1.   Η παρούσα απόφαση θεσπίζει εσωτερικούς κανόνες σχετικά με τους όρους σύμφωνα με τους οποίους η ESMA, στο πλαίσιο των δραστηριοτήτων που ορίζονται στις παραγράφους 2 έως 5, μπορεί να περιορίζει την εφαρμογή των δικαιωμάτων που θεσπίζονται στα άρθρα 14 έως 21 και 35, καθώς και στο άρθρο 4, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725. Αυτοί οι περιορισμοί ισχύουν με την επιφύλαξη των εξαιρέσεων όσον αφορά τα δικαιώματα των υποκειμένων δεδομένων που προβλέπονται στον κανονισμό (ΕΕ) 2018/1725.

2.   Στο πλαίσιο της διοικητικής λειτουργίας της ESMA, οι περιορισμοί που προβλέπονται στο σημείο 1 του παρόντος άρθρου εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από την ESMA για τους εξής σκοπούς:

3.   Στο πλαίσιο της εκπλήρωσης των καθηκόντων της ESMA, οι περιορισμοί που προβλέπονται στο σημείο 1 του παρόντος άρθρου εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από την ESMA για τους εξής σκοπούς:

4.   Επιπλέον, οι εν λόγω κανονισμοί ισχύουν για την παροχή βοήθειας, συντονισμού ή/και συνεργασίας από την ESMA σε εθνικές αρχές κινητών αξιών και αγορών, συμπεριλαμβανομένων των αρχών τρίτων χωρών, και διεθνών οργανισμών στο πλαίσιο των ερευνών που διεξάγονται για την άσκηση των εκ του νόμου καθηκόντων τους.

5.   Οι περιορισμοί που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου εφαρμόζονται επίσης σε πράξεις επεξεργασίας που διενεργούνται πριν από την έναρξη των ερευνών ή άλλων διοικητικών ερευνών που αναφέρονται στις παραγράφους 2 έως 4 ανωτέρω, κατά τη διάρκεια των εν λόγω ερευνών και κατά την παρακολούθηση του αποτελέσματος των εν λόγω ερευνών.

6.   Η παρούσα απόφαση εφαρμόζεται σε κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων που ορίζονται στις παραγράφους 2 έως 5 ανωτέρω.

7.   Με την επιφύλαξη των όρων που καθορίζονται στην παρούσα απόφαση, οι περιορισμοί μπορεί να ισχύουν για τα ακόλουθα δικαιώματα: παροχή πληροφοριών σε υποκείμενα των δεδομένων, δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας και γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.

1.   Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων προσωπικού χαρακτήρα, διαρροών ή μη εξουσιοδοτημένης δημοσιοποίησης στο πλαίσιο των ερευνών που αναφέρονται στο άρθρο 1 είναι οι εξής:

2.   Ο υπεύθυνος επεξεργασίας είναι η ESMA, εκπροσωπούμενη από τον Εκτελεστικό Διευθυντή της, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπεύθυνου επεξεργασίας. Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας μέσω αρχείων για την προστασία των δεδομένων που δημοσιεύονται στον δικτυακό τόπο της ESMA.

3.   Η περίοδος διατήρησης των δεδομένων προσωπικού χαρακτήρα δεν υπερβαίνει το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Η περίοδος διατήρησης καθορίζεται στα αρχεία προστασίας δεδομένων και στις δηλώσεις απορρήτου που αναφέρονται στο άρθρο 5 παράγραφος 1.

4.   Στις περιπτώσεις που η ESMA προτίθεται να εφαρμόσει έναν περιορισμό, σταθμίζεται ο κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως ο κίνδυνος για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και ο κίνδυνος της ακύρωσης του αποτελέσματος των ερευνών ή διαδικασιών της ESMA, για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν κατά κύριο λόγο, αλλά δεν περιορίζονται σε αυτούς, τους κινδύνους φήμης και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.

1.   Οποιοσδήποτε περιορισμός εφαρμόζεται μόνο από την ESMA για τη διασφάλιση:

2.   Στο πλαίσιο της ειδικής εφαρμογής των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, η ESMA μπορεί να εφαρμόσει περιορισμούς σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, με αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή με διεθνείς οργανισμούς, στις εξής περιπτώσεις:

3.   Οποιοσδήποτε περιορισμός οφείλει να είναι αναγκαίος και αναλογικός, να λαμβάνει υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και να τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών σε μια δημοκρατική κοινωνία.

4.   Αν κριθεί απαραίτητη η εφαρμογή περιορισμού, διενεργείται δοκιμή αναλογικότητας με βάση τους ισχύοντες κανόνες. Πρέπει να τεκμηριώνεται μέσω ενός εσωτερικού σημειώματος αξιολόγησης για λόγους λογοδοσίας κατά περίπτωση.

5.   Οι περιορισμοί αίρονται μόλις πάψουν να υφίστανται οι περιστάσεις που δικαιολογούν την επιβολή τους. Ειδικότερα, όταν κρίνεται ότι η άσκηση του περιορισμένου δικαιώματος δεν διακυβεύσει πλέον την ισχύ του περιορισμού που επιβάλλεται, ούτε θα θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων δεδομένων.

1.   Ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον Υπεύθυνο Προστασίας Δεδομένων της (ο «ΥΠΔ»), κάθε φορά που ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων ή επεκτείνει τον περιορισμό, σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο εσωτερικό σημείωμα που περιέχει την αξιολόγηση της αναγκαιότητας και της αναλογικότητας του περιορισμού καθώς και, κατά περίπτωση, στα υποκείμενα πραγματικά και νομικά στοιχεία και καταγράφει την ημερομηνία ενημέρωσης του ΥΠΔ.

2.   Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να εξετάσει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.

3.   Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ για την άρση του περιορισμού.

4.   Ο υπεύθυνος επεξεργασίας καταγράφει τη συμμετοχή του ΥΠΔ κατά τα διαφορετικά στάδια της διαδικασίας, ξεκινώντας από την ημερομηνία ενημέρωσης του ΥΠΔ.

5.   Το εσωτερικό σημείωμα, και, κατά περίπτωση, τα υποκείμενα πραγματικά και νομικά στοιχεία τίθενται στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.

1.   Η ESMA δημοσιεύει στον δικτυακό της τόπο τα αρχεία προστασίας δεδομένων που ενημερώνουν όλα τα υποκείμενα δεδομένων σχετικά με τις δραστηριότητές της που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων πληροφοριών που αφορούν τον ενδεχόμενο περιορισμό των δικαιωμάτων των υποκειμένων των δεδομένων.

2.   Η ESMA ενημερώνει σε ατομική βάση όλα τα υποκείμενα δεδομένων τα οποία θεωρεί πρόσωπα που τα αφορά η έρευνα ή η διερεύνηση, σχετικά με το αρχείο προστασίας δεδομένων των εν λόγω πράξεων επεξεργασίας, χωρίς αδικαιολόγητη καθυστέρηση και γραπτώς.

3.   Σε δεόντως αιτιολογημένες περιπτώσεις και σύμφωνα με τους όρους που καθορίζονται στην παρούσα απόφαση, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, την παροχή των πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 2. Σε αυτήν την περίπτωση, καταγράφει σε εσωτερικό σημείωμα τους λόγους του περιορισμού, τη νομική βάση σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.

4.   Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν.

Όταν δεν ισχύουν πλέον οι λόγοι περιορισμού, η ESMA κοινοποιεί στο θιγόμενο υποκείμενο των δεδομένων το σχετικό αρχείο προστασίας δεδομένων και τους κυριότερους λόγους για τον περιορισμό. Η κοινοποίηση αυτή μπορεί να συνδυαστεί με μια πρόσκληση υποβολής των συμπερασμάτων της υπό εξέλιξη έρευνας ή διερεύνησης, στο πλαίσιο της άσκησης των δικαιωμάτων υπεράσπισης του θιγόμενου υποκειμένου των δεδομένων. Παράλληλα, η ESMA ενημερώνει το θιγόμενο υποκείμενο των δεδομένων για το δικαίωμά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.

1.   Κατόπιν αιτήματος του υποκειμένου των δεδομένων, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, το δικαίωμα του εν λόγω υποκειμένου δεδομένων να λάβει επιβεβαίωση σχετικά με το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν έχουν υποβληθεί σε επεξεργασία από την ESMA στο πλαίσιο έρευνας ή διερεύνησης που αναφέρεται στο άρθρο 1 της παρούσας απόφασης, και στις περιπτώσεις που συμβαίνει κάτι τέτοιο, το δικαίωμα πρόσβασης στα εν λόγω δεδομένα και σε άλλες πληροφορίες που αναφέρονται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725.

2.   Στις περιπτώσεις που η ESMA περιορίζει το δικαίωμα πρόσβασης, ενημερώνει το υποκείμενο των δεδομένων, στην απάντησή της στο αίτημά του, σχετικά με τον περιορισμό που εφαρμόζεται και τους κύριους λόγους του περιορισμού, καθώς και σχετικά με τη δυνατότητά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης·

3.   Η ενημέρωση που προβλέπεται στην παράγραφο 2 μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει του άρθρου 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725, την ισχύ του. Σε αυτήν την περίπτωση, η ESMA τεκμηριώνει σε εσωτερικό σημείωμα αξιολόγησης τους λόγους του περιορισμού, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, καθώς και της διάρκειάς του.

4.   Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.

1.   Κατόπιν αιτήματος του υποκειμένου των δεδομένων, η ESMA μπορεί, στο πλαίσιο έρευνας ή διερεύνησης που αναφέρεται στο άρθρο 1 της παρούσας απόφασης, να περιορίσει, εν όλω ή εν μέρει, το δικαίωμα του εν λόγω υποκειμένου δεδομένων να λάβει διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, να διαγράψει ή να περιορίσει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του όπως ορίζεται στα άρθρα 18, 19 και 20 του κανονισμού (ΕΕ) 2018/1725.

2.   Όταν η ESMA περιορίζει την εφαρμογή του δικαιώματος διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας που αναφέρεται ανωτέρω, ακολουθεί τα στάδια που ορίζονται στο άρθρο 6 παράγραφοι 2 και 3 της παρούσας απόφασης.

3.   Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.

1.   Η ESMA κοινοποιεί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο θιγόμενο υποκείμενο των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση όταν η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, όπως προβλέπεται στο άρθρο 35 του κανονισμού (ΕΕ) 2018/1725.

2.   Σε δεόντως αιτιολογημένες περιπτώσεις και σύμφωνα με τους όρους που καθορίζονται στην παρούσα απόφαση, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, την παροχή των πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου. Σε αυτήν την περίπτωση, τεκμηριώνει σε εσωτερικό σημείωμα τους λόγους του περιορισμού, τη νομική βάση σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.

3.   Ο περιορισμός που αναφέρεται στην παράγραφο 2 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν.

Όταν δεν ισχύουν πλέον οι λόγοι περιορισμού, η ESMA κοινοποιεί στο θιγόμενο υποκείμενο των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και το ενημερώνει σχετικά με τους κυριότερους λόγους για τον περιορισμό. Παράλληλα, η ESMA ενημερώνει το υποκείμενο των δεδομένων για το δικαίωμά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.