This document is an excerpt from the EUR-Lex website
Document 32019Q1125(01)
Decision of the Management Board of the European Securities and Markets Authority of 1 October 2019 adopting internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of the functioning of ESMA
Az Európai Értékpapírpiaci Hatóság igazgatótanácsának határozata (2019. október 1.) az érintettek bizonyos, a személyes adatoknak az ESMA működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályok elfogadásáról
Az Európai Értékpapírpiaci Hatóság igazgatótanácsának határozata (2019. október 1.) az érintettek bizonyos, a személyes adatoknak az ESMA működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályok elfogadásáról
HL L 303., 2019.11.25, p. 31–36
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
25.11.2019 |
HU |
Az Európai Unió Hivatalos Lapja |
L 303/31 |
AZ EURÓPAI ÉRTÉKPAPÍRPIACI HATÓSÁG IGAZGATÓTANÁCSÁNAK HATÁROZATA
(2019. október 1.)
az érintettek bizonyos, a személyes adatoknak az ESMA működésének keretében való kezelésével kapcsolatos jogainak korlátozására vonatkozó belső szabályok elfogadásáról
Az igazgatótanács
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendeletre (1) és különösen annak 25. cikkére,
tekintettel az európai felügyeleti hatóság (Európai Értékpapírpiaci Hatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/77/EK bizottsági határozat hatályon kívül helyezéséről szóló, 2010. november 24-i 1095/2010/EU európai parlamenti és tanácsi rendeletre (2) és annak esetleges további módosítására, hatályon kívül helyezésére vagy felváltására és különösen annak 71. cikkére,
tekintettel az európai adatvédelmi biztos 2019. június 20-i véleményére és az európai adatvédelmi biztosnak az új rendelet 25. cikkéről és a belső szabályokról szóló iránymutatására,
a személyzeti bizottsággal folytatott konzultációt követően,
mivel:
|
(1) |
Az ESMA az 1095/2010/EU rendelettel (a továbbiakban: ESMA rendelet és ESMA) összhangban – és annak esetleges további módosítására, hatályon kívül helyezésére vagy felváltására figyelemmel – végzi a tevékenységét. |
|
(2) |
Az ESMA személyes adatok számos kategóriáját kezeli, köztük „objektív” adatokat (mint például a személyazonosító adatok, az elérhetőségi adatok, a szakmai adatok, a részletes igazgatási adatok, a meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és a forgalmi adatok) és/vagy „szubjektív” adatokat (amelyek az üggyel kapcsolatosak, mint például az indokolás, a viselkedési adatok és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok). |
|
(3) |
Az ESMA, amelyet ügyvezető igazgatója képvisel, adatkezelőként jár el függetlenül attól, hogy az adatkezelői feladatkört áthárítja-e az ESMA-n belül annak érdekében, hogy az egyes konkrét személyesadat-kezelési műveletek vonatkozásában ellássa az operatív feladatokat. |
|
(4) |
A személyes adatokat biztonságosan, elektronikus környezetben vagy nyomtatott formában tárolják, ami megakadályozza a jogosulatlan hozzáférést és azt, hogy az adatokat olyan személyeknek továbbítsák, akiknek nem kell azokat ismerniük. A kezelt személyes adatokat legfeljebb az adatkezelés céljából szükséges és helyénvaló – az ESMA adatvédelmi tájékoztatójában vagy adatvédelmi nyilatkozataiban meghatározott – ideig őrzik meg. |
|
(5) |
Az ESMA a megbízatása ellátása keretében köteles a lehető legnagyobb mértékben tiszteletben tartani az érintettek alapvető jogait, különösen a tájékoztatáshoz, hozzáféréshez és helyesbítéshez, törléshez való joggal, az adatkezelés korlátozásához való joggal, az érintett adatvédelmi incidensről való tájékoztatásának jogával, illetve a tájékoztatás bizalmas kezelésével kapcsolatos, az (EU) 2018/1725 rendeletben foglalt jogokat. |
|
(6) |
Az ESMA ugyanakkor kötelezhető arra, hogy különösen a saját vizsgálatai, valamint más hatóságok vizsgálatai és eljárásai bizalmas jellegének és hatékonyságának védelme, valamint a vizsgálataival vagy más eljárásaival összefüggésben más személyek jogainak védelme érdekében korlátozza az érintettek tájékoztatását és az érintettek más jogait. |
|
(7) |
Az ESMA az adminisztratív működése keretében számos vizsgálatot végezhet, mint például az igazgatási vizsgálatok, a fegyelmi eljárás, a pénzügyi csalással kapcsolatos előzetes tevékenységek, a visszaélés bejelentésével vagy zaklatási ügyekkel kapcsolatos vizsgálatok, a belső ellenőrzések, az adatvédelmi vagy etikai vizsgálatok, az IKT-vizsgálatok, a biztonsági kockázatokkal összefüggésben végzett információbiztonsági vizsgálatok és tevékenységek, valamint a biztonsági események kezelése. Ezen felül az ESMA a megbízatása teljesítése céljából a közvetlen felügyeleti és végrehajtási feladatkörével kapcsolatos vizsgálatokat végez, valamint vizsgálatokat végezhet az uniós jog esetleges megsértésével kapcsolatban, továbbá vizsgálatokat végezhet egy bizonyos típusú pénzügyi tevékenységre, terméktípusra vagy magatartástípusra vonatkozóan annak érdekében, hogy értékelje a pénzügyi piacok integritására vagy a pénzügyi rendszer stabilitására jelentett potenciális veszélyeket. |
|
(8) |
A belső szabályok valamennyi olyan adatkezelési műveletre alkalmazandók, amelyet az ESMA a fenti vizsgálatok teljesítése keretében végez. Ezeket a belső szabályokat a fent említett vizsgálatok megindítása előtt, ezen vizsgálatok ideje alatt és a vizsgálatok kimenetelének nyomon követése során végzett adatkezelési műveletekre egyaránt alkalmazni kell. A belső szabályok alkalmazásának ki kell terjednie a nemzeti hatóságok és a nemzetközi szervezetek által a saját igazgatási vizsgálataikkal összefüggésben az ESMA részéről kért támogatásra, koordinációra és/vagy együttműködésre is. |
|
(9) |
Az ezekben a belső szabályokban előirányzott korlátozások alkalmazását megelőzően az ESMA-nak meg kell vizsgálnia, hogy az (EU) 2018/1725 rendeletben foglalt bármely mentesség alkalmazandó-e. Azokban az esetekben, amelyekben a hivatkozott belső szabályok szerinti korlátozások alkalmazandók, az ESMA-nak meg kell indokolnia, hogy a korlátozások miért feltétlenül szükségesek és arányosak egy demokratikus társadalomban, és mennyiben tartják tiszteletben az alapvető jogok és szabadságok lényeges tartalmát. |
|
(10) |
Az ESMA-nak ellenőriznie kell, hogy a korlátozást indokló feltételek továbbra is fennállnak-e, és fel kell oldania a korlátozást, amennyiben a feltételek már nem alkalmazandók. |
|
(11) |
Az adatkezelőnek tájékoztatást kell adnia az adatvédelmi tisztviselő részére minden olyan esetben, ha e határozat alapján korlátozza az érintettek bizonyos jogainak alkalmazását, ha kiterjeszt egy ilyen korlátozást, illetve amikor a korlátozást feloldja, |
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
Tárgy és hatály
(1) Ez a határozat azokra a feltételekre vonatkozó belső szabályokat állapítja meg, amelyekkel az ESMA a (2)–(5) bekezdésben meghatározott tevékenységek keretei között az (EU) 2018/1725 rendelet 25. cikkével összhangban korlátozhatja az említett rendelet 14–21. és 35. cikkében, foglalt jogok, valamint a 4. cikk alkalmazását. E korlátozások nem érintik az érintettek jogait érintő, az (EU) 2018/1725 rendeletben előírt mentességeket.
(2) Az ESMA adminisztratív működésének keretei között az e cikk (1) bekezdésében előirányzott korlátozások alkalmazandók a személyes adatok ESMA általi, alábbi célból történő kezelésére:
|
a) |
az igazgatási vizsgálatok és fegyelmi eljárások lefolytatása; |
|
b) |
a szabálytalanságok feldolgozása az Európai Csalás Elleni Hivatallal (OLAF) együttműködve; |
|
c) |
a visszaélések bejelentésével kapcsolatos ügyek elbírálása, a zaklatásokkal kapcsolatos (hivatalos és nem hivatalos) eljárások lefolytatása, valamint a belső és külső panaszok elbírálása; |
|
d) |
a belső ellenőrzések, az adatvédelmi vagy etikai vizsgálatok lefolytatása; |
|
e) |
a biztonsági kockázatok és események kezelésével összefüggésben végzett IKT-vizsgálatok, információbiztonsági vizsgálatok és tevékenységek belső vagy külső fél részvételével történő lefolytatása. |
(3) Az ESMA megbízatása teljesítésének keretei között az e cikk (1) bekezdésében előirányzott korlátozások alkalmazandók a személyes adatok ESMA általi, alábbi célból történő kezelésére:
|
a) |
az ESMA közvetlen felügyeleti és végrehajtási feladatkörével kapcsolatos vizsgálatok lefolytatása; |
|
b) |
az uniós jognak az ESMA rendelet 17. cikke szerinti megsértésének kivizsgálása; és |
|
c) |
egy bizonyos típusú pénzügyi tevékenységre, terméktípusra vagy magatartástípusra vonatkozó vizsgálatok végzése a pénzügyi piacok integritására vagy a pénzügyi rendszer stabilitására jelentett potenciális veszélyeknek az ESMA rendelet 22. cikke szerinti értékelése érdekében. |
(4) E korlátozások alkalmazandók továbbá az ESMA által a nemzeti értékpapírpiaci hatóságoknak, a harmadik országok hatóságait is beleértve, és a nemzetközi szervezeteknek a törvényes feladataik ellátása körében végzett vizsgálataikkal összefüggésben nyújtott támogatásra, koordinációra és/vagy együttműködésre.
(5) Az e cikk (1) bekezdésében hivatkozott korlátozásokat a fenti (2)–(4) bekezdésben említett vizsgálatok vagy egyéb igazgatási vizsgálatok megindítása előtt, ezen vizsgálatok ideje alatt és a vizsgálatok kimenetelének nyomon követése során végzett adatkezelési műveletekre egyaránt alkalmazni kell.
(6) E határozat a fenti (2)–(5) bekezdésben foglalt tevékenységekkel összefüggésben kezelt személyes adatok valamennyi kategóriájára vonatkozik.
(7) Az e határozatban meghatározott feltételek mellett a korlátozások a következő jogokra vonatkozhatnak: információszolgáltatás az érintettek részére, hozzáférési, helyesbítési, törlési jog, az adatkezelés korlátozásához való jog, valamint az érintett tájékoztatása az adatvédelmi incidensről.
2. cikk
A vizsgálatokért felelős adatkezelő és az alkalmazandó biztosítékok
(1) Az 1. cikkben említett vizsgálatokat érintő adatvédelmi incidensek, adatvesztések vagy az adatok jogosulatlan közzétételének elkerülését szolgáló biztosítékok a következők:
|
a) |
A nyomtatott dokumentumokat biztosított szekrényekben kell tárolni, és azokhoz kizárólag az erre felhatalmazott személyzet férhet hozzá; |
|
b) |
Minden elektronikus adatot az ESMA által jóváhagyott eszközzel, információs rendszerrel, alkalmazással, illetve adattárolási erőforrással kell kezelni. Az ESMA elektronikus adatainak rendszerezésére, felkutatására, megosztására, megőrzésére és védelmére az ESMA dokumentumkezelő rendszeralkalmazásait kell használni. Az elektronikus adatokhoz az ESMA arra jogosult munkatársai csak a szükséges ismeret elve alapján férhetnek hozzá. |
|
c) |
Valamennyi személyt, aki hozzáféréssel rendelkezik az adatokhoz, titoktartási kötelezettség terhel. |
(2) Az adatkezelési műveletek adatkezelője az ESMA, amelyet ügyvezető igazgatója képvisel, aki az adatkezelői feladatkört átruházhatja. Az érintetteket az ESMA honlapján közzétett adatvédelmi tájékoztató útján tájékoztatni kell a meghatalmazott adatkezelő személyéről.
(3) A kezelt személyes adatok megőrzési ideje nem lehet hosszabb, mint amennyi az adatkezelés céljához mérten szükséges és megfelelő. A megőrzési időtartamot az 5. cikk (1) bekezdésében említett adatvédelmi tájékoztatóban és az adatvédelmi nyilatkozatokban meg kell jelölni.
(4) Amikor az ESMA korlátozás alkalmazását mérlegeli, számba kell vennie az érintett jogaira és szabadságaira nézve fennálló kockázatot, illetve ezzel szemben különösen a többi érintett jogaira és szabadságaira nézve fennálló kockázatot, valamint azt a kockázatot, hogy például a bizonyítékok megsemmisítésével az ESMA vizsgálatai vagy eljárásai hatástalanná válnak. Az érintett jogaira és szabadságára nézve fennálló kockázatok elsősorban, de nem kizárólag a jó hírnévvel kapcsolatos kockázatokat, valamint a védekezéshez és a meghallgatáshoz való joggal kapcsolatos kockázatokat érintik.
3.cikk
Korlátozások
(1) Az ESMA korlátozást kizárólag a következők védelme érdekében alkalmazhat:
|
a) |
bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; |
|
b) |
az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió közös kül- és biztonságpolitikai célkitűzései vagy az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot; |
|
c) |
az uniós intézmények és szervek belső biztonsága, beleértve az elektronikus hírközlési hálózatokat is; |
|
d) |
a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása; |
|
e) |
az a) és b) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység; |
|
f) |
az érintett védelme vagy mások jogainak és szabadságainak védelme. |
(2) A fenti (1) bekezdésben ismertetett célok egyedi alkalmazásaként az ESMA az alábbi körülmények fennállása esetén alkalmazhat korlátozásokat a bizottsági szolgálatokkal vagy más uniós intézményekkel, szervekkel, ügynökségekkel és hivatalokkal, a tagállamok vagy harmadik országok illetékes hatóságaival vagy nemzetközi szervezetekkel kicserélt személyes adatok tekintetében:
|
a) |
ha a szóban forgó jogok és kötelezettségek gyakorlását a bizottsági szolgálatok vagy más uniós intézmények, szervek, ügynökségek és hivatalok az (EU) 2018/1725 rendelet 25. cikkében említett egyéb jogi aktusok alapján, vagy ez utóbbi rendelet IX. fejezete vagy más uniós intézmények, szervek, ügynökségek és hivatalok alapító aktusai szerint korlátozhatják; |
|
b) |
ha a szóban forgó jogok és kötelezettségek gyakorlását a tagállamok illetékes hatóságai az (EU) 2016/679 európai parlamenti és tanácsi rendelet (3) 23. cikkében említett jogi aktusok, vagy az (EU) 2016/680 európai parlamenti és tanácsi irányelv (4) 13. cikkének (3) bekezdését, 15. cikkének (3) bekezdését vagy 16. cikkének (3) bekezdését átültető nemzeti intézkedések alapján korlátozhatják; |
|
c) |
ha a szóban forgó jogok és kötelezettségek gyakorlása veszélyeztetheti az ESMA harmadik országbeli szervezetekkel vagy nemzetközi szervezetekkel való együttműködését a feladatai ellátása során, vagy a harmadik országbeli szervezetek vagy nemzetközi szervezetek feladatai ellátása során. Mielőtt az első albekezdés a) és b) pontjában említett korlátozások alkalmazására sor kerül, az ESMA konzultál az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha egyértelmű az ESMA számára, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamelyik jogi aktus rendelkezik. |
(3) Minden korlátozásnak szükségesnek és arányosnak kell lennie, figyelembe véve az érintettek jogaira és szabadságaira nézve fennálló kockázatokat, és tiszteletben kell tartania az alapvető jogok és szabadságok lényeges tartalmát egy demokratikus társadalomban.
(4) Ha a korlátozás alkalmazását mérlegelik, szükségességi és arányossági vizsgálatot végeznek a jelenlegi szabályok alapján. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján dokumentálják.
(5) A korlátozásokat feloldják, amint az őket indokoló körülmények már nem állnak fenn. Különösen akkor, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem oltaná ki a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait.
4. cikk
Az adatvédelmi tisztviselő általi felülvizsgálat
(1) Az adatkezelő haladéktalanul tájékoztatja az adatvédelmi tisztviselőt, amikor az adatkezelő e határozat szerint korlátozza az érintettek jogainak alkalmazását, vagy kiterjeszti a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselő számára a korlátozás szükségességének és arányosságának értékelését tartalmazó belső feljegyzéshez, valamint adott esetben az alapul szolgáló ténybeli és jogi elemekhez, és dokumentálja az adatvédelmi tisztviselő tájékoztatásának időpontját.
(2) Az adatvédelmi tisztviselő írásban kérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.
(3) Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt, amikor feloldották a korlátozást.
(4) Az adatkezelő dokumentálja az adatvédelmi tisztviselő részvételét az eljárás különböző szakaszaiban, kezdve az adatvédelmi tisztviselő tájékoztatásának időpontjával.
(5) A belső feljegyzést, valamint adott esetben az alapul szolgáló ténybeli és jogi elemeket kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.
5. cikk
Információszolgáltatás az érintett részére
(1) Az ESMA adatvédelmi tájékoztatót tesz közzé a honlapján, amelyben tájékoztat valamennyi érintettet a személyes adatok kezelését magában foglaló tevékenységeiről, beleértve az érintettek jogainak esetleges korlátozásával kapcsolatos tájékoztatást is.
(2) Az ESMA az adatvédelmi feljegyzésről, amely a vonatkozó egyedi adatkezelési műveletekről készült, indokolatlan késedelem nélkül és írásban, egyénileg értesít minden olyan érintettet, akit a vizsgálatban vagy a megkeresésben érintett személynek tekint.
(3) Kellően indokolt esetben és az e határozatban foglalt feltételek mellett az ESMA részben vagy egészben korlátozhatja a (2) bekezdésben említett érintettek tájékoztatását. Ebben az esetben belső feljegyzésben dokumentálja a korlátozás indokait, e határozat 3. cikkével összhangban annak jogalapját, a korlátozás szükségességének és arányosságának értékelésével együtt.
(4) A (3) bekezdésben említett korlátozás addig marad hatályban, amíg az alátámasztására szolgáló indokok fennállnak.
Amennyiben a korlátozás indokai már nem állnak fenn, az ESMA tájékoztatja az érintettet a vonatkozó adatvédelmi feljegyzésről és a korlátozás fő okairól. E tájékoztatással együtt az érintettet arra is fel lehet hívni, hogy a védelemhez való joga gyakorlásának körében nyújtson be beadványt a folyamatban lévő nyomozás vagy vizsgálat ténymegállapításai tekintetében. Ezzel egyidejűleg az ESMA tájékoztatja az érintettet arról a jogáról, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.
Az ESMA az elfogadásától számított hathavonként, valamint a vonatkozó megkeresés vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.
6. cikk
Az érintett hozzáférési joga
(1) Az érintett kérelmét követően az ESMA részben vagy egészben korlátozhatja a szóban forgó érintett arra vonatkozó jogát, hogy visszajelzést kapjon arra vonatkozóan, hogy a személyes adatainak kezelése az ESMA részéről az e határozat 1. cikkében említett vizsgálattal vagy megkereséssel összefüggésben folyamatban van-e, és ha ilyen adatkezelés folyamatban van, korlátozhatja az érintett arra vonatkozó jogát, hogy ezekhez az adatokhoz és az (EU) 2018/1725 rendelet 17. cikkében hivatkozott más információkhoz hozzáférést kapjon.
(2) Amennyiben az ESMA korlátozza a hozzáférési jogát, a kérésre adott válaszában tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól, valamint arról a lehetőségről, hogy az érintett panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.
(3) A (2) bekezdésben említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében elrendelt korlátozás hatását. Ilyen esetben az ESMA belső értékelő feljegyzésben dokumentálja a korlátozás okait, a korlátozás szükségességének, arányosságának értékelésével és időtartamával együtt.
(4) Az ESMA az elfogadásától számított hathavonként, valamint a vonatkozó megkeresés vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.
7. cikk
Helyesbítési, törlési jog és az adatkezelés korlátozásához való jog
(1) Az érintett kérelmét követően az ESMA az e határozat 1. cikkében említett vizsgálattal vagy megkereséssel összefüggésben részben vagy egészben korlátozhatja a szóban forgó érintettnek a személyes adatai helyesbítéséhez, törléséhez vagy az adatkezelés korlátozásához való, az (EU) 2018/1725 rendelet 18., 19. és 20. cikkében biztosított jogát.
(2) Az ESMA, amennyiben korlátozza a fent említett helyesbítési, törlési jogot és az adatkezelés korlátozásához való jogot, az e határozat 6. cikkének (2) bekezdésében és 6. cikkének (3) bekezdésében foglaltak szerint jár el.
(3) Az ESMA az elfogadásától számított hathavonként, valamint a vonatkozó megkeresés vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.
8. cikk
Az adatvédelmi incidens közlése az érintettel
(1) Az ESMA haladéktalanul tájékoztatja az érintettet az adatvédelmi incidensről, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek az (EU) 2018/1725 rendelet 35. cikkében biztosított jogaira és szabadságaira nézve.
(2) Kellően indokolt esetben és az e határozatban foglalt feltételek mellett az ESMA részben vagy egészben korlátozhatja az e cikk (1) bekezdésében említett érintettek tájékoztatását. Ebben az esetben belső feljegyzésben dokumentálja a korlátozás indokait, e határozat 3. cikkével összhangban annak jogalapját, a korlátozás szükségességének és arányosságának értékelésével együtt.
(3) A (2) bekezdésben említett korlátozás addig marad hatályban, amíg az alátámasztására szolgáló indokok fennállnak.
Amennyiben a korlátozás indokai már nem állnak fenn, az ESMA tájékoztatja az érintettet az adatvédelmi incidensről, valamint tájékoztatja az érintettet a korlátozás fő okairól. Ezzel egyidejűleg az ESMA tájékoztatja az érintettet arról a jogáról, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.
Az ESMA az elfogadásától számított hathavonként, valamint a vonatkozó megkeresés vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.
9. cikk
Hatálybalépés
E határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon lép hatályba.
Kelt Helsinkiben, 2019. október 1-jén.
az igazgatótanács részéről
Steven MAIJOOR
az elnök
(1) HL L 295., 2018.11.21., 39. o.
(2) HL L 331., 2010.12.15., 84. o.
(3) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).
(4) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.).