|
25.11.2019 |
ET |
Euroopa Liidu Teataja |
L 303/31 |
EUROOPA VÄÄRTPABERITURUJÄRELEVALVE JUHATUSE OTSUS,
1. oktoober 2019,
millega võetakse vastu sise-eeskirjad andmesubjektide teatavate õiguste piiramise kohta seoses isikuandmete töötlemisega ESMA tegevuse raames
Juhatus,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (1) eriti selle artiklit 25,
võttes arvesse Euroopa Parlamendi ja nõukogu 24. novembri 2010. aasta määrust (EL) nr 1095/2010, millega asutatakse Euroopa Järelevalveasutus (Euroopa Väärtpaberiturujärelevalve), muudetakse otsust nr 716/2009/EÜ ning tunnistatakse kehtetuks komisjoni otsus 2009/77/EÜ, (2) ning selle võimalikke muutmis-, asendus- või kehtetuks tunnistamise akte, eriti määruse artiklit 71,
võttes arvesse Euroopa Andmekaitseinspektori 20. juuni 2019. aasta arvamust ning Euroopa Andmekaitseinspektori juhendit uue määruse artikli 25 ja sise-eeskirjade kohta,
olles konsulteerinud personalikomiteega
ning arvestades järgmist:
|
(1) |
ESMA tegutseb kooskõlas määrusega (EL) nr 1095/2010 (edaspidi „ESMA määrus“ ja „ESMA“), ning selle võimalike muutmis-, asendus- või kehtetuks tunnistamise aktidega. |
|
(2) |
ESMA töötleb eri liiki isikuandmeid, sealhulgas objektiivseid andmeid (näiteks identifitseerimisandmed, kontaktandmed, kutsetegevuse andmed, haldusandmed, konkreetsetest allikatest saadud andmed, elektroonilise side ja andmeliikluse andmed) ja/või subjektiivseid andmeid (konkreetse juhtumiga seotud andmed, näiteks põhjendused, käitumisandmed, ametialase tulemuslikkuse andmed ning andmed, mis on seotud või esitatud seoses menetluse või toimingu esemega). |
|
(3) |
ESMA, keda esindab tegevdirektor, tegutseb vastutava töötlejana olenemata vastutava töötleja rolli edasisest delegeerimisest ESMAs, et kajastada konkreetsete isikuandmete töötlustoimingutega seotud tegevuskohustusi. |
|
(4) |
Isikuandmeid säilitatakse turvaliselt elektroonilises keskkonnas või paberil, mis aitab ära hoida ebaseaduslikku juurdepääsu või andmete edastamist isikutele, kellel puudub teabevajadus. Töödeldud isikuandmeid säilitatakse mitte kauem, kui see on vajalik ja asjakohane andmete töötlemise eesmärgil, ning ESMA andmekaitsealastes registreerimiskannetes ja isikuandmete kaitse avaldustes märgitud ajavahemiku jooksul. |
|
(5) |
Oma kohustuste täitmise raames on ESMA kohustatud järgima nii palju kui võimalik andmesubjektide põhiõigusi, eelkõige õigust teabele, õigust tutvuda andmetega ning õigust nõuda andmete parandamist, kustutamist, töötlemise piiramist, andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning side konfidentsiaalsust, nagu on sätestatud määruses (EL) 2018/1725. |
|
(6) |
Sellegipoolest võib ESMA olla sunnitud piirama andmesubjektide teavitamist ja andmesubjekti muid õigusi, et kaitsta oma uurimiste ning teiste avaliku sektori asutuste uurimiste ja menetluste konfidentsiaalsust ja tõhusust ning ka oma uurimiste või muude menetlustega seotud teiste isikute õigusi. |
|
(7) |
Oma haldustegevuse raames võib ESMA läbi viia eri uurimisi ja toiminguid, näiteks haldusjuurdlused, distsiplinaarmenetlused, finantspettustega seotud eeltoimingud, rikkumistest teatamise või ahistamisjuhtumitega seotud uurimised, siseauditid, andmekaitse- või eetikaalased uurimised, IKT-uurimised, infoturbega seotud uurimised ning turvariskide ja intsidendihalduse kontekstis tehtavad toimingud. Peale selle viib ESMA oma kohustuste täitmiseks läbi uurimisi, mis on seotud ameti otseste järelevalve- või täiteülesannetega, ning võib uurida võimalikke liidu õiguse rikkumisi ja teatavaid finantstegevusi, tooteliike või käitumisviise, et hinnata võimalikke ohte finantsturgude terviklikkusele või finantssüsteemi stabiilsusele. |
|
(8) |
Sise-eeskirju kohaldatakse kõikide andmetöötlustoimingute suhtes, mida ESMA teostab eespool nimetatud uurimiste käigus. Eeskirju kohaldatakse ka enne nende uurimiste algatamist, uurimiste ajal ja uurimistulemuste järelmeetmete kontrollimisel tehtavate andmetöötlustoimingute suhtes. Samuti hõlmab see abi, koordineerimist ja/või koostööd, mida ESMA-lt taotlevad riikide ametiasutused ja rahvusvahelised organisatsioonid oma haldusuurimiste raames. |
|
(9) |
Enne käesolevate sise-eeskirjadega ettenähtud piirangute kasutamist peaks ESMA kaaluma määruses (EL) 2018/1725 sätestatud erandite kohaldatavust. Juhtudel, mil kohaldatakse käesolevate sise-eeskirjadega ettenähtud piiranguid, peab ESMA põhjendama, miks need piirangud on demokraatlikus ühiskonnas rangelt vajalikud ja proportsionaalsed ning austavad põhiõiguste ja -vabaduste olemust. |
|
(10) |
ESMA peaks jälgima, et piirangu aluseks olevad tingimused kehtivad, ning piirangu tühistama, kui need enam ei kehti. |
|
(11) |
Kui vastutav töötleja piirab kooskõlas käesoleva otsusega andmesubjektide õiguste kohaldamist, pikendab piirangu kehtivust või tühistab piirangu, peaks ta teavitama sellest andmekaitseametnikku, |
on vastu võtnud järgmise otsuse:
Artikkel 1
Reguleerimisese ja kohaldamisala
1. Käesolevas otsuses sätestatakse sise-eeskirjad seoses tingimustega, mille alusel võib ESMA lõigetes 2–5 sätestatud tegevuse raames kooskõlas määruse (EL) 2018/1725 artikliga 25 piirata selle määruse artiklites 14–21 ja 35 ning ka artiklis 4 sätestatud õigusi. Nende piirangutega ei piirata määrusega (EL) 2018/1725 ettenähtud andmesubjekti õiguste erandeid.
2. ESMA haldustegevuse raames kohaldatakse käesoleva artikli lõikes 1 osutatud piiranguid selliste isikuandmete töötlemise toimingute suhtes, mida ESMA teostab seoses alljärgnevaga:
|
a) |
haldusjuurdlused ja distsiplinaarmenetlused; |
|
b) |
eeskirjade eiramise menetlemine koostöös Euroopa Pettustevastase Ametiga (OLAF); |
|
c) |
rikkumistest teatamise juhtumite, (ametlike ja mitteametlike) ahistamisjuhtumite, samuti ametisiseste ja -väliste kaebuste menetlemine; |
|
d) |
siseauditid, andmekaitse- või eetikaalased uurimised; |
|
e) |
ametisisesed või koos ametiväliste pooltega tehtavad IKT-uurimised, infoturbega seotud uurimised ning toimingud turvariskide ja intsidendihalduse kontekstis. |
3. ESMA kohustuste täitmise raames kohaldatakse käesoleva artikli lõikes 1 osutatud piiranguid selliste isikuandmete töötlemise toimingute suhtes, mida ESMA teostab seoses alljärgnevaga:
|
a) |
uurimised, mis on seotud ESMA otseste järelevalve- ja täiteülesannetega; |
|
b) |
võimalike liidu õiguse rikkumiste uurimised ESMA määruse artikli 17 alusel; |
|
c) |
teatavate finantstegevuste, tooteliikide või käitumisviiside uurimine, et hinnata võimalikke ohte finantsturgude terviklikkusele või finantssüsteemi stabiilsusele, kooskõlas ESMA määruse artikliga 22. |
4. Lisaks kohaldatakse neid piiranguid abi, koordineerimise ja/või koostöö raames, mida ESMA osutab riiklikele väärtpaberiturujärelevalve asutustele, sealhulgas kolmandate riikide asutustele, ning rahvusvahelistele organisatsioonidele nende põhikirjajärgse tegevusega seoses korraldatavates uurimistes.
5. Käesoleva artikli lõikes 1 osutatud piiranguid kohaldatakse ka enne eespool nimetatud uurimiste või muude eespool lõigetes 2–4 viidatud haldusjuurdluste algatamist, nende ajal ja uurimistulemuste järelmeetmete kontrollimisel tehtavate andmetöötlustoimingute suhtes.
6. Käesolevat otsust kohaldatakse kõikidele isikuandmete kategooriatele, mida töödeldakse eespool lõigetes 2–5 kirjeldatud tegevuse käigus.
7. Käesolevas otsuses sätestatud tingimustel võidakse piiranguid kohaldada järgmiste õiguste suhtes: andmesubjekti õigus teabele, õigus tutvuda andmetega ning õigus nõuda andmete parandamist, kustutamist, andmete töötlemise piiramist ja andmesubjekti teavitamist isikuandmetega seotud rikkumisest.
Artikkel 2
Uurimist juhtiv vastutav töötleja ja kohaldatavad kaitsemeetmed
1. Isikuandmetega seotud rikkumiste, lekete või loata avalikustamise vältimiseks artiklis 1 osutatud uurimiste käigus võetakse järgmised kaitsemeetmed:
|
a) |
paberdokumente säilitatakse turvakappides ning neile on juurdepääs üksnes volitatud töötajatel; |
|
b) |
kõiki elektroonilisi andmeid säilitatakse ESMA heakskiidetud seadmetes, infosüsteemides, rakendustes ja andmekandjatel; ESMA elektrooniliste andmete korrastamiseks, otsimiseks, jagamiseks, säilitamiseks ja kaitsmiseks kasutatakse ESMA dokumendihaldussüsteemi rakendusi; ESMA volitatud töötajatele antakse juurdepääs elektroonilistele andmetele üksnes teabevajaduse alusel; |
|
c) |
kõigil isikutel, kellel on juurdepääs andmetele, on konfidentsiaalsuskohustus. |
2. Andmetöötlustoimingute eest vastutav töötleja on ESMA, keda esindab tegevdirektor, kes võib vastutava töötleja ülesande delegeerida. Andmesubjekte teavitatakse delegeeritud vastutavast töötlejast ESMA veebilehel avaldatavates andmekaitsealastes registreerimiskannetes.
3. Töödeldud isikuandmeid ei säilitata kauem, kui see on vajalik ja asjakohane andmete töötlemise eesmärgil. Säilitamisperiood täpsustatakse artikli 5 lõikes 1 osutatud andmekaitsealastes registreerimiskannetes ja isikuandmete kaitse avaldustes.
4. Kui ESMA kaalub piirangu kohaldamist, arvestatakse riski andmesubjekti õigustele ja vabadustele, eriti riski muude andmesubjektide õigustele ja vabadustele, ning ESMA uurimiste või menetluste mõju kahjustamise riski, näiteks tõendite hävitamisega. Riskid andmesubjektide õigustele ja vabadustele on seotud peamiselt näiteks maine kahjustamise riskiga ning kaitse ja ärakuulamise õiguse kahjustamise riskiga.
Artikkel 3
Piirangud
1. ESMA kohaldab piiranguid üksnes järgmise tagamiseks:
|
a) |
süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine; |
|
b) |
liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu ühise välis- ja julgeolekupoliitika eesmärgid või liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus; |
|
c) |
liidu institutsioonide ja organite sisejulgeolek, sealhulgas nende elektroonilise side võrgustike julgeolek; |
|
d) |
reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine; |
|
e) |
jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on, kas või juhtumipõhiselt, seotud avaliku võimu teostamisega punktides a ja b osutatud juhtudel; |
|
f) |
andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. |
2. Eespool lõikes 1 kirjeldatud eesmärkide kohaldamise erijuhtumina võib ESMA järgmistel asjaoludel kehtestada piiranguid seoses isikuandmetega, mida vahetatakse komisjoni talituste või liidu teiste institutsioonide, organite ja asutuste, liikmesriikide või kolmandate riikide pädevate asutuste või rahvusvaheliste organisatsioonidega:
|
a) |
kui nende õiguste teostamist ja kohustuste täitmist võiksid piirata komisjoni talitused või teised liidu institutsioonid, organid ja asutused määruse (EL) 2018/1725 artiklis 25 nimetatud muude õigusaktide alusel või kooskõlas kõnealuse määruse IX peatükiga või teiste liidu institutsioonide, organite ja asutuste asutamisaktidega; |
|
b) |
kui nende õiguste teostamist ja kohustuste täitmist võiksid piirata liikmesriikide pädevad asutused Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (3) artiklis 23 viidatud õigusaktide alusel või selliste meetmete alusel, millega võetakse liikmesriigi õigusesse üle Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 (4) artikli 13 lõige 3, artikli 15 lõige 3 või artikli 16 lõige 3; |
|
c) |
kui nende õiguste teostamine ja kohustuste täitmine võiks kahjustada ESMA koostööd kolmanda riigiga või rahvusvaheliste organisatsioonidega tema ülesannete täitmisel või kolmanda riigi või rahvusvaheliste organisatsioonide ülesannete täitmisel. Enne lõike 1 punktides a ja b viidatud asjaoludel piirangute kohaldamist konsulteerib ESMA asjaomaste komisjoni talituste, liidu institutsioonide, organite või asutuste või liikmesriikide pädevate asutustega, välja arvatud juhul, kui ESMA jaoks on selge, et piirangu kohaldamine on sätestatud mõnes neis punktides nimetatud õigusaktis. |
3. Kõik piirangud peavad olema vajalikud ja proportsionaalsed, võttes arvesse riski andmesubjektide õigustele ja vabadustele, ning järgima põhiõiguste ja -vabaduste põhiolemust demokraatlikus ühiskonnas.
4. Piirangu kohaldamise kaalutlemisel hinnatakse piirangu vajalikkust ja proportsionaalsust käesolevate eeskirjade alusel. Kooskõlas vastutuse põhimõttega dokumenteeritakse hindamine igal üksikjuhul eraldi ametisiseses hindamisteatises.
5. Piirangud tühistatakse kohe, kui nende aluseks olevad tingimused enam ei kehti, eelkõige kui piiratud õiguse kasutamine ei tühistaks enam kehtestatud piirangu mõju ega kahjustaks teiste andmesubjektide õigusi või vabadusi.
Artikkel 4
Andmekaitseametniku tehtav läbivaatamine
1. Kui vastutav töötleja piirab kooskõlas käesoleva otsusega andmesubjektide õiguste kohaldamist või pikendab piirangu kehtivust, teavitab ta sellest põhjendamatu viivituseta andmekaitseametnikku. Vastutav töötleja tagab andmekaitseametnikule juurdepääsu piirangu vajalikkuse ja proportsionaalsuse hinnangut ning vajaduse korral ka faktilisi ja õiguslikke asjaolusid sisaldavale ametisisesele teatisele ning dokumenteerib andmekaitseametniku teavitamise kuupäeva.
2. Andmekaitseametnik võib esitada vastutavale töötlejale kirjaliku taotluse piirangu kohaldamise läbivaatamiseks. Vastutav töötleja teavitab andmekaitseametnikku kirjalikult taotletud läbivaatamise tulemustest.
3. Vastutav töötleja teavitab andmekaitseametnikku, kui piirang tühistatakse.
4. Vastutav töötleja dokumenteerib andmekaitseametniku osaluse protsessi eri etappides, alustades andmekaitseametniku teavitamise kuupäevast.
5. Ametisisene teatis ning vajaduse korral faktilised ja õiguslikud asjaolud tehakse taotluse korral kättesaadavaks Euroopa Andmekaitseinspektorile.
Artikkel 5
Andmesubjekti teavitamine
1. ESMA avaldab oma veebilehel andmekaitsealased registreerimiskanded, millega teavitatakse kõiki andmesubjekte ameti tegevusest, mille käigus töödeldakse isikuandmeid, sealhulgas teabe andmesubjekti õiguste võimaliku piiramise kohta.
2. ESMA teavitab konkreetse andmetöötlustoimingu registreerimiskandest viivitamata ja kirjalikus vormis eraldi kõiki andmesubjekte, keda amet peab vastava uurimise või juurdlusega seotuks.
3. Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib ESMA kas täielikult või osaliselt piirata lõike 2 kohast andmesubjektide teavitamist. Sellisel juhul dokumenteeritakse ametisiseses teatises piirangu põhjused ja õiguslik alus kooskõlas käesoleva otsuse artikliga 3, sealhulgas piirangu vajalikkuse ja proportsionaalsuse hinnang.
4. Lõikes 3 osutatud piirangut kohaldatakse seni, kuni kehtivad selle kohaldamise põhjused.
Kui piirangu põhjused enam ei kehti, teavitab ESMA asjaomast andmesubjekti vastavast andmekaitsealasest registreerimiskandest ja piirangu peamistest põhjustest. Selle teatega võidakse andmesubjektil paluda esitada ka avaldusi käimasoleva uurimise või juurdluse kohta, et andmesubjekt saaks kasutada oma õigust kaitsele. Samuti teavitab ESMA asjaomast andmesubjekti õigusest esitada millal tahes kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
ESMA vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ning asjaomase juurdluse või uurimise lõpetamisel.
Artikkel 6
Andmesubjekti õigus tutvuda andmetega
1. Pärast andmesubjektilt taotluse saamist võib ESMA täielikult või osaliselt piirata andmesubjekti õigust saada kinnitus selle kohta, kas ESMA töötleb käesoleva otsuse artiklis 1 osutatud uurimise või juurdluse raames tema isikuandmeid, ning kui seda tehakse, võib amet täielikult või osaliselt piirata õigust tutvuda nende isikuandmetega ja määruse (EL) 2018/1725 artiklis 17 osutatud muu teabega.
2. Kui ESMA piirab õigust tutvuda andmetega, teavitab amet taotlusele vastamisel asjaomast andmesubjekti piirangu kohaldamisest ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
3. Kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 8 võib lõikes 2 nimetatud teabe esitamist edasi lükata, ära jätta või sellest keelduda, kui piirang kaotaks seeläbi oma mõju. Sellisel juhul dokumenteerib ESMA ametisiseses hindamisteatises piirangu põhjused, sealhulgas piirangu vajalikkuse ja proportsionaalsuse hinnangu ning piirangu kestuse.
4. ESMA vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ning asjaomase juurdluse või uurimise lõpetamisel.
Artikkel 7
Andmete parandamise ja kustutamise õigus ning andmete töötlemise piirangud
1. Pärast andmesubjektilt taotluse saamist võib ESMA käesoleva otsuse artiklis 1 osutatud uurimise või juurdluse raames täielikult või osaliselt piirata andmesubjekti õigust nõuda kooskõlas määruse (EL) 2018/1725 artiklitega 18, 19 ja 20 oma isikuandmete parandamist või kustutamist või nende andmete töötlemise piiramist.
2. Kui ESMA piirab õigust nõuda andmete parandamist või kustutamist või andmete töötlemise piiramist, nagu osutatud eespool, võtab ta käesoleva otsuse artikli 6 lõigetes 2 ja 3 kirjeldatud meetmed.
3. ESMA vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ning asjaomase juurdluse või uurimise lõpetamisel.
Artikkel 8
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
1. Kooskõlas määruse (EL) 2018/1725 artikliga 35 peab ESMA põhjendamatu viivituseta teavitama andmesubjekti isikuandmetega seotud rikkumisest, kui selline rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
2. Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib ESMA kas täielikult või osaliselt piirata käesoleva artikli lõike 1 kohast andmesubjektide teavitamist. Sellisel juhul dokumenteeritakse ametisiseses teatises piirangu põhjused ja õiguslik alus kooskõlas käesoleva otsuse artikliga 3, sealhulgas piirangu vajalikkuse ja proportsionaalsuse hinnang.
3. Lõikes 2 nimetatud piirangut kohaldatakse seni, kuni kehtivad selle kehtestamise põhjused.
Kui piirangu põhjused enam ei kehti, teavitab ESMA asjaomast andmesubjekti isikuandmetega seotud rikkumisest ja piirangu peamistest põhjustest. Samuti teavitab ESMA asjaomast andmesubjekti õigusest esitada millal tahes kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
ESMA vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ning asjaomase juurdluse või uurimise lõpetamisel.
Artikkel 9
Jõustumine
Käesolev otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Helsingi, 1. oktoober 2019
Eesistuja
Steven MAIJOOR
(1) ELT L 295, 21.11.2018, lk 39.
(2) ELT L 331, 15.12.2010, lk 84.
(3) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).
(4) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).