25.11.2019 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 303/31 |
ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΟΙΚΗΤΙΚΟΥ ΣΥΜΒΟΥΛΙΟΥ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΑΡΧΗΣ ΚΙΝΗΤΩΝ ΑΞΙΩΝ ΚΑΙ ΑΓΟΡΩΝ
της 1ης Οκτωβρίου 2019
για τη θέσπιση εσωτερικών κανόνων που αφορούν περιορισμούς ορισμένων δικαιωμάτων των υποκειμένων των δεδομένων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της λειτουργίας της ESMA
ΤΟ ΔΙΟΙΚΗΤΙΚΟ ΣΥΜΒΟΥΛΙΟ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (1), και ιδίως το άρθρο 25,
Έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 1095/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/77/ΕΚ της Επιτροπής (2), όπως μπορεί περαιτέρω να τροποποιηθεί, να καταργηθεί ή να αντικατασταθεί, και ιδίως το άρθρο 71,
Έχοντας υπόψη τη γνωμοδότηση του ΕΕΠΔ της 20ής Ιουνίου 2019 και τις οδηγίες του ΕΕΠΔ για το άρθρο 25 του νέου κανονισμού και των εσωτερικών κανόνων,
Κατόπιν διαβούλευσης με την επιτροπή του κανονισμού υπηρεσιακής κατάστασης,
Εκτιμώντας τα ακόλουθα:
(1) |
Η ESMA ασκεί τις δραστηριότητές της σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 1095/2010 (εφεξής ο «κανονισμός ESMA» και «ESMA») όπως μπορεί περαιτέρω να τροποποιηθεί, να καταργηθεί ή να αντικατασταθεί. |
(2) |
Η ESMA επεξεργάζεται διάφορες κατηγορίες δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των αντικειμενικών δεδομένων (όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης) ή/και υποκειμενικά δεδομένα (σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς και στοιχεία σχετικά με τη συμπεριφορά και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας). |
(3) |
Η ESMA, η οποία εκπροσωπείται από τον Εκτελεστικό Διευθυντή της, ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, ανεξάρτητα από περαιτέρω ανάθεση των καθηκόντων του υπεύθυνου επεξεργασίας εντός της ESMA ώστε να αντικατοπτρίζει επιχειρησιακές αρμοδιότητες για συγκεκριμένες λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα. |
(4) |
Τα δεδομένα προσωπικού χαρακτήρα φυλάσσονται με ασφάλεια σε ηλεκτρονικό περιβάλλον ή σε έντυπη μορφή ώστε να αποτρέπεται η παράνομη πρόσβαση σε αυτά ή η διαβίβασή τους σε πρόσωπα που δεν απαιτείται να τα γνωρίζουν. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία διατηρούνται μόνο για το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία, για την περίοδο που καθορίζεται στα αρχεία προστασίας δεδομένων και στις δηλώσεις απορρήτου της ESMA. |
(5) |
Για την εκπλήρωση των καθηκόντων της, η ESMA υποχρεούται να σέβεται, στον μέγιστο δυνατό βαθμό, τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, ιδίως αυτά που αφορούν το δικαίωμα παροχής πληροφοριών, πρόσβασης και διόρθωσης, το δικαίωμα διαγραφής, περιορισμού επεξεργασίας, το δικαίωμα γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των επικοινωνιών, όπως θεσπίζονται στον κανονισμό (ΕΕ) 2018/1725. |
(6) |
Ωστόσο, η ESMA μπορεί να υποχρεωθεί να περιορίσει τις πληροφορίες στα υποκείμενα των δεδομένων ή άλλα δικαιώματα υποκειμένων των δεδομένων για την προστασία, κυρίως, της εμπιστευτικότητας και της αποτελεσματικότητας των δικών της ερευνών, των ερευνών και διαδικασιών άλλων δημόσιων αρχών, καθώς και των δικαιωμάτων άλλων προσώπων που σχετίζονται με τις έρευνες ή άλλες διαδικασίες της. |
(7) |
Στο πλαίσιο της διοικητικής λειτουργίας της, η ESMA μπορεί να διεξάγει διάφορες έρευνες, όπως διοικητικές έρευνες, πειθαρχικές διαδικασίες, προκαταρκτικές δραστηριότητες που αφορούν οικονομική απάτη, έρευνες σχετικά με περιπτώσεις καταγγελίας δυσλειτουργιών ή παρενόχλησης, εσωτερικούς ελέγχους, έρευνες προστασίας δεδομένων ή δεοντολογίας, έρευνες ΤΠΕ, έρευνες για την ασφάλεια των πληροφοριών και δραστηριότητες που εκτελούνται στο πλαίσιο της διαχείρισης των κινδύνων και των συμβάντων ασφαλείας. Επιπλέον, για την εκπλήρωση των καθηκόντων της, η ESMA διεξάγει έρευνες σχετικά με τις άμεσες εποπτικές ή εκτελεστικές αρμοδιότητές της και μπορεί να διεξάγει έρευνες για ενδεχόμενες παραβιάσεις του ενωσιακού δικαίου καθώς και έρευνες για συγκεκριμένο είδος χρηματοοικονομικής δραστηριότητας ή ένα συγκεκριμένο είδος προϊόντων ή μια συγκεκριμένη μορφή συμπεριφοράς, προκειμένου να εκτιμά ενδεχόμενους κινδύνους κατά της ακεραιότητας των χρηματοοικονομικών αγορών ή της σταθερότητας του χρηματοοικονομικού συστήματος. |
(8) |
Οι εσωτερικοί κανόνες πρέπει να εφαρμόζονται σε όλες τις λειτουργίες επεξεργασίας που διεξάγονται από την ESMA κατά την εκτέλεση των ανωτέρω ερευνών. Οι εν λόγω εσωτερικοί κανόνες θα πρέπει επίσης να εφαρμόζονται σε πράξεις επεξεργασίας που διενεργούνται πριν από την έναρξη των ερευνών που αναφέρονται ανωτέρω, κατά τη διάρκεια των εν λόγω ερευνών και κατά την παρακολούθηση του αποτελέσματος των εν λόγω ερευνών. Επίσης, θα πρέπει να περιλαμβάνεται η συνδρομή, ο συντονισμός ή/και η συνεργασία που ζητούν από την ESMA οι εθνικές αρχές και οι διεθνείς οργανισμοί στο πλαίσιο των δικών τους διοικητικών ερευνών. |
(9) |
Πριν κάνει χρήση των περιορισμών που προβλέπονται στους εν λόγω εσωτερικούς κανόνες, η ESMA θα πρέπει να εξετάσει εάν ισχύει κάποια από τις εξαιρέσεις που προβλέπονται στον κανονισμό (ΕΕ) 2018/1725. Στις περιπτώσεις όπου ισχύουν περιορισμοί βάσει των εν λόγω εσωτερικών κανόνων, η ESMA οφείλει να εξηγεί γιατί οι περιορισμοί αυτοί είναι απολύτως αναγκαίοι και αναλογικοί σε μια δημοκρατική κοινωνία και να τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών. |
(10) |
Η ESMA θα πρέπει να παρακολουθεί εάν εξακολουθούν να ισχύουν οι περιστάσεις οι οποίες δικαιολογούν τον περιορισμό και να αίρει τον περιορισμό όταν αυτές πλέον δεν ισχύουν. |
(11) |
Ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώνει τον υπεύθυνο προστασίας δεδομένων για τον περιορισμό της εφαρμογής ορισμένων δικαιωμάτων των υποκειμένων δεδομένων στο πλαίσιο της παρούσας απόφασης, για την επέκταση του εν λόγω περιορισμού και για την άρση του περιορισμού, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Αντικείμενο και πεδίο εφαρμογής
1. Η παρούσα απόφαση θεσπίζει εσωτερικούς κανόνες σχετικά με τους όρους σύμφωνα με τους οποίους η ESMA, στο πλαίσιο των δραστηριοτήτων που ορίζονται στις παραγράφους 2 έως 5, μπορεί να περιορίζει την εφαρμογή των δικαιωμάτων που θεσπίζονται στα άρθρα 14 έως 21 και 35, καθώς και στο άρθρο 4, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725. Αυτοί οι περιορισμοί ισχύουν με την επιφύλαξη των εξαιρέσεων όσον αφορά τα δικαιώματα των υποκειμένων δεδομένων που προβλέπονται στον κανονισμό (ΕΕ) 2018/1725.
2. Στο πλαίσιο της διοικητικής λειτουργίας της ESMA, οι περιορισμοί που προβλέπονται στο σημείο 1 του παρόντος άρθρου εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από την ESMA για τους εξής σκοπούς:
α) |
διοικητικές έρευνες και πειθαρχικές διαδικασίες· |
β) |
επεξεργασία παρατυπιών σε συνεργασία με την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF)· |
γ) |
επεξεργασία υποθέσεων καταγγελιών δυσλειτουργιών, (επίσημων και ανεπίσημων) υποθέσεων παρενόχλησης καθώς και εσωτερικών και εξωτερικών καταγγελιών· |
δ) |
εσωτερικούς ελέγχους, έρευνες προστασίας δεδομένων ή δεοντολογίας· |
ε) |
έρευνες ΤΠΕ, έρευνες για την ασφάλεια των πληροφοριών και δραστηριότητες που εκτελούνται στο πλαίσιο της διαχείρισης των κινδύνων και των συμβάντων ασφαλείας, που αντιμετωπίζονται εσωτερικά ή με εξωτερική συμμετοχή. |
3. Στο πλαίσιο της εκπλήρωσης των καθηκόντων της ESMA, οι περιορισμοί που προβλέπονται στο σημείο 1 του παρόντος άρθρου εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από την ESMA για τους εξής σκοπούς:
α) |
έρευνες σχετικά με τις άμεσες εποπτικές και εκτελεστικές αρμοδιότητες της ESMA· |
β) |
έρευνες για ενδεχόμενες παραβιάσεις του ενωσιακού δικαίου σύμφωνα με το άρθρο 17 του κανονισμού ESMA και |
γ) |
έρευνες σχετικά με συγκεκριμένο είδος χρηματοοικονομικής δραστηριότητας ή ένα συγκεκριμένο είδος προϊόντων ή μια συγκεκριμένη μορφή συμπεριφοράς, για την εκτίμηση ενδεχόμενων κινδύνων κατά της ακεραιότητας των χρηματοοικονομικών αγορών ή της σταθερότητας του χρηματοοικονομικού συστήματος σύμφωνα με το άρθρο 22 του κανονισμού ESMA. |
4. Επιπλέον, οι εν λόγω κανονισμοί ισχύουν για την παροχή βοήθειας, συντονισμού ή/και συνεργασίας από την ESMA σε εθνικές αρχές κινητών αξιών και αγορών, συμπεριλαμβανομένων των αρχών τρίτων χωρών, και διεθνών οργανισμών στο πλαίσιο των ερευνών που διεξάγονται για την άσκηση των εκ του νόμου καθηκόντων τους.
5. Οι περιορισμοί που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου εφαρμόζονται επίσης σε πράξεις επεξεργασίας που διενεργούνται πριν από την έναρξη των ερευνών ή άλλων διοικητικών ερευνών που αναφέρονται στις παραγράφους 2 έως 4 ανωτέρω, κατά τη διάρκεια των εν λόγω ερευνών και κατά την παρακολούθηση του αποτελέσματος των εν λόγω ερευνών.
6. Η παρούσα απόφαση εφαρμόζεται σε κάθε κατηγορία δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων που ορίζονται στις παραγράφους 2 έως 5 ανωτέρω.
7. Με την επιφύλαξη των όρων που καθορίζονται στην παρούσα απόφαση, οι περιορισμοί μπορεί να ισχύουν για τα ακόλουθα δικαιώματα: παροχή πληροφοριών σε υποκείμενα των δεδομένων, δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας και γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων.
Άρθρο 2
Υπεύθυνος επεξεργασίας αρμόδιος για τις έρευνες και τις ισχύουσες εγγυήσεις
1. Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων προσωπικού χαρακτήρα, διαρροών ή μη εξουσιοδοτημένης δημοσιοποίησης στο πλαίσιο των ερευνών που αναφέρονται στο άρθρο 1 είναι οι εξής:
α) |
Τα έγγραφα φυλάσσονται σε ασφαλισμένα ντουλάπια και είναι προσβάσιμα μόνο από εξουσιοδοτημένο προσωπικό· |
β) |
Όλα τα ηλεκτρονικά δεδομένα υποβάλλονται σε επεξεργασία από τον εγκεκριμένο εξοπλισμό, τα συστήματα πληροφοριών, τις εφαρμογές και τους πόρους των μέσων αποθήκευσης της ESMA. Οι εφαρμογές του συστήματος διαχείρισης εγγράφων πρέπει να χρησιμοποιούνται για την οργάνωση, την εύρεση, την κοινοποίηση, τη συντήρηση και την προστασία των ηλεκτρονικών δεδομένων της ESMA. Το εξουσιοδοτημένο προσωπικό της ESMA θα έχει πρόσβαση μόνο σε ηλεκτρονικά δεδομένα που ακολουθούν την αρχή της ανάγκης να γνωρίζουν. |
γ) |
Όλα τα πρόσωπα που έχουν πρόσβαση στα δεδομένα δεσμεύονται από την υποχρέωση εμπιστευτικότητας. |
2. Ο υπεύθυνος επεξεργασίας είναι η ESMA, εκπροσωπούμενη από τον Εκτελεστικό Διευθυντή της, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπεύθυνου επεξεργασίας. Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον εξουσιοδοτημένο υπεύθυνο επεξεργασίας μέσω αρχείων για την προστασία των δεδομένων που δημοσιεύονται στον δικτυακό τόπο της ESMA.
3. Η περίοδος διατήρησης των δεδομένων προσωπικού χαρακτήρα δεν υπερβαίνει το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Η περίοδος διατήρησης καθορίζεται στα αρχεία προστασίας δεδομένων και στις δηλώσεις απορρήτου που αναφέρονται στο άρθρο 5 παράγραφος 1.
4. Στις περιπτώσεις που η ESMA προτίθεται να εφαρμόσει έναν περιορισμό, σταθμίζεται ο κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως ο κίνδυνος για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και ο κίνδυνος της ακύρωσης του αποτελέσματος των ερευνών ή διαδικασιών της ESMA, για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν κατά κύριο λόγο, αλλά δεν περιορίζονται σε αυτούς, τους κινδύνους φήμης και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.
Άρθρο 3
Περιορισμοί
1. Οποιοσδήποτε περιορισμός εφαρμόζεται μόνο από την ESMA για τη διασφάλιση:
α) |
της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών, |
β) |
άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως των στόχων της κοινής εξωτερικής πολιτικής και πολιτικής ασφαλείας της Ένωσης ή σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης, |
γ) |
της εσωτερικής ασφάλειας των οργάνων και οργανισμών της Ένωσης, συμπεριλαμβανομένων των δικτύων ηλεκτρονικών επικοινωνιών τους, |
δ) |
της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβιάσεων της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων, |
ε) |
της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα σημεία α) και β), |
στ) |
της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων. |
2. Στο πλαίσιο της ειδικής εφαρμογής των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, η ESMA μπορεί να εφαρμόσει περιορισμούς σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, με αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή με διεθνείς οργανισμούς, στις εξής περιπτώσεις:
α) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να περιοριστεί από τις υπηρεσίες της Επιτροπής ή από άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης βάσει άλλων πράξεων οι οποίες προβλέπονται στο άρθρο 25 του κανονισμού (ΕΕ) 2018/1725 ή σύμφωνα με το κεφάλαιο IX του εν λόγω κανονισμού ή με τις ιδρυτικές πράξεις άλλων θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης· |
β) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να περιοριστεί από αρμόδιες αρχές των κρατών μελών βάσει πράξεων που αναφέρονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3), ή δυνάμει εθνικών μέτρων για τη μεταφορά του άρθρου 13 παράγραφος 3, του άρθρου 15 παράγραφος 3 ή του άρθρου 16 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4)· |
γ) |
όταν η άσκηση των εν λόγω δικαιωμάτων και υποχρεώσεων θα μπορούσε να θέσει σε κίνδυνο τη συνεργασία της ESMA με τρίτη χώρα ή διεθνείς οργανισμούς κατά την άσκηση των καθηκόντων της ή των καθηκόντων της τρίτης χώρας ή των διεθνών οργανισμών. Προτού εφαρμόσει περιορισμούς στις περιπτώσεις που αναφέρονται στα σημεία α) και β) του πρώτου εδαφίου, η ESMA ζητάει τη γνώμη των οικείων υπηρεσιών της Επιτροπής, των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης ή των αρμόδιων αρχών των κρατών μελών, εκτός αν έχει καταστεί σαφές στην ESMA ότι η εφαρμογή ενός περιορισμού προβλέπεται σε κάποια από τις πράξεις που αναφέρονται στα εν λόγω σημεία. |
3. Οποιοσδήποτε περιορισμός οφείλει να είναι αναγκαίος και αναλογικός, να λαμβάνει υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και να τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών σε μια δημοκρατική κοινωνία.
4. Αν κριθεί απαραίτητη η εφαρμογή περιορισμού, διενεργείται δοκιμή αναλογικότητας με βάση τους ισχύοντες κανόνες. Πρέπει να τεκμηριώνεται μέσω ενός εσωτερικού σημειώματος αξιολόγησης για λόγους λογοδοσίας κατά περίπτωση.
5. Οι περιορισμοί αίρονται μόλις πάψουν να υφίστανται οι περιστάσεις που δικαιολογούν την επιβολή τους. Ειδικότερα, όταν κρίνεται ότι η άσκηση του περιορισμένου δικαιώματος δεν διακυβεύσει πλέον την ισχύ του περιορισμού που επιβάλλεται, ούτε θα θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων δεδομένων.
Άρθρο 4
Επανεξέταση από τον υπεύθυνο προστασίας δεδομένων
1. Ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον Υπεύθυνο Προστασίας Δεδομένων της (ο «ΥΠΔ»), κάθε φορά που ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων ή επεκτείνει τον περιορισμό, σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο εσωτερικό σημείωμα που περιέχει την αξιολόγηση της αναγκαιότητας και της αναλογικότητας του περιορισμού καθώς και, κατά περίπτωση, στα υποκείμενα πραγματικά και νομικά στοιχεία και καταγράφει την ημερομηνία ενημέρωσης του ΥΠΔ.
2. Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να εξετάσει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.
3. Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ για την άρση του περιορισμού.
4. Ο υπεύθυνος επεξεργασίας καταγράφει τη συμμετοχή του ΥΠΔ κατά τα διαφορετικά στάδια της διαδικασίας, ξεκινώντας από την ημερομηνία ενημέρωσης του ΥΠΔ.
5. Το εσωτερικό σημείωμα, και, κατά περίπτωση, τα υποκείμενα πραγματικά και νομικά στοιχεία τίθενται στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων κατόπιν αιτήματος.
Άρθρο 5
Παροχή πληροφοριών σε υποκείμενο δεδομένων
1. Η ESMA δημοσιεύει στον δικτυακό της τόπο τα αρχεία προστασίας δεδομένων που ενημερώνουν όλα τα υποκείμενα δεδομένων σχετικά με τις δραστηριότητές της που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων πληροφοριών που αφορούν τον ενδεχόμενο περιορισμό των δικαιωμάτων των υποκειμένων των δεδομένων.
2. Η ESMA ενημερώνει σε ατομική βάση όλα τα υποκείμενα δεδομένων τα οποία θεωρεί πρόσωπα που τα αφορά η έρευνα ή η διερεύνηση, σχετικά με το αρχείο προστασίας δεδομένων των εν λόγω πράξεων επεξεργασίας, χωρίς αδικαιολόγητη καθυστέρηση και γραπτώς.
3. Σε δεόντως αιτιολογημένες περιπτώσεις και σύμφωνα με τους όρους που καθορίζονται στην παρούσα απόφαση, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, την παροχή των πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 2. Σε αυτήν την περίπτωση, καταγράφει σε εσωτερικό σημείωμα τους λόγους του περιορισμού, τη νομική βάση σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.
4. Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν.
Όταν δεν ισχύουν πλέον οι λόγοι περιορισμού, η ESMA κοινοποιεί στο θιγόμενο υποκείμενο των δεδομένων το σχετικό αρχείο προστασίας δεδομένων και τους κυριότερους λόγους για τον περιορισμό. Η κοινοποίηση αυτή μπορεί να συνδυαστεί με μια πρόσκληση υποβολής των συμπερασμάτων της υπό εξέλιξη έρευνας ή διερεύνησης, στο πλαίσιο της άσκησης των δικαιωμάτων υπεράσπισης του θιγόμενου υποκειμένου των δεδομένων. Παράλληλα, η ESMA ενημερώνει το θιγόμενο υποκείμενο των δεδομένων για το δικαίωμά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.
Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.
Άρθρο 6
Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων
1. Κατόπιν αιτήματος του υποκειμένου των δεδομένων, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, το δικαίωμα του εν λόγω υποκειμένου δεδομένων να λάβει επιβεβαίωση σχετικά με το εάν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν έχουν υποβληθεί σε επεξεργασία από την ESMA στο πλαίσιο έρευνας ή διερεύνησης που αναφέρεται στο άρθρο 1 της παρούσας απόφασης, και στις περιπτώσεις που συμβαίνει κάτι τέτοιο, το δικαίωμα πρόσβασης στα εν λόγω δεδομένα και σε άλλες πληροφορίες που αναφέρονται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725.
2. Στις περιπτώσεις που η ESMA περιορίζει το δικαίωμα πρόσβασης, ενημερώνει το υποκείμενο των δεδομένων, στην απάντησή της στο αίτημά του, σχετικά με τον περιορισμό που εφαρμόζεται και τους κύριους λόγους του περιορισμού, καθώς και σχετικά με τη δυνατότητά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης·
3. Η ενημέρωση που προβλέπεται στην παράγραφο 2 μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό που επιβάλλεται βάσει του άρθρου 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725, την ισχύ του. Σε αυτήν την περίπτωση, η ESMA τεκμηριώνει σε εσωτερικό σημείωμα αξιολόγησης τους λόγους του περιορισμού, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού, καθώς και της διάρκειάς του.
4. Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.
Άρθρο 7
Δικαίωμα διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας
1. Κατόπιν αιτήματος του υποκειμένου των δεδομένων, η ESMA μπορεί, στο πλαίσιο έρευνας ή διερεύνησης που αναφέρεται στο άρθρο 1 της παρούσας απόφασης, να περιορίσει, εν όλω ή εν μέρει, το δικαίωμα του εν λόγω υποκειμένου δεδομένων να λάβει διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, να διαγράψει ή να περιορίσει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του όπως ορίζεται στα άρθρα 18, 19 και 20 του κανονισμού (ΕΕ) 2018/1725.
2. Όταν η ESMA περιορίζει την εφαρμογή του δικαιώματος διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας που αναφέρεται ανωτέρω, ακολουθεί τα στάδια που ορίζονται στο άρθρο 6 παράγραφοι 2 και 3 της παρούσας απόφασης.
3. Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.
Άρθρο 8
Ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Η ESMA κοινοποιεί την παραβίαση δεδομένων προσωπικού χαρακτήρα στο θιγόμενο υποκείμενο των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση όταν η παραβίαση των δεδομένων προσωπικού χαρακτήρα είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, όπως προβλέπεται στο άρθρο 35 του κανονισμού (ΕΕ) 2018/1725.
2. Σε δεόντως αιτιολογημένες περιπτώσεις και σύμφωνα με τους όρους που καθορίζονται στην παρούσα απόφαση, η ESMA μπορεί να περιορίσει, εν όλω ή εν μέρει, την παροχή των πληροφοριών στα υποκείμενα των δεδομένων που αναφέρονται στην παράγραφο 1 του παρόντος άρθρου. Σε αυτήν την περίπτωση, τεκμηριώνει σε εσωτερικό σημείωμα τους λόγους του περιορισμού, τη νομική βάση σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης μιας αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.
3. Ο περιορισμός που αναφέρεται στην παράγραφο 2 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν.
Όταν δεν ισχύουν πλέον οι λόγοι περιορισμού, η ESMA κοινοποιεί στο θιγόμενο υποκείμενο των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και το ενημερώνει σχετικά με τους κυριότερους λόγους για τον περιορισμό. Παράλληλα, η ESMA ενημερώνει το υποκείμενο των δεδομένων για το δικαίωμά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.
Η ESMA επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το κλείσιμο της σχετικής έρευνας ή διερεύνησης.
Άρθρο 9
Έναρξη ισχύος
Η παρούσα απόφαση αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Ελσίνκι, 1η Οκτωβρίου 2019.
Για το Διοικητικό Συμβούλιο
Steven MAIJOOR
Πρόεδρος
(1) ΕΕ L 295 της 21.11.2018, σ. 39.
(2) ΕΕ L 331 της 15.12.2010, σ. 84.
(3) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(4) Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).