BESLUIT VAN DE RAAD VAN BESTUUR VAN DE EUROPESE AUTORITEIT VOOR EFFECTEN EN MARKTEN

van 1 oktober 2019

tot vaststelling van interne voorschriften betreffende de beperking van bepaalde rechten van betrokkenen in verband met de verwerking van hun persoonsgegevens in het kader van het functioneren van ESMA

De raad van bestuur

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (1), en in het bijzonder artikel 25,

Gezien Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/77/EG (2) van de Commissie, die verder kunnen worden gewijzigd, ingetrokken of vervangen, en in het bijzonder artikel 71,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming (EDPS) van 20 juni 2019 en de leidraad van de EDPS voor artikel 25 van de nieuwe verordening en de interne voorschriften,

Na raadpleging van het personeelscomité,

Overwegende hetgeen volgt:

(1)	ESMA verricht haar activiteiten in overeenstemming met Verordening (EU) nr. 1095/2010 (de “ESMA-verordening” en “ESMA”), die verder kunnen worden gewijzigd, ingetrokken of vervangen.

(2)

ESMA verwerkt verschillende categorieën van persoonsgegevens, omvattende “objectieve” gegevens (zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of “subjectieve” gegevens (die verband houden met de zaak, zoals bewijsvoering, gedragsgegevens, gegevens over de aanpak en gegevens met betrekking tot of naar voren gebracht in verband met het onderwerp van de procedure of activiteit).

(3)	ESMA, vertegenwoordigd door haar uitvoerend directeur, treedt op als de verwerkingsverantwoordelijke, ongeacht een verder delegeren van deze rol binnen de organisatie, voor de operationele specifieke verwerking van persoonsgegevens.

(4)

De persoonsgegevens worden veilig opgeslagen in een elektronische omgeving of op papier waarmee ongeoorloofde toegang of overdracht van gegevens aan personen zonder noodzaak van kennisneming wordt voorkomen. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend voor de doeleinden waarvoor de gegevens worden verwerkt gedurende de periode die is gespecificeerd in de aantekeningen en privacyverklaringen van ESMA.

(5)

Bij de uitoefening van haar taken is ESMA gehouden om, voor zover mogelijk, de grondrechten van de betrokkenen te respecteren, in het bijzonder het recht op informatieverstrekking, toegang en rectificatie, het recht om te wissen, de beperking van verwerking, het recht van mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie zoals verankerd in Verordening (EU) 2018/1725.

(6)

ESMA kan echter worden verplicht de informatie aan betrokkenen of rechten van andere betrokkenen te beperken om, in het bijzonder de vertrouwelijkheid en de doeltreffendheid van haar eigen onderzoeken, de onderzoeken en procedures van andere overheidsinstanties te beschermen, evenals de rechten van andere personen in verband met haar onderzoeken of andere procedures.

(7)

In het kader van haar administratieve werking kan ESMA een aantal onderzoeken uitvoeren, zoals administratieve enquêtes, tuchtprocedures, voorbereidende activiteiten in verband met financiële fraude, onderzoeken in verband met klokkenluiden of intimidatie, interne audits, gegevensbescherming of ethische onderzoeken, ICT-onderzoeken, informatiebeveiligingsonderzoeken en activiteiten in verband met beveiligingsrisico’s en het beheer van incidenten. Daarnaast verricht ESMA voor de uitvoering van haar taken onderzoeken in verband met haar directe toezicht- of handhavingstaken en kan zij onderzoeken naar mogelijke inbreuken op het Unierecht verrichten, alsook enquêtes naar een bepaald type financiële activiteit of soort product of gedraging om mogelijke bedreigingen voor de integriteit van de financiële markten of de stabiliteit van het financiële systeem te beoordelen.

(8)

De interne voorschriften zijn van toepassing op alle verwerkingen die door ESMA bij de uitvoering van bovengenoemde onderzoeken worden verricht. Zij zijn ook van toepassing op verwerkingshandelingen voorafgaand aan het instellen van bovengenoemde onderzoeken, tijdens deze onderzoeken en tijdens het toezicht op de follow-up van deze onderzoeken. Ze moeten ook de bijstand, coördinatie en/of samenwerking omvatten waarom ESMA door de nationale autoriteiten en internationale organisaties in het kader van hun eigen administratieve onderzoeken heeft verzocht.

(9)

Alvorens gebruik te maken van de beperkingen waarin deze interne voorschriften voorzien, moet ESMA nagaan of een van de in Verordening (EU) 2018/1725 vastgestelde vrijstellingen van toepassing is. In de gevallen waarop beperkingen op deze interne voorschriften van toepassing zijn, moet ESMA uitleggen waarom ze strikt noodzakelijk zijn en een evenredige maatregel zijn in een democratische samenleving en de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laten.

(10)	ESMA dient te controleren of de voorwaarden die de beperking rechtvaardigen, blijven gelden en de beperking op te heffen zodra dit niet langer het geval is.

(11)	De verwerkingsverantwoordelijke dient de functionaris voor gegevensbescherming in te lichten wanneer hij de uitoefening van de rechten van bepaalde betrokkenen op grond van dit besluit beperkt, wanneer die beperking wordt verlengd en de beperking wordt opgeheven,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Onderwerp en toepassingsgebied

1. Dit besluit bevat interne voorschriften betreffende de voorwaarden waaronder ESMA in het kader van de in de paragrafen 2 tot en met 5 beschreven activiteiten de toepassing kan beperken van de in de artikelen 14 tot en met 21, en artikel 35 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725. Deze beperkingen laten de vrijstellingen van de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 onverlet.

2. In het kader van de administratieve werking van ESMA zijn de in lid 1 van dit artikel bedoelde beperkingen van toepassing op de verwerking van persoonsgegevens door ESMA met het oog op:

a)	administratieve enquêtes en tuchtprocedures;

b)	verwerking van onregelmatigheden in overleg met het Europees Bureau voor fraudebestrijding (OLAF);

c)	verwerking van klokkenluiderszaken, (formele en informele) intimidatie en interne en externe klachten;

d)	interne audits, gegevensbescherming of ethische onderzoeken;

e)	ICT-onderzoeken, informatiebeveiligingsonderzoeken en activiteiten die worden uitgevoerd in het kader van beveiligingsrisico’s en het beheer van incidenten, die intern of met externe betrokkenheid worden behandeld.

3. In het kader van de uitvoering van de taakopdrachten van ESMA, zijn de in lid 1 van dit artikel bedoelde beperkingen van toepassing op de verwerking van persoonsgegevens door ESMA met het oog op:

a)	onderzoeken betreffende de directe toezicht- en handhavingstaken van ESMA;

b)	onderzoeken naar mogelijke inbreuken op het Unierecht uit hoofde van artikel 17 van de ESMA-verordening, en

c)	enquêtes naar een bepaalde soort financiële activiteit, product of gedrag om mogelijke bedreigingen voor de integriteit van de financiële markten of de stabiliteit van het financiële stelsel te beoordelen overeenkomstig artikel 22 van de ESMA-verordening.

4. Bovendien zijn deze beperkingen van toepassing op de bijstand, coördinatie en/of samenwerking die ESMA verleent aan nationale effecten- en marktautoriteiten, met inbegrip van autoriteiten van derde landen, en aan internationale organisaties in het kader van de onderzoeken die voor de uitvoering van hun wettelijke taken worden verricht.

5. De in lid 1 van dit artikel bedoelde beperkingen gelden ook voor verwerkingen voorafgaand aan de opening van onderzoeken of andere administratieve enquêtes als bedoeld in de leden 2 tot en met 4 hierboven, tijdens deze onderzoeken en tijdens het toezicht op de follow-up van deze onderzoeken.

6. Dit besluit is van toepassing op alle categorieën van persoonsgegevens die worden verwerkt in het kader van de in de leden 2 tot en met 5 beschreven activiteiten.

7. Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, recht van toegang, rectificatie, uitwissing, beperking van de verwerking, mededeling van een inbreuk in verband met de persoonsgegevens aan de betrokkene.

Artikel 2

Verwerkingsverantwoordelijke van de onderzoeken en toepasselijke waarborgen

1. De bestaande waarborgen ter voorkoming van inbreuken op persoonsgegevens, lekken of ongeoorloofde bekendmaking in het kader van de in artikel 1 bedoelde onderzoeken zijn:

a)	papieren documenten worden bewaard in beveiligde kasten en zijn alleen toegankelijk voor bevoegd personeel;

alle elektronische gegevens worden beheerd met de goedgekeurde apparatuur, informatiesystemen, toepassingen en opslagmedia van ESMA.De applicaties voor het documentenbeheer van ESMA worden gebruikt om de elektronische gegevens van ESMA te organiseren, te vinden, te delen, in stand te houden en te beschermen.Het personeel van ESMA mag alleen op basis van need-to-know toegang krijgen tot elektronische gegevens;

c)	Alle personen die toegang hebben tot de gegevens zijn gebonden door geheimhoudingsplicht.

2. De verantwoordelijke voor de verwerkingsactiviteiten is ESMA, vertegenwoordigd door haar uitvoerend directeur, die deze verantwoordelijkheid kan delegeren.Betrokkenen worden geïnformeerd over de gedelegeerde verantwoordelijke door middel van gegevensbeschermingsaantekeningen die op de website van ESMA worden gepubliceerd.

3. De verwerkte persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. De bewaringstermijn wordt gespecificeerd in de in artikel 5, lid 1, bedoelde gegevensbeschermingsaantekeningen en privacyverklaringen.

4. Wanneer ESMA overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico van teloorgang van het effect van de onderzoeken of procedures van ESMA, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en gehoord te worden.

Artikel 3

Beperkingen

1. ESMA zal iedere beperking uitsluitend toepassen om het volgende te waarborgen:

a)	het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en het voorkomen van bedreigingen voor de openbare veiligheid;

andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

c)	de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronische communicatienetwerken;

d)	het voorkomen, onderzoeken, opsporen en vervolgen van schendingen van de beroepscodes voor gereglementeerde beroepen;

e)	taken op het gebied van toezicht, inspectie of regelgeving die permanent of incidenteel verband houden met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a) en b);

f)	de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2. Als een specifieke toepassing van de in lid 1 beschreven doeleinden, kan ESMA beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met de diensten van de Commissie of andere instellingen, organen en instanties van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties, in de volgende situaties:

wanneer de uitoefening van deze rechten en verplichtingen kan worden beperkt door diensten van de Commissie of andere instellingen, organen en instanties van de Unie op grond van andere handelingen als bedoeld in artikel 25 van Verordening (EU) 2018/1725 of overeenkomstig hoofdstuk IX van genoemde verordening of in de oprichtingsakten van andere instellingen, organen en instanties van de Unie;

wanneer de uitoefening van die rechten en verplichtingen kan worden beperkt door de bevoegde autoriteiten van de lidstaten op basis van handelingen als bedoeld in artikel 23 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (3), of krachtens nationale maatregelen ter omzetting van artikel 13, lid 3, artikel 15, lid 3 of artikel 16, lid 3 van Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (4);

wanneer de uitoefening van die rechten en verplichtingen de samenwerking van ESMA met derde landen of internationale organisaties bij de uitvoering van haar taken of de taken van het derde land of de internationale organisaties in gevaar kan brengen.

Alvorens beperkingen op te leggen in de omstandigheden als bedoeld in de eerste alinea, onder a) en b), raadpleegt ESMA de desbetreffende diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het haar duidelijk is dat de toepassing van een beperking is geboden door een van de in die punten genoemde handelingen.

3. Elke beperking is noodzakelijk en evenredig, waarbij rekening wordt gehouden met de risico’s voor de rechten en vrijheden van betrokkenen, en de essentie van de fundamentele rechten en vrijheden in een democratische samenleving in acht wordt genomen.

4. Als de toepassing van een beperking wordt overwogen, wordt een noodzakelijkheids- en evenredigheidsonderzoek verricht op basis van onderhavige voorschriften. Ieder geval wordt voor verantwoordingsdoeleinden gedocumenteerd in een interne beoordelingsnota.

5. Beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen niet meer van toepassing zijn. Dit geldt in het bijzonder wanneer wordt geoordeeld dat de uitoefening van het beperkte recht niet langer het effect van de opgelegde beperking zou opheffen of de rechten of vrijheden van andere betrokkenen zou schaden.

Artikel 4

Beoordeling door de functionaris voor gegevensbescherming

1. De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming (“de DPO”) onverwijld wanneer de verwerkingsverantwoordelijke de toepassing van rechten van betrokkenen beperkt of de beperking verlengt overeenkomstig dit besluit. De verwerkingsverantwoordelijke geeft de DPO toegang tot de beoordeling van de noodzaak en evenredigheid van de beperking en legt daarbij ook de datum vast waarop de DPO werd geïnformeerd.

2. De DPO kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de DPO schriftelijk over de uitkomst van de gevraagde beoordeling.

3. De verwerkingsverantwoordelijke informeert de DPO wanneer de beperking is opgeheven.

4. De verantwoordelijke voor de verwerking legt de betrokkenheid van de functionaris voor gegevensbescherming vast in de verschillende fasen van het proces, te beginnen met de datum waarop de functionaris voor gegevensbescherming is geïnformeerd.

5. De interne nota, en, indien van toepassing, de onderliggende feitelijke en juridische elementen worden op verzoek ter beschikking gesteld van de Europese Toezichthouder voor gegevensbescherming.

Artikel 5

Verstrekking van informatie aan betrokkene

1. ESMA maakt op haar website aantekeningen van gegevensbescherming bekend die alle betrokkenen in kennis stellen van haar verwerkingen van persoonsgegevens, met inbegrip van informatie over de mogelijke beperking van de rechten van betrokkenen.

2. ESMA informeert alle betrokkenen die bij het onderzoek of de enquête betrokken zijn onverwijld en in schriftelijke vorm van de gegevensbeschermingsaantekeningen van de specifieke verwerkingen.

3. In naar behoren gemotiveerde gevallen en onder de in dit besluit vastgestelde voorwaarden mag ESMA de verstrekking van informatie aan de in lid 2 bedoelde betrokkenen geheel of gedeeltelijk beperken. In dat geval legt zij in een interne nota de redenen voor de beperking vast, de rechtsgrond overeenkomstig artikel 3 van dit besluit, met inbegrip van een beoordeling van de noodzaak en de evenredigheid van de beperking.

4. De in lid 3 bedoelde beperking blijft van toepassing zolang de redenen die deze rechtvaardigen geldig zijn.

Wanneer de redenen voor de beperking niet langer van toepassing zijn, stelt ESMA de betrokkene in kennis van het desbetreffende gegevensbeschermingsniveau en de voornaamste redenen voor de beperking. Deze kennisgeving kan worden gecombineerd met een uitnodiging tot indiening van de bevindingen van het onderzoek of de lopende enquête, in het kader van de uitoefening van de rechten van verdediging van de betrokkene. Tegelijkertijd informeert ESMA de betrokkene over het recht om op elk moment een klacht bij de Europese Toezichthouder voor gegevensbescherming in te dienen of om een beroep in rechte bij het Hof van Justitie van de Europese Unie te doen.

ESMA herziet de toepassing van de beperking iedere zes maanden na vaststelling en bij de afsluiting van de enquête of het onderzoek in kwestie.

Artikel 6

Recht van toegang door betrokkene

1. Naar aanleiding van een verzoek van betrokkene kan ESMA zijn of haar recht om bevestiging te verkrijgen of ESMA al dan niet hem of haar betreffende persoonsgegevens verwerkt in het kader van een onderzoek of enquête als bedoeld in artikel 1 van dit besluit, en wanneer dit het geval is, het recht toegang te krijgen tot deze gegevens en andere informatie als bedoeld in artikel 17 van Verordening (EU) 2018/1725, geheel of gedeeltelijk beperken.

2. Wanneer ESMA het recht van toegang beperkt, stelt zij de betrokkene in haar antwoord op de hoogte van de opgelegde beperking, van de belangrijkste redenen daarvoor, en van de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of om eenberoep in rechte te doen bij het Hof van Justitie van de Europese Unie.

3. De verstrekking van de onder lid 2 bedoelde informatie kan worden opgeschort, achterwege gelaten of geweigerd als daardoor het effect van de beperking overeenkomstig artikel 25, lid 8, van Verordening (EU) 2018/1725 verloren zou gaan. Wanneer dit het geval is, legt ESMA in een interne beoordelingsnota de redenen voor de beperking vast, alsmede een beoordeling van de noodzaak, de evenredigheid van de beperking en de duur ervan.

4. ESMA herziet de toepassing van de beperking iedere zes maanden na vaststelling en bij de afsluiting van de enquête of het onderzoek in kwestie.

Artikel 7

Recht op rectificatie, uitwissing en beperking van verwerking

1. Naar aanleiding van een verzoek van betrokkene kan ESMA in het kader van een onderzoek of enquête als bedoeld in artikel 1 van dit besluit zijn of haar recht op rectificatie van hem of haar betreffende persoonsgegevens, op uitwissing of op beperking van de verwerking van zijn of haar persoonsgegevens overeenkomstig de artikelen 18, 19 en 20 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperken.

2. Wanneer ESMA de toepassing van het recht op rectificatie, uitwissing of beperking van de bovengenoemde verwerking beperkt, neemt zij de in artikel 6, leden 2 en 3 van dit besluit genoemde stappen.

3. ESMA herziet de toepassing van de beperking iedere zes maanden na vaststelling en bij de afsluiting van de enquête of het onderzoek in kwestie.

Artikel 8

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1. ESMA deelt de betrokkene in kwestie onverwijld een inbreuk in verband met persoonsgegevens mee wanneer deze waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen als bedoeld in artikel 35 van Verordening (EU) 2018/1725.

2. In naar behoren gemotiveerde gevallen en onder de in dit besluit vastgestelde voorwaarden kan ESMA de verstrekking van informatie aan de in lid 1 van dit artikel bedoelde betrokkenen geheel of gedeeltelijk beperken. In dat geval legt zij in een interne nota de redenen voor de beperking vast, de rechtsgrond overeenkomstig artikel 3 van dit besluit, met inbegrip van een beoordeling van de noodzaak en de evenredigheid van de beperking.

3. De in lid 2 bedoelde beperking blijft van toepassing zolang de redenen die deze rechtvaardigen geldig zijn.

Indien de redenen voor de beperking niet langer van toepassing zijn, deelt ESMA de inbreuk in verband met persoonsgegevens aan de betrokkene in kwestie mee en stelt zij de betrokkene in kennis van de voornaamste redenen voor de beperking. Tegelijkertijd informeert ESMA de betrokkene over het recht om op elk moment een klacht bij de Europese Toezichthouder voor gegevensbescherming in te dienen of om een beroep in rechte bij het Hof van Justitie van de Europese Unie te doen.

ESMA herziet de toepassing van de beperking iedere zes maanden na vaststelling en bij de afsluiting van de enquête of het onderzoek in kwestie.

Artikel 9

Inwerkingtreding

Dit besluit treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Opgesteld te Helsinki, 1 oktober 2019.

Voor de raad van bestuur

Steven MAIJOOR

De voorzitter

(1) PB L 295 van 21.11.2018, blz. 39.

(2) PB L 331 van 15.12.2010, blz. 84.

(3) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(4) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).