis de har behov for det.

c)

Alle, der har adgang til oplysningerne, er bundet af tavshedspligt.

2.   Den dataansvarlige for behandlingsaktiviteterne er ESMA, repræsenteret ved den administrerende direktør, som kan uddelegere den dataansvarliges funktion. Registrerede skal underrettes om den delegerede dataansvarlige via de databeskyttelsesoptegnelser, der offentliggøres på ESMA's websted.

3.   Opbevaringsperioden for personoplysninger må ikke være længere end det, der er nødvendigt og passende for de formål, hvortil oplysningerne behandles. Opbevaringsperioden specificeres i de databeskyttelsesoptegnelser og privatlivserklæringer, der henvises til i artikel 5, stk. 1.

4.   Hvis ESMA overvejer at anvende en begrænsning, vægtes risikoen for den registreredes rettigheder og frihedsrettigheder, især i forhold til risikoen for andre registreredes rettigheder og frihedsrettigheder og risikoen for at miste effekten af ESMA's undersøgelser eller procedurer, eksempelvis ved at ødelægge beviser. Risici for den registreredes rettigheder og frihedsrettigheder vedrører fortrinsvist, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.

Artikel 3

Begrænsninger

1.   Enhver begrænsning må kun anvendes af ESMA med det formål at sikre:

a)

forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed

b)

andre vigtige målsætninger i forbindelse med Unionens eller en medlemsstats generelle samfundsinteresser, navnlig målene med Unionens fælles udenrigs- og sikkerhedspolitik eller Unionens eller en medlemsstats væsentlige økonomiske eller finansielle interesser, herunder valuta-, budget- og skatteanliggender, folkesundhed og social sikkerhed

c)

EU-institutioners og -organers interne sikkerhed, herunder deres elektroniske kommunikationsnetværk

d)

forebyggelse, efterforskning, afsløring og retsforfølgning i forbindelse med brud på etiske regler for lovregulerede erhverv

e)

kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a) og b)

f)

beskyttelse af den registreredes eller andres rettigheder og frihedsrettigheder.

2.   Som en konkret anvendelse af de i stk. 1 beskrevne formål kan ESMA anvende begrænsninger vedrørende personoplysninger, der udveksles med Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer, de kompetente myndigheder i medlemsstaterne eller tredjelande eller internationale organisationer, under følgende omstændigheder:

a)

Hvis udøvelsen af disse rettigheder og forpligtelser kan være begrænset af Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer på grundlag af andre retsakter, der er omhandlet i artikel 25 i forordning (EU) 2018/1725, eller i overensstemmelse med forordningens kapitel IX eller med de grundlæggende retsakter for andre EU-institutioner, -organer, -agenturer og -kontorer.

b)

Hvis udøvelsen af disse rettigheder og forpligtelser kan være begrænset af de kompetente myndigheder i medlemsstaterne på grundlag af retsakter, der er omhandlet i artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3), eller i henhold til nationale foranstaltninger til gennemførelse af artikel 13, stk. 3, 15, stk. 3, eller 16, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (4).

c)

Hvis udøvelsen af disse rettigheder og forpligtelser kan true ESMA's samarbejde med tredjelande eller internationale organisationer i forbindelse med udførelsen af disses eller ESMA's egne opgaver.

Inden der pålægges begrænsninger i de tilfælde, som er omtalt i første afsnit, litra a) og b), hører ESMA Kommissionens relevante tjenestegrene, EU's institutioner, organer, agenturer og kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det står klart for ESMA, at anvendelsen af en begrænsning er fastsat i en af de retsakter, der er nævnt i disse bestemmelser.

3.   Enhver begrænsning skal være nødvendig og forholdsmæssig under hensyntagen til de risici, den medfører for de registreredes rettigheder og frihedsrettigheder, og respektere det væsentlige indhold af de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.

4.   Hvis det overvejes at pålægge begrænsninger, foretages der en vurdering af nødvendigheden og af, om de står i et rimeligt forhold til formålene. Af ansvarlighedshensyn dokumenteres vurderingen gennem et internt notat i hvert enkelt tilfælde.

5.   Begrænsningerne ophæves, så snart de omstændigheder, der berettiger dem, ikke længere gælder. Især når det vurderes, at udøvelsen af den begrænsede ret ikke længere vil ophæve virkningen af den pålagte begrænsning eller forringe andre registreredes rettigheder eller frihedsrettigheder.

Artikel 4

Den databeskyttelsesansvarliges evaluering

1.   Den dataansvarlige underretter uden ugrundet ophold den databeskyttelsesansvarlige, når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder eller udvider begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver den databeskyttelsesansvarlige adgang til det interne notat, som indeholder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og i relevant omfang de underliggende faktiske og retlige elementer, og dokumenterer datoen for underretningen af den databeskyttelsesansvarlige.

2.   Den databeskyttelsesansvarlige kan skriftligt anmode den dataansvarlige om at vurdere anvendelsen af begrænsningerne. Den dataansvarlige underretter skriftligt den databeskyttelsesansvarlige om resultatet af den evaluering, der er anmodet om.

3.   Den dataansvarlige underretter den databeskyttelsesansvarlige, når begrænsningen er blevet ophævet.

4.   Den dataansvarlige dokumenterer inddragelsen af den databeskyttelsesansvarlige i de forskellige faser af processen fra datoen for underretning af den databeskyttelsesansvarlige.

5.   Det interne notat og i relevant omfang de underliggende faktiske og retlige elementer stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

Artikel 5

Formidling af oplysninger til registrerede

1.   På sit websted offentliggør ESMA databeskyttelsesoptegnelser, der informerer alle registrerede om ESMA's aktiviteter, som involverer behandling af personoplysninger, herunder oplysninger om den potentielle begrænsning af registreredes rettigheder.

2.   ESMA underretter straks og skriftligt hver enkelt registreret person, som den anser for at være berørt af undersøgelsen, om databeskyttelsesregistreringen af den pågældende specifikke behandling.

3.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan ESMA helt eller delvis begrænse formidlingen af oplysninger til de registrerede, der er nævnt i stk. 2. ESMA skal i så fald i et internt notat notere begrundelserne for begrænsningen og retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig.

4.   Begrænsningen i stk. 3 finder fortsat anvendelse, så længe bevæggrundene herfor fortsat er til stede.

Hvis begrundelserne for begrænsningen ikke længere gør sig gældende, underretter ESMA den berørte registrerede om den relevante databeskyttelsesregistrering og de vigtigste bevæggrunde for begrænsningen. Denne underretning kan kombineres med en opfordring til den berørte registrerede om at fremsætte bemærkninger til resultaterne af den igangværende undersøgelse som led i udøvelsen af den pågældendes ret til forsvar. Samtidig underretter ESMA den berørte registrerede om retten til når som helst at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.

ESMA gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse eller efterforskning.

Artikel 6

Den registreredes ret til indsigt

1.   ESMA kan på en registrerets anmodning helt eller delvis begrænse denne registreredes ret til at få bekræftet, hvorvidt personoplysninger om vedkommende behandles af ESMA i forbindelse med en undersøgelse som omhandlet i artikel 1 i denne afgørelse, og i givet fald den registreredes ret til indsigt i disse oplysninger og andre oplysninger som omhandlet i artikel 17 i forordning (EU) 2018/1725.

2.   Hvis ESMA begrænser retten til indsigt, underretter ESMA i sit svar på anmodningen den pågældende registrerede om den pålagte begrænsning og om de vigtigste bevæggrunde dertil og om muligheden for at klage til Den Europæiske Tilsynsførende for Databeskyttelse eller at indbringe sagen for Den Europæiske Unions Domstol.

3.   Den bestemmelse om underretning, der er omhandlet i stk. 2, kan udsættes, udelades eller afvises, hvis den ville ophæve virkningen af begrænsningen, jf. artikel 25, stk. 8, i forordning (EU) 2018/1725. Hvis dette er tilfældet, dokumenterer ESMA i et internt notat bevæggrundene til begrænsningen, herunder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og dens varighed.

4.   ESMA gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse eller efterforskning.

Artikel 7

Ret til berigtigelse, sletning og begrænsning af behandlingen

1.   ESMA kan på en registrerets anmodning i forbindelse med en undersøgelse som omhandlet i artikel 1 i denne afgørelse helt eller delvis begrænse denne registreredes ret til at få personoplysninger om sig selv berigtiget eller slettet eller behandlingen heraf begrænset i henhold til artikel 18, 19 og 20 i forordning (EU) 2018/1725.

2.   Hvis ESMA helt eller delvist begrænser anvendelsen af retten til berigtigelse, sletning eller begrænsning af den behandling, der er omhandlet ovenfor, skal den træffe de foranstaltninger, som er fastsat i artikel 6, stk. 2 og 3, i denne afgørelse.

3.   ESMA gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse eller efterforskning.

Artikel 8

Underretning af den registrerede om brud på persondatasikkerheden

1.   Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 35 i forordning (EU) 2018/1725, underretter ESMA uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

2.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan ESMA helt eller delvis begrænse formidlingen af oplysninger til de registrerede, der er nævnt i stk. 1. ESMA skal i så fald i et internt notat notere begrundelserne for begrænsningen og retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig.

3.   Begrænsningen i stk. 2 finder fortsat anvendelse, så længe bevæggrundene herfor fortsat er til stede.

Hvis begrundelserne for begrænsningen ikke længere gør sig gældende, underretter ESMA den berørte registrerede om bruddet på persondatasikkerheden og om de vigtigste bevæggrunde for begrænsningen. Samtidig underretter ESMA den berørte registrerede om retten til når som helst at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.

ESMA gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den pågældende undersøgelse eller efterforskning.

Artikel 9

Ikrafttræden

Denne afgørelse træder i kraft på dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Udfærdiget i Helsinki, den 1. oktober 2019.

For bestyrelsen

Steven MAIJOOR

Formand


(1)  EUT L 295 af 21.11.2018, s. 39.

(2)  EUT L 331 af 15.12.2010, s. 84.

(3)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(4)  Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).


Top