This document is an excerpt from the EUR-Lex website
Document 32019Q1125(01)
Decision of the Management Board of the European Securities and Markets Authority of 1 October 2019 adopting internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of ESMA
Euroopan arvopaperimarkkinaviranomaisen hallintoneuvoston päätös, annettu 1 päivänä lokakuuta 2019, sisäisistä säännöistä, jotka koskevat rajoituksia rekisteröityjen tiettyihin oikeuksiin henkilötietojen käsittelyn yhteydessä ESMAn toiminnan puitteissa
Euroopan arvopaperimarkkinaviranomaisen hallintoneuvoston päätös, annettu 1 päivänä lokakuuta 2019, sisäisistä säännöistä, jotka koskevat rajoituksia rekisteröityjen tiettyihin oikeuksiin henkilötietojen käsittelyn yhteydessä ESMAn toiminnan puitteissa
EUVL L 303, 25.11.2019, p. 31–36
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
25.11.2019 |
FI |
Euroopan unionin virallinen lehti |
L 303/31 |
EUROOPAN ARVOPAPERIMARKKINAVIRANOMAISEN HALLINTONEUVOSTON PÄÄTÖS,
annettu 1 päivänä lokakuuta 2019,
sisäisistä säännöistä, jotka koskevat rajoituksia rekisteröityjen tiettyihin oikeuksiin henkilötietojen käsittelyn yhteydessä ESMAn toiminnan puitteissa
HALLINTONEUVOSTO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1) ja erityisesti sen 25 artiklan,
ottaa huomioon Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta 24 päivänä marraskuuta 2010 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010 (2), sellaisena kuin sitä voidaan myöhemmin muuttaa, se voidaan kumota tai korvata, ja erityisesti sen 71 artiklan,
ottaa huomioon Euroopan tietosuojavaltuutetun 20 päivänä kesäkuuta 2019 antaman lausunnon ja Euroopan tietosuojavaltuutetun ohjeet uuden asetuksen 25 artiklasta ja sisäisistä säännöistä,
on kuullut henkilöstökomiteaa,
sekä katsoo seuraavaa:
|
(1) |
ESMA toteuttaa toimintaansa Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010, sellaisena kuin sitä voidaan myöhemmin muuttaa, se voidaan kumota tai korvata, (jäljempänä ’ESMA-asetus’ ja ’ESMA’) mukaisesti. |
|
(2) |
ESMA käsittelee useita henkilötietoryhmiä, muun muassa ”objektiivisia” tietoja (kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja liikennettä koskevia tietoja) ja/tai tapaukseen liittyviä ”subjektiivisia” tietoja (kuten päättelyä, käyttäytymistietoja ja suoriutumista koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja). |
|
(3) |
ESMA, jota edustaa sen pääjohtaja, toimii rekisterinpitäjänä riippumatta ESMAssa myöhemmin tehtävistä rekisterinpitäjän tehtävän siirroista, jotka perustuvat nimenomaisten henkilötietojen käsittelytoimien operatiivisiin vastuisiin. |
|
(4) |
Henkilötiedot tallennetaan suojatusti sähköiseen ympäristöön tai paperille siten, että estetään lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen henkilöille, joiden ei tarvitse niitä tietää. Henkilötietoja säilytetään vain niin kauan kuin on tarpeen ja asianmukaista niiden käsittelyn tarkoitusten kannalta ESMAn tietoturvaselosteissa ja tietosuojaselosteissa määritetyn ajan. |
|
(5) |
Tehtäviensä suorittamiseksi ESMAn on noudatettava mahdollisimman suuressa määrin rekisteröityjen perusoikeuksia ja erityisesti niitä, jotka liittyvät oikeuteen saada tietoa, saada pääsy tietoihin ja korjata tiedot, oikeuteen poistaa tiedot ja rajoittaa niiden käsittelyä, oikeuteen saada ilmoitus rekisteröidyn henkilötietojen tietoturvaloukkauksesta tai oikeuteen viestinnän luottamuksellisuuteen asetuksessa (EU) 2018/1725 vahvistetun mukaisesti. |
|
(6) |
ESMAn on kuitenkin ehkä rajoitettava tiedottamista rekisteröidyille tai muita rekisteröityjen oikeuksia suojatakseen erityisesti omien tutkimustensa luottamuksellisuuden ja tehokkuuden, muiden viranomaisten tutkimuksia ja menettelyjä sekä muiden sen tutkimuksiin tai muihin menettelyihin liittyvien henkilöiden oikeuksia. |
|
(7) |
ESMA voi hallinnollisen toimintansa yhteydessä tehdä useita tutkimuksia, kuten hallinnollisia tutkimuksia, kurinpitomenettelyitä, rahoituspetokseen liittyviä alustavia toimia, väärinkäytösten paljastamiseen tai häirintätapauksiin liittyviä tutkimuksia, sisäisiä tarkastuksia, tietosuojaa tai etiikkaa koskevia tutkimuksia, tieto- ja viestintäteknisiä tutkimuksia, tietoturvatutkimuksia sekä toimia, joita toteutetaan turvallisuusriskien ja -häiriöiden hallinnan yhteydessä. ESMA tekee tehtäviensä suorittamiseksi lisäksi sen suoriin valvonta- tai täytäntöönpanotoimintoihin liittyviä tutkimuksia ja voi tehdä tutkimuksia unionin lainsäädännön mahdollisista rikkomuksista sekä tutkimuksia tietyntyyppisestä rahoitustoiminnasta tai tuotteen tai toiminnan tyypistä arvioidakseen mahdollisia uhkia finanssimarkkinoiden eheydelle tai rahoitusjärjestelmän vakaudelle. |
|
(8) |
Sisäisiä sääntöjä olisi sovellettava kaikkiin käsittelytoimiin, joita ESMA toteuttaa edellä mainittuja tutkimuksia tehdessään. Niitä olisi sovellettava myös käsittelytoimiin, joita toteutetaan ennen edellä mainittujen tutkimusten aloittamista, näiden tutkimusten aikana sekä tutkimusten tuloksista johtuvien jatkotoimien seurannan aikana. Tähän pitäisi myös kuulua apu, koordinointi ja/tai yhteistyö, jota kansalliset viranomaiset ja kansainväliset järjestöt pyytävät ESMAlta niiden omien hallinnollisten tutkimusten yhteydessä. |
|
(9) |
Ennen näissä sisäisissä säännöissä tarkoitettujen rajoitusten käyttämistä ESMAn olisi harkittava, sovelletaanko jotakin asetuksessa (EU) 2018/1725 tarkoitetuista poikkeuksista. Tapauksissa, joissa näiden sisäisten sääntöjen mukaisia rajoituksia sovelletaan, ESMAn on selitettävä, miksi rajoitukset ovat ehdottoman tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa, ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia. |
|
(10) |
ESMAn olisi seurattava, täyttyvätkö rajoituksen oikeuttavat edellytykset edelleen, ja poistettava rajoitus, kun ne eivät enää täyty. |
|
(11) |
Rekisterinpitäjän olisi ilmoitettava tietosuojavastaavalle, kun tiettyjen rekisteröityjen oikeuksien käyttöä rajoitetaan tämän päätöksen nojalla ja kun kyseistä rajoitusta jatketaan sekä kun rajoitus poistetaan, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Kohde ja soveltamisala
1. Tässä päätöksessä vahvistetaan sisäiset säännöt edellytyksille, joiden täyttyessä ESMA voi 2–5 kohdassa esitettyjen toimiensa yhteydessä rajoittaa 14–21 ja 35 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista asetuksen (EU) 2018/1725 25 artiklan mukaisesti. Nämä rajoitukset eivät vaikuta asetuksessa (EU) 2018/1725 säädettyihin rekisteröityjen oikeuksia koskeviin poikkeuksiin.
2. Tämän artiklan 1 kohdassa tarkoitettuja rajoituksia sovelletaan ESMAn hallinnollisen toiminnan yhteydessä, kun ESMA käsittelee henkilötietoja seuraavia tarkoituksia varten:
|
a) |
hallinnolliset tutkimukset ja kurinpitomenettelyt |
|
b) |
sääntöjenvastaisuuksien käsittely Euroopan petostentorjuntaviraston (OLAF) kanssa |
|
c) |
väärinkäytösten paljastamistapausten, (virallisten ja epävirallisten) häirintätapausten sekä sisäisten ja ulkoisten valitusten käsittely |
|
d) |
sisäiset tarkastukset, tietosuojaa tai etiikkaa koskevat tutkimukset |
|
e) |
tieto- ja viestintätekniset tutkimukset, tietoturvallisuustutkimukset ja turvallisuusriskien ja -häiriöiden hallinnan yhteydessä toteutettavat toimet, jotka käsitellään sisäisesti tai ulkopuolisella avulla. |
3. Tämän artiklan 1 kohdassa tarkoitettuja rajoituksia sovelletaan ESMAn tehtävien suorittamisen yhteydessä, kun ESMA käsittelee henkilötietoja seuraavia tarkoituksia varten:
|
a) |
ESMAn suoriin valvonta- ja täytäntöönpanotoimintoihin liittyvät tutkimukset |
|
b) |
unionin lainsäädännön mahdollisten rikkomusten tutkiminen ESMA-asetuksen 17 artiklan mukaisesti ja |
|
c) |
tutkimukset tietyntyyppisestä rahoitustoiminnasta tai tuotteen tai toiminnan tyypistä, jotta voidaan arvioida mahdollisia uhkia finanssimarkkinoiden eheydelle tai rahoitusjärjestelmän vakaudelle ESMA-asetuksen 22 artiklan mukaisesti. |
4. Lisäksi näitä rajoituksia sovelletaan apuun, koordinointiin ja/tai yhteistyöhön, jota ESMA tarjoaa kansallisille arvopaperi- ja markkinaviranomaisille, myös kolmansien maiden viranomaisille, ja kansainvälisille järjestöille niiden lakisääteisten tehtävien täyttämiseksi tehtävien tutkimusten yhteydessä.
5. Tämän artiklan 1 kohdassa tarkoitettuja rajoituksia sovelletaan myös käsittelytoimiin, joita toteutetaan ennen edellä mainittujen tutkimusten aloittamista, tai muihin edellä 2–4 kohdassa tarkoitettuihin hallinnollisiin tutkimuksiin näiden tutkimusten aikana sekä tutkimusten tuloksista johtuvien jatkotoimien seurannan aikana.
6. Tätä päätöstä sovelletaan kaikkiin edellä 2–5 kohdassa tarkoitettujen toimien yhteydessä käsiteltyjen tietojen ryhmiin.
7. Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä edellytyksistä ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot, rajoittaa käsittelyä ja oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidylle.
2 artikla
Tutkimuksista vastaava rekisterinpitäjä ja sovellettavat suojatoimet
1. Seuraavat suojatoimet ovat käytössä, jotta voidaan välttää henkilötietojen tietoturvaloukkaukset, vuodot tai luvaton luovuttaminen 1 artiklassa tarkoitettujen tutkimusten yhteydessä:
|
a) |
Paperiasiakirjoja on säilytettävä turvakaapeissa, joihin vain valtuutetulla henkilöstöllä on pääsy. |
|
b) |
Kaikkia sähköisiä tietoja on hallinnoitava ESMAn hyväksymillä laitteilla, tietojärjestelmillä, sovelluksilla ja tallennusvälineillä. ESMAn asiakirjahallintajärjestelmän sovelluksia on käytettävä ESMAn sähköisten tietojen järjestämiseen, hakemiseen, jakamiseen, säilyttämiseen ja suojaamiseen. Valtuutetulle ESMAn henkilöstölle myönnetään pääsy sähköisiin tietoihin vain tiedonsaantitarpeen mukaan. |
|
c) |
Salassapitovelvoite sitoo kaikkia henkilöitä, joilla on pääsy tietoihin. |
2. Käsittelytoimien rekisterinpitäjä on ESMA, jota edustaa sen pääjohtaja, joka voi siirtää rekisterinpitäjän tehtävän eteenpäin. Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa, jotka julkaistaan ESMAn verkkosivustolla.
3. Käsiteltäviä henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten.Säilytysaika ilmoitetaan 5 artiklan 1 kohdassa tarkoitetuissa tietosuojaselosteissa ja tietoturvaselosteissa.
4. Jos ESMA aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin perusteella sekä sen riskin perusteella, että ESMAn tutkimusten tai menettelyjen vaikutus poistuu esimerkiksi sen vuoksi, että todisteita tuhotaan. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät etupäässä muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.
3 artikla
Rajoitukset
1. ESMAn on sovellettava rajoituksia vain seuraavien takaamiseksi:
|
a) |
rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy |
|
b) |
muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva |
|
c) |
unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus |
|
d) |
säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet |
|
e) |
valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a ja b alakohdassa tarkoitetuissa tapauksissa |
|
f) |
rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. |
2. ESMA voi edellä 1 kohdassa kuvatun rajoituksen erityisenä soveltamistapana soveltaa rajoituksia komission yksiköiden tai muiden unionin toimielinten, elinten ja laitosten, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden tai kansainvälisten järjestöjen kanssa vaihdettaviin henkilötietoihin seuraavissa olosuhteissa:
|
a) |
kun komission yksiköt tai muut unionin toimielimet, elimet ja laitokset voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien käyttöä muiden asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten perusteella tai kyseisen asetuksen IX luvun mukaisesti tai muiden unionin toimielinten, elinten ja laitosten perustamissäädösten mukaisesti |
|
b) |
kun jäsenvaltioiden toimivaltaiset viranomaiset voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien käyttöä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (3) 23 artiklassa tarkoitettujen säädösten perusteella tai Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (4) 13 artiklan 3 kohdan, 15 artiklan 3 kohdan tai 16 artiklan 3 kohdan osaksi kansallista lainsäädäntöä saattavien kansallisten säädösten nojalla |
|
c) |
kun kyseisten oikeuksien ja velvollisuuksien käyttö voisi vaarantaa ESMAn yhteistyön kolmannen maan tai kansainvälisten järjestöjen kanssa sen tehtävien suorittamisessa tai kolmannen maan tai kansainvälisten järjestöjen tehtävien suorittamisessa. Ennen rajoitusten soveltamista ensimmäisen alakohdan a ja b luetelmakohdassa tarkoitetuissa olosuhteissa ESMAn on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä ja laitoksia tai jäsenvaltioiden toimivaltaisia viranomaisia paitsi, jos ESMAlle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä luetelmakohdissa tarkoitetussa säädöksessä. |
3. Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.
4. Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.
5. Rajoitukset on poistettava heti, kun niitä oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se vaikuttaa haitallisesti muiden rekisteröityjen oikeuksiin tai vapauksiin.
4 artikla
Uudelleentarkastelu tietosuojavastaavan pyynnöstä
1. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa tämän päätöksen mukaisesti rekisteröityjen oikeuksien soveltamista tai jatkaa rajoitusta. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy sisäiseen muistioon, jossa on arviointi rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta ja tarvittaessa perustana oleva tosiseikat ja lakisääteiset tiedot, sekä kirjattava päivämäärä, jona tietosuojavastaavalle ilmoitettiin.
2. Tietosuojavastaava voi pyytää kirjallisesti rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.
3. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.
4. Rekisterinpitäjän on dokumentoitava tietosuojavastaavan osallistuminen prosessin eri vaiheisiin alkaen päivästä, jona tietosuojavastaavalle ilmoitettiin.
5. Sisäinen muistio ja tarvittaessa perustana olevat tosiseikat ja lakisääteiset tiedot on annettava Euroopan tietosuojavaltuutetun saataville pyynnöstä.
5 artikla
Tiedon antaminen rekisteröidyille
1. ESMAn on julkaistava verkkosivustollaan tietosuojaselosteet, joilla tiedotetaan kaikille rekisteröidyille sen toimista, joihin liittyy henkilötietojen käsittelyä, ja annettava myös tiedot rekisteröityjen oikeuksien mahdollisesta rajoittamisesta.
2. ESMAn on erikseen ilmoitettava kaikille tutkimuksen tai tutkinnan kohteena oleville rekisteröidyille kyseessä olevien erityisten käsittelytoimien tietosuojaselosteesta ilman aiheetonta viivytystä ja kirjallisesti.
3. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä määrätyin ehdoin ESMA voi rajoittaa kokonaan tai osittain tietojen antamista 2 kohdassa tarkoitetuille rekisteröidyille. Tässä tapauksessa sen on dokumentoitava sisäiseen muistioon rajoituksen perusteet, oikeusperusta tämän päätöksen 3 artiklan mukaisesti, sekä rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi.
4. Edellä 3 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.
Kun rajoituksen perusteet eivät enää ole voimassa, ESMAn on ilmoitettava kyseessä olevalle rekisteröidylle asiaankuuluvasta tietosuojaselosteesta ja rajoituksen pääasiallisista syistä. Tähän ilmoitukseen voidaan liittää pyyntö esittää huomautuksia käynnissä olevan tutkimuksen tai tutkinnan havainnoista osana kyseessä olevan rekisteröidyn puolustusoikeuksien käyttämistä. ESMAn on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
ESMAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai tutkinnan päättämisen yhteydessä.
6 artikla
Rekisteröidyn oikeus saada pääsy tietoihin
1. Rekisteröidyn pyynnön jälkeen ESMA voi rajoittaa kokonaan tai osittain kyseisen rekisteröidyn oikeutta saada vahvistus siitä, käsitteleekö ESMA häntä koskevia henkilötietoja tämän päätöksen 1 artiklassa tarkoitetun tutkimuksen tai tutkinnan yhteydessä, ja jos käsittelee, näihin tietoihin ja muihin asetuksen (EU) 2018/1725 17 artiklassa tarkoitettuihin tietoihin pääsyä koskevaa oikeutta.
2. Jos ESMA rajoittaa oikeutta päästä tietoihin, sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovellettavasta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
3. Edellä 2 kohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla asetetun rajoituksen vaikutuksen. Jos on kyse tästä, ESMAn on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto.
4. ESMAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai menettelyn päättämisen yhteydessä.
7 artikla
Oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen ja oikeus käsittelyn rajoittamiseen
1. Rekisteröidyn pyynnön jälkeen ESMA voi tämän päätöksen 1 artiklassa tarkoitetun tutkimuksen tai tutkinnan yhteydessä rajoittaa kokonaan tai osittain kyseisen rekisteröidyn oikeutta saada häneen liittyvät henkilötiedot oikaistuiksi tai oikeutta poistaa henkilötiedot tai rajoittaa niiden käsittelyä asetuksen (EU) 2018/1725 18, 19 ja 20 artiklan mukaisesti.
2. Jos ESMA rajoittaa edellä mainitun käsittelyn oikaisua, poistamista tai rajoittamista koskevan oikeuden soveltamista, sen on toteutettava tämän päätöksen 6 artiklan 2 ja 3 kohdassa esitetyt toimenpiteet.
3. ESMAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai menettelyn päättämisen yhteydessä.
8 artikla
Henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidylle
1. ESMAn on ilmoitettava henkilötietojen tietoturvaloukkauksesta kyseessä olevalle rekisteröidylle ilman aiheetonta viivytystä, kun tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisen henkilön oikeuksille ja vapauksille asetuksen (EU) 2018/1725 35 artiklan mukaisesti.
2. Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä määrätyin ehdoin ESMA voi rajoittaa kokonaan tai osittain tietojen antamista tämän artiklan 1 kohdassa tarkoitetuille rekisteröidyille. Tässä tapauksessa sen on dokumentoitava sisäiseen muistioon rajoituksen perusteet, oikeusperusta tämän päätöksen 3 artiklan mukaisesti, sekä rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi.
3. Edellä 2 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.
Kun rajoituksen perusteet eivät enää ole voimassa, ESMAn on ilmoitettava kyseessä olevalle rekisteröidylle henkilötietojen tietoturvaloukkauksesta ja rajoituksen pääasiallisista syistä. ESMAn on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
ESMAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai tutkinnan päättämisen yhteydessä.
9 artikla
Voimaantulo
Tämä päätös tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Helsingissä 1 päivänä lokakuuta 2019.
Hallintoneuvoston puolesta
Steven MAIJOOR
Puheenjohtaja
(1) EUVL L 295, 21.11.2018, s. 39.
(2) EUVL L 331, 15.12.2010, s. 84.
(3) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).
(4) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).