25.11.2019   

HR

Službeni list Europske unije

L 303/31


ODLUKA UPRAVNOG ODBORA EUROPSKOG NADZORNOG TIJELA ZA VRIJEDNOSNE PAPIRE I TRŽIŠTA KAPITALA

od 1. listopada 2019.

o donošenju internih pravila koja se odnose na ograničenja određenih prava ispitanika u vezi s obradom osobnih podataka u okviru djelovanja ESMA-e

UPRAVNI ODBOR,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (1), a posebno njezin članak 25.,

uzimajući u obzir Uredbu (EU) br. 1095/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za vrijednosne papire i tržišta kapitala), izmjeni Odluke br. 716/2009/EZ i stavljanju izvan snage Odluke Komisije 2009/77/EZ (2), koja se može dalje izmijeniti, staviti izvan snage ili zamijeniti, a posebno članak 71.,

uzimajući u obzir mišljenje odbora Europskog nadzornika za zaštitu podataka (EDPS) od 20. lipnja 2019. i Smjernice Europskog nadzornika za zaštitu podataka o članku 25. nove Uredbe i internim pravilima,

nakon savjetovanja s Odborom osoblja,

budući da:

(1)

ESMA provodi aktivnosti u skladu s Uredbom (EU) br. 1095/2010 („Uredba o ESMA-i” ili „ESMA”) koja se može dalje izmijeniti, staviti izvan snage ili zamijeniti.

(2)

ESMA obrađuje nekoliko kategorija osobnih podataka, uključujući „objektivne” podatke (podatke kao što su identifikacijski podatci, podatci za kontakt, profesionalni podatci, administrativne pojedinosti, podatci primljeni iz posebnih izvora, elektronička komunikacija i podatci o prometu) i/ili „subjektivne” podatke (koji se odnose na predmet, kao što su obrazloženje, podatci o ponašanju i podatci koji se odnose na predmet postupka ili aktivnost ili se u vezi s njima iznose).

(3)

ESMA, koju zastupa njezin izvršni direktor, djeluje kao voditelj obrade bez obzira na daljnje delegiranje uloge voditelja obrade u okviru ESMA-e kako bi se uzele u obzir operativne odgovornosti za određene postupke obrade osobnih podataka.

(4)

Osobni se podatci sigurno pohranjuju u elektroničkom okruženju ili na papiru, čime se sprječava nezakonit pristup ili njihov prijenos osobama koje ne trebaju biti upućene u te podatke. Obrađeni osobni podatci ne zadržavaju se dulje nego što je potrebno i primjereno za svrhe u koje se podatci obrađuju tijekom razdoblja navedenog u evidenciji o zaštiti podataka i izjavama ESMA-e o privatnosti.

(5)

U svrhu ostvarenja svojih ciljeva ESMA je u najvećoj mogućoj mjeri dužna poštovati temeljna prava ispitanika, posebno ona koja se odnose na pravo na pružanje informacija, pristup i ispravak, pravo na brisanje, ograničenje obrade, pravo na obavješćivanje ispitanika o povredi osobnih podataka ili povjerljivost komunikacije, kako je utvrđeno Uredbom (EU) 2018/1725.

(6)

Međutim, ESMA može biti obvezna ograničiti informacije ispitanicima ili druga prava ispitanika, posebice radi zaštite povjerljivosti i učinkovitosti vlastitih istraga, istraga i postupaka drugih javnih tijela, kao i prava drugih osoba povezanih s njezinim istragama ili drugim postupcima.

(7)

ESMA može u okviru svojeg administrativnog rada provoditi niz istraga, kao što su upravne istrage, disciplinski postupci, preliminarne aktivnosti povezane s financijskim prijevarama, istrage koje se odnose na slučajeve zviždanja ili uznemiravanja, unutarnje revizije, zaštitu podataka ili etičke istrage, istrage u području informacijskih i komunikacijskih tehnologija, istrage informacijske sigurnosti i aktivnosti koje se provode u kontekstu upravljanja sigurnosnim rizicima i incidentima. Osim toga, pri izvršavanju svojih ciljeva ESMA provodi istrage povezane sa svojim funkcijama izravnog nadzora ili provedbe propisa te može provoditi istrage potencijalnih povreda prava Unije i istraživanja o određenoj vrsti financijskih aktivnosti ili vrsti proizvoda ili ponašanja kako bi se procijenile moguće prijetnje integritetu financijskih tržišta ili stabilnosti financijskog sustava.

(8)

Interna pravila trebala bi se primjenjivati na sve postupke obrade koje ESMA obavlja pri provedbi navedenih istraga. Trebala bi se primjenjivati i na postupke obrade koji se provode prije pokretanja prethodno navedenih istraga, tijekom tih istraga i tijekom praćenja rezultata tih istraga. To bi trebalo obuhvaćati i pomoć, koordinaciju i/ili suradnju koju od ESMA-e zatraže nacionalna tijela i međunarodne organizacije u kontekstu vlastitih administrativnih istraga.

(9)

Prije primjene ograničenja predviđenih tim internim pravilima, ESMA bi trebala razmotriti primjenjuje li se bilo koje izuzeće iz Uredbe (EU) 2018/1725.U slučajevima u kojima se primjenjuju ograničenja iz internih pravila ESMA mora objasniti zašto su ograničenja strogo potrebna i razmjerna u demokratskom društvu te da se njima poštuje bit temeljnih prava i sloboda.

(10)

ESMA bi trebala pratiti jesu li uvjeti kojima se opravdava ograničenje još uvijek primjenjivi i ukinuti ograničenje ako oni više nisu primjenjivi.

(11)

Voditelj obrade trebao bi obavijestiti službenika za zaštitu podataka o ograničavanju primjene određenih prava ispitanika u skladu s ovom Odlukom, o proširenju takvog ograničenja i o ukidanju ograničenja,

DONIO JE OVU ODLUKU:

Članak 1.

Predmet i područje primjene

1.   Ovom se Odlukom utvrđuju interna pravila koja se odnose na uvjete pod kojima ESMA može, u okviru svojih aktivnosti utvrđenih u stavcima od 2. do 5., ograničiti primjenu prava iz članaka od 14. do 21. i članka 35. kao i članka 4. Uredbe (EU) 2018/1725, u skladu s njezinim člankom 25. Tim se ograničenjima ne dovode u pitanje izuzeća od prava ispitanika predviđena Uredbom (EU) 2018/1725.

2.   U okviru administrativnih aktivnosti ESMA-e, ograničenja predviđena u točki 1. ovog članka primjenjuju se na obradu osobnih podataka koju provodi ESMA u svrhu:

(a)

upravnih istraga i disciplinskih postupaka;

(b)

obrade nepravilnosti u suradnji s Europskim uredom za borbu protiv prijevara (OLAF);

(c)

obrade slučajeva zviždanja, (formalnih i neformalnih) postupaka povodom uznemiravanja, kao i unutarnjih i vanjskih pritužbi;

(d)

unutarnjih revizija, zaštite podataka ili etičkih istraga;

(e)

istraga u području informacijskih i komunikacijskih tehnologija, istraga informacijske sigurnosti i aktivnosti provedenih u kontekstu upravljanja sigurnosnim rizicima i incidentima, koje se provode interno ili uz sudjelovanje vanjskog tijela.

3.   U okviru izvršavanja zadaća ESMA-e ograničenja predviđena u točki 1. ovog članka primjenjuju se na obradu osobnih podataka koju provodi ESMA u svrhu:

(a)

istraga povezanih s ESMA-inim funkcijama izravnog nadzora i provedbe propisa;

(b)

istraga mogućih povreda prava Unije u skladu s člankom 17. Uredbe o ESMA-i; i

(c)

istraga o posebnoj vrsti financijske aktivnosti ili vrsti proizvoda ili vrsti postupanja s ciljem procjene mogućih prijetnji integritetu financijskih tržišta ili stabilnosti financijskog sustava u skladu s člankom 22. Uredbe o ESMA-i.

4.   Osim toga, ta se ograničenja primjenjuju na pomoć, koordinaciju i/ili suradnju koju ESMA pruža nacionalnim tijelima za vrijednosne papire i tržišta kapitala, uključujući tijela trećih zemalja i međunarodne organizacije u kontekstu istraga koje se provode radi izvršavanja njihovih zakonskih zadaća.

5.   Ograničenja iz stavka 1. ovog članka primjenjuju se i na postupke obrade koji se provode prije pokretanja prethodno navedenih istraga ili drugih administrativnih istraga navedenih u prethodnim stavcima od 2. do 4., tijekom tih istraga i tijekom praćenja rezultata tih istraga.

6.   Ova se Odluka primjenjuje na svaku kategoriju osobnih podataka koji se obrađuju u kontekstu aktivnosti navedenih u prethodnim stavcima od 2. do 5.

7.   U skladu s uvjetima navedenima u ovoj Odluci, ograničenja se mogu primjenjivati na sljedeća prava: pružanje informacija ispitanicima, pravo na pristup, ispravak, brisanje, ograničenje obrade i obavješćivanje ispitanika o povredi osobnih podataka.

Članak 2.

Voditelj obrade koji je zadužen za istrage i primjenjive zaštitne mjere

1.   Radi izbjegavanja povreda osobnih podataka, odavanja ili neovlaštenog objavljivanja u kontekstu istraga iz članka 1. uspostavljene su sljedeće zaštitne mjere:

(a)

papirnati dokumenti čuvaju se u zaštićenim ormarima i dostupni su samo ovlaštenom osoblju;

(b)

svim elektroničkim podatcima upravlja se s pomoću ESMA-inih odobrenih uređaja, informacijskih sustava, aplikacija i sredstava za pohranu podataka. ESMA-ine aplikacije sustava upravljanja dokumentima upotrebljavaju se za organiziranje, pronalaženje, razmjenu, održavanje i zaštitu ESMA-inih elektroničkih podataka. Ovlaštenom osoblju ESMA-e odobrava se pristup elektroničkim podatcima samo na temelju načela nužnog poznavanja;

(c)

sve osobe koje imaju pristup podatcima obvezuju se na povjerljivost.

2.   Voditelj postupaka obrade je ESMA, koju zastupa njezin izvršni direktor, koji može delegirati funkciju voditelja obrade. Ispitanici će biti obaviješteni o osobi kojoj je delegirana uloga voditelja obrade putem obavijesti o zaštiti podataka koje se objavljuju na mrežnom mjestu ESMA-e.

3.   Razdoblje zadržavanja obrađenih osobnih podataka ne traje dulje nego što je potrebno i primjereno s obzirom na svrhe u koje se podatci obrađuju. Razdoblje zadržavanja određuje se u evidencijama o zaštiti podataka i izjavama o privatnosti iz članka 5. stavka 1.

4.   Ako ESMA razmatra primjenu ograničenja, ocjenjuje se rizik za prava i slobode ispitanika, posebno u odnosu na rizik za prava i slobode drugih ispitanika i rizik ukidanja učinka istraga ili postupaka ESMA-e, primjerice uništavanjem dokaza. Rizici za prava i slobode ispitanika prvenstveno se odnose, ali nisu ograničeni, na reputacijske rizike i rizike za pravo na obranu i pravo na saslušanje.

Članak 3.

Ograničenja

1.   ESMA primjenjuje sva ograničenja samo kako bi osigurala:

(a)

sprječavanje, istragu, otkrivanje i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprječavanje;

(b)

druge važne ciljeve od općeg javnog interesa Unije ili države članice, posebice ciljeve zajedničke vanjske i sigurnosne politike Unije ili važan gospodarski ili financijski interes Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravlje i socijalnu sigurnost;

(c)

unutarnju sigurnost institucija i tijela Unije, uključujući njihove elektroničke komunikacijske mreže;

(d)

sprječavanje, istragu, otkrivanje i progon kršenja etike za regulirane struke;

(e)

funkciju praćenja, inspekcije ili regulatornu funkciju koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (c);

(f)

zaštitu ispitanika ili prava i sloboda drugih.

2.   Kao posebna primjena svrha opisanih u stavku 1. ESMA može primjenjivati ograničenja u vezi s osobnim podatcima koji se razmjenjuju sa službama Komisije ili drugim institucijama, tijelima, agencijama i uredima Unije, nadležnim tijelima država članica ili trećih zemalja ili međunarodnim organizacijama, u sljedećim okolnostima:

(a)

ako bi službe Komisije ili druge institucije, tijela, agencije i uredi Unije mogle ograničiti ostvarivanje tih prava i obveza na temelju drugih akata predviđenih člankom 25. Uredbe (EU) 2018/1725 ili u skladu s poglavljem IX. te Uredbe ili s aktima o osnivanju drugih institucija, tijela, agencija i ureda Unije;

(b)

ako bi nadležna tijela država članica mogla ograničiti ostvarivanje tih prava i obveza na temelju akata navedenih u članku 23. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (3) ili na temelju nacionalnih mjera kojima se prenose članak 13. stavak 3., članak 15. stavak 3. ili stavak 16 stavak 3. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća (4);

(c)

ako bi ostvarivanje tih prava i obveza moglo ugroziti suradnju ESMA-e s trećim zemljama ili međunarodnim organizacijama pri obavljanju njezinih zadaća ili zadaća trećih zemalja ili međunarodnih organizacija.

Prije primjene ograničenja u okolnostima iz točaka (a) i (b) prvog podstavka, ESMA se savjetuje s odgovarajućim službama Komisije, institucijama, tijelima, agencijama, uredima Unije ili nadležnim tijelima država članica, osim ako je ESMA-i jasno da je primjena ograničenja predviđena jednim od akata navedenima u tim točkama.

3.   Svako ograničenje mora biti nužno i razmjerno uzimajući u obzir rizike za prava i slobode ispitanika te mora poštovati bit temeljnih prava i sloboda u demokratskom društvu.

4.   Ako se razmatra primjena ograničenja, provodi se ispitivanje nužnosti i razmjernosti na temelju ovih pravila. Ono se dokumentira u internoj bilješci o procjeni za potrebe utvrđivanja odgovornosti za svaki pojedinačni slučaj.

5.   Ograničenja se ukidaju čim prestanu postojati okolnosti koje ih opravdavaju. Konkretno, kada se smatra da se ostvarivanjem ograničenog prava više ne bi poništio učinak nametnutog ograničenja ili negativno utjecalo na prava ili slobode drugih ispitanika.

Članak 4.

Preispitivanje koje provodi službenik za zaštitu podataka

1.   Voditelj obrade bez nepotrebnog odgađanja obavještava službenika za zaštitu podataka svaki put kada voditelj obrade ograniči primjenu prava ispitanika ili proširi ograničenje u skladu s ovom Odlukom. Voditelj obrade službeniku za zaštitu podataka omogućava pristup internoj bilješki koja sadržava procjenu nužnosti i razmjernosti ograničenja te, prema potrebi, temeljne činjenice i pravne elemente te bilježi datum obavještavanja službenika za zaštitu podataka.

2.   Službenik za zaštitu podataka može pisanim putem od voditelja obrade zatražiti preispitivanje primjene ograničenja. Voditelj obrade pisanim putem obavještava službenika za zaštitu podataka o ishodu traženog preispitivanja.

3.   Voditelj obrade obavještava službenika za zaštitu podataka kada se ograničenje ukine.

4.   Voditelj obrade dokumentira sudjelovanje službenika za zaštitu podataka u različitim fazama postupka, počevši od datuma obavještavanja službenika za zaštitu podataka.

5.   Interna bilješka i, prema potrebi, temeljni činjenični i pravni elementi stavljaju se na raspolaganje Europskom nadzorniku za zaštitu podataka na njegov zahtjev.

Članak 5.

Pružanje informacija ispitaniku

1.   ESMA na svojem mrežnom mjestu objavljuje evidencije o zaštiti podataka kojima sve ispitanike obavještava o svojim aktivnostima koje obuhvaćaju obradu osobnih podataka, uključujući informacije o mogućem ograničenju prava ispitanika.

2.   ESMA bez nepotrebnog odgađanja pismeno obavještava pojedinačno svakog ispitanika kojeg smatra osobom na koju se odnosi određena istraga ili ispitivanje o evidenciji zaštite podataka predmetnog postupka obrade.

3.   U opravdanim slučajevima i prema uvjetima navedenima u ovoj odluci, ESMA može u potpunosti ili djelomično ograničiti pružanje informacija ispitanicima iz stavka 2.U navedenom slučaju u internoj bilješci navodi razloge za ograničenje, pravnu osnovu u skladu s člankom 3. ove Odluke, uključujući procjenu nužnosti i razmjernosti ograničenja.

4.   Ograničenje iz stavka 3. primjenjuje se sve dok postoje razlozi koji ga opravdavaju.

Ako više ne postoje razlozi za ograničenje, ESMA predmetnog ispitanika obavještava o evidenciji zaštite osobnih podataka u pitanju i temeljnim razlozima ograničenja. Ta se obavijest može kombinirati s pozivom na dostavu očitovanja o nalazima istrage ili ispitivanja u tijeku u sklopu ostvarivanja prava na obranu predmetnog ispitanika. ESMA istodobno obavještava predmetnog ispitanika o pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka u bilo kojem trenutku ili traženje pravnog lijeka pred Sudom Europske unije.

ESMA preispituje primjenu ograničenja svakih šest mjeseci od njegova donošenja i pri zatvaranju relevantnog ispitivanja ili istrage.

Članak 6.

Pravo ispitanika na pristup

1.   Odgovarajući na zahtjev ispitanika ESMA može u cijelosti ili djelomično ograničiti pravo tog ispitanika da dobije potvrdu o tome obrađuje li ESMA osobne podatke koji se odnose na njega ili nju u sklopu istrage ili ispitivanja iz članka 1. ove Odluke i, ako je to slučaj, pravo na pristup tim podatcima i drugim informacijama iz članka 17. Uredbe (EU) 2018/1725.

2.   Ako ESMA ograniči pravo na pristup, u svojem odgovoru na zahtjev obavještava predmetnog ispitanika o primijenjenom ograničenju te o glavnim razlozima za ograničenje, kao i o mogućnosti podnošenja pritužbe Europskom nadzorniku za zaštitu podataka ili traženja pravnog lijeka pred Sudom Europske unije.

3.   Pružanje informacija iz stavka 2. može se odgoditi, izostaviti ili odbiti ako bi se time poništio učinak ograničenja u skladu s člankom 25. stavkom 8. Uredbe (EU) 2018/1725.Ako je to slučaj, ESMA u internoj bilješci o procjeni dokumentira razloge za ograničenje, uključujući procjenu nužnosti i razmjernosti ograničenja i njegovo trajanje.

4.   ESMA preispituje primjenu ograničenja svakih šest mjeseci od njegova donošenja i pri zatvaranju relevantnog ispitivanja ili istrage.

Članak 7.

Pravo na ispravak, brisanje i ograničenje obrade

1.   Odgovarajući na zahtjev ispitanika ESMA može, u kontekstu istrage ili ispitivanja iz članka 1. ove Odluke, u cijelosti ili djelomično ograničiti pravo tog ispitanika na ispravak osobnih podataka koji se na njega odnose te pravo na brisanje ili ograničenje obrade njegovih osobnih podataka, koja su predviđena člancima 18., 19. i 20. Uredbe (EU) 2018/1725.

2.   Ako ESMA ograniči primjenu prethodno navedenog prava na ispravak, brisanje ili ograničenje obrade, poduzima korake utvrđene u članku 6. stavku 2. i članku 6. stavku 3. ove Odluke.

3.   ESMA preispituje primjenu ograničenja svakih šest mjeseci od njegova donošenja i pri zatvaranju relevantnog ispitivanja ili istrage.

Članak 8.

Obavješćivanje ispitanika o povredi osobnih podataka

1.   ESMA bez nepotrebnog odgađanja obavještava ispitanika o povredi osobnih podataka kada je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, kako je predviđeno člankom 35. Uredbe (EU) 2018/1725.

2.   U opravdanim slučajevima i pod uvjetima navedenima u ovoj Odluci, ESMA može ispitanicima u cijelosti ili djelomično ograničiti pružanje informacija iz stavka 1. ovog članka. U navedenom slučaju u internoj bilješci navodi razloge za ograničenje, pravnu osnovu u skladu s člankom 3. ove Odluke, uključujući procjenu nužnosti i razmjernosti ograničenja.

3.   Ograničenje iz stavka 2. primjenjuje se sve dok postoje razlozi koji ga opravdavaju.

Ako više ne postoje razlozi za ograničenje, ESMA predmetnog ispitanika obavještava o povredi osobnih podataka i o glavnim razlozima ograničenja. ESMA istodobno obavještava predmetnog ispitanika o pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka u bilo kojem trenutku ili traženje pravnog lijeka pred Sudom Europske unije.

ESMA preispituje primjenu ograničenja svakih šest mjeseci od njegova donošenja i pri zatvaranju relevantnog ispitivanja ili istrage.

Članak 9.

Stupanje na snagu

Ova Odluka stupa na snagu dan nakon dana objave u Službenom listu Europske unije.

Sastavljeno u Helsinkiju 1. listopada 2019.

Za Upravni odbor

Steven MAIJOOR

Predsjednik


(1)  SL L 295, 21.11.2018., str. 39.

(2)  SL L 331, 15.12.2010., str. 84.

(3)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(4)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podatakate o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).