DECIZIA CONSILIULUI DE ADMINISTRAȚIE AL AUTORITĂȚII EUROPENE PENTRU VALORI MOBILIARE ȘI PIEȚE

din 1 octombrie 2019

de adoptare a normelor interne referitoare la restricționarea anumitor drepturi ale persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal în cadrul funcționării ESMA

CONSILIUL DE ADMINISTRAȚIE,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (1), în special articolul 25,

având în vedere Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Europeană pentru Valori Mobiliare și Piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (2), precum poate fi modificat, abrogat sau înlocuit, în special articolul 71,

având în vedere avizul AEPD din 20 iunie 2019 și Orientările AEPD privind articolul 25 din noul regulament și normele interne,

după consultarea Comitetului pentru personal,

întrucât:

(1)	ESMA își desfășoară activitatea în conformitate cu Regulamentul (UE) nr. 1095/2010 („Regulamentul ESMA” și „ESMA”) precum poate fi modificat, abrogat sau înlocuit.

(2)

ESMA prelucrează mai multe categorii de date cu caracter personal, inclusiv date „obiective” (cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date „subiective” (aferente cazului, cum ar fi datele obținute din raționamente, date comportamentale și date privind conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(3)	ESMA, reprezentată de directorul său executiv, îndeplinește rolul de operator de date, fără a ține seama de delegarea ulterioară a rolului de operator în cadrul ESMA, prin care se reflectă responsabilitățile operaționale pentru operațiuni de prelucrare specifice a datelor cu caracter personal.

(4)

Datele cu caracter personal sunt stocate în condiții de siguranță într-un mediu electronic sau pe hârtie, împiedicând-se accesarea ilegală sau transferul de date către persoane care nu au nevoie să le cunoască. Datele cu caracter personal prelucrate nu sunt păstrate mai mult timp decât este necesar și adecvat în scopurile pentru care sunt prelucrate datele, pe perioada specificată în evidențele privind protecția datelor și în declarațiile de confidențialitate ale ESMA

(5)

Pentru a-și exercita misiunile, ESMA are obligația de a respecta, în cea mai mare măsură posibilă, drepturile fundamentale ale persoanelor vizate, în special pe cele referitoare la dreptul de furnizare de informații, de acces și de rectificare, dreptul de ștergere a datelor, de restricționare a prelucrării lor, dreptul de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării, potrivit dispozițiilor Regulamentului (UE) 2018/1725.

(6)

ESMA poate fi însă obligată să restricționeze informarea persoanelor vizate sau alte drepturi ale persoanelor vizate pentru a proteja în special confidențialitatea și eficacitatea investigațiilor proprii, investigațiile și procedurile altor autorități publice, precum și drepturile altor persoane legate de investigațiile sale sau de alte proceduri.

(7)

În cadrul general al funcționării sale administrative, ESMA poate desfășura o serie de investigații, precum anchete administrative, proceduri disciplinare, activități preliminare legate de frauda financiară, investigații legate de cazurile de avertizare în interes public sau de hărțuire, audituri interne, investigații privind protecția datelor sau etica, investigații privind TIC, investigații privind securitatea informațiilor și activități desfășurate în contextul riscurilor pentru securitate și al gestionării incidentelor. În plus, pentru a-și exercita misiunile, ESMA efectuează investigații legate de funcțiile sale de supraveghere directă și de aplicare a legii și poate efectua investigații privind eventualele încălcări ale dreptului Uniunii, precum și anchete privind un anumit tip de activitate financiară sau un anumit tip de produs sau de conduită pentru a evalua eventualele amenințări la adresa integrității piețelor financiare sau a stabilității sistemului financiar.

(8)

Normele interne trebuie să fie aplicabile tuturor operațiunilor de prelucrare efectuate de ESMA în desfășurarea investigațiilor de mai sus. Acestea trebuie să fie aplicabile operațiunilor de prelucrare efectuate înainte de deschiderea investigațiilor menționate mai sus, pe durata acestor investigații, precum și pe durata monitorizării rezultatelor investigațiilor. Aceasta trebuie să includă, de asemenea, asistența și sprijinul solicitat de la ESMA de autoritățile naționale și de organizațiile internaționale în contextul propriilor investigații administrative.

(9)

Înainte de a utiliza restricțiile prevăzute în aceste norme interne, ESMA trebuie să evalueze dacă sunt aplicabile oricare dintre excepțiile stabilite în Regulamentul (UE) 2018/1725. În cazurile în care restricțiile din cadrul acestor norme interne sunt aplicabile, ESMA trebuie să explice de ce restricțiile sunt necesare și proporționale într-o societate democratică și să respecte esența drepturilor și libertăților fundamentale.

(10)	ESMA trebuie să monitorizeze dacă sunt aplicabile în continuare condițiile care justifică restricția și să ridice restricția când acestea nu mai sunt aplicabile.

(11)	Operatorul trebuie să informeze responsabilul cu protecția datelor atunci când restricționează aplicarea anumitor drepturi ale persoanelor vizate în baza acestei decizii, când extinde o astfel de restricție și când restricția este ridicată,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Obiectul și domeniul de aplicare

(1) Prezenta decizie stabilește normele interne privind condițiile în care ESMA, în cadrul general al activităților prevăzute la alineatele (2)-(5), poate restricționa aplicarea drepturilor consacrate la articolele 14-21 și 35, precum și la articolul 4, cu respectarea articolului 25 din Regulamentul (UE) 2018/1725. Aceste restricții nu aduc atingere excepțiilor privind drepturile persoanelor vizate, specificate în Regulamentul (UE) 2018/1725.

(2) În cadrul general al funcționării administrative a ESMA, restricțiile prevăzute la alineatul (1) din prezentul articol sunt aplicabile prelucrării datelor cu caracter personal de către ESMA, în următoarele scopuri:

(a)	anchete administrative și proceduri disciplinare;

(b)	prelucrarea neregularităților în colaborare cu Oficiul European de Luptă Antifraudă (OLAF);

(c)	prelucrarea cazurilor de avertizare în interes public (formale și informale), cazurile de hărțuire, precum și plângerile interne și externe;

(d)	audituri interne, protecția datelor sau investigații privind etica;

(e)	investigații privind TIC, investigații privind securitatea informațiilor și activități desfășurate în contextul riscurilor pentru securitate și al gestionării incidentelor, tratate pe plan intern sau cu implicare din exterior.

(3) În cadrul exercitării misiunilor ESMA, restricțiile prevăzute la alineatul (1) din acest articol sunt aplicabile prelucrării datelor cu caracter personal de către ESMA, în următoarele scopuri:

(a)	investigațiile legate de funcțiile de supraveghere directă și de aplicare a legii ale ESMA;

(b)	investigațiile privind eventualele încălcări ale dreptului Uniunii în temeiul articolului 17 din Regulamentul ESMA; și

(c)	anchete privind un anumit tip de activitate financiară sau un anumit tip de produs sau de conduită pentru a evalua eventualele amenințări la adresa integrității piețelor financiare sau a stabilității sistemului financiar, în temeiul articolului 22 din Regulamentul ESMA.

(4) În plus, aceste restricții sunt aplicabile asistenței, coordonării și/sau sprijinului oferite de ESMA autorităților naționale pentru valori mobiliare și piețe, inclusiv autoritățile din țările terțe și organizațiile internaționale în contextul investigațiilor desfășurate pentru exercitarea misiunilor legale ale acestora.

(5) Restricțiile menționate în alineatul (1) din acest articol sunt aplicabile și operațiunilor de prelucrare efectuate înainte de deschiderea investigațiilor sau a altor anchete administrative menționate în alineatele (2)-(4) de mai sus, pe durata acestor investigații, precum și pe durata monitorizării rezultatelor investigațiilor.

(6) Prezenta decizie este aplicabilă oricărei categorii de date cu caracter personal prelucrate în contextul activităților prezentate în alineatele (2)-(5) de mai sus.

(7) Sub rezerva condițiilor prevăzute în prezenta decizie, restricțiile pot fi aplicabile următoarelor drepturi: de furnizare de informații persoanelor vizate, dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării și de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată.

Articolul 2

Operatorul răspunde de investigații și de garanțiile aplicabile

(1) Garanțiile instituite pentru a evita încălcarea securității datelor cu caracter personal, scurgerile sau divulgarea lor neautorizată în contextul investigațiilor menționate în articolul 1 sunt următoarele:

(a)	documentele pe hârtie se păstrează în dulapuri securizate și sunt accesibile doar personalului autorizat;

(b)

toate datele electronice vor fi gestionate cu dispozitivele aprobate, sistemele informatice, aplicațiile și resursele de stocare ale ESMA. Aplicațiile sistemului de gestionare a documentelor din cadrul ESMA vor fi utilizate pentru a organiza, găsi, partaja, menține și proteja datele electronice ale ESMA. Personalul autorizat al ESMA va avea acces la datele electronice doar în baza necesității de a le cunoaște;

(c)	toate persoanele care au acces la date se supun obligației de confidențialitate.

(2) Operatorul pentru operațiunile de prelucrare este ESMA, reprezentată de directorul său executiv, care poate delega funcția de operator. Persoanele vizate vor fi informate cu privire la operatorul delegat prin intermediul evidențelor privind protecția datelor publicate pe site-ul ESMA.

(3) Perioada de păstrare a datelor cu caracter personal prelucrate nu va fi mai lungă decât este necesar și adecvat în scopul în care se prelucrează datele. Perioada de păstrare va fi specificată în evidențele privind protecția datelor și în declarațiile de confidențialitate menționate în articolul 5 alineatul (1).

(4) În momentul în care ESMA analizează aplicarea unei restricții, se apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul de anulare a efectului investigațiilor sau al procedurilor ESMA, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.

Articolul 3

Restricții

(1) ESMA aplică eventualele restricții doar pentru a proteja:

(a)	prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora;

(b)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe și de securitate comune ale Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;

(c)	securitatea internă a instituțiilor și a organelor Uniunii, inclusiv a rețelelor lor de comunicații electronice;

(d)	prevenirea, investigarea, depistarea și urmărirea penală a încălcării etice în cazul profesiilor reglementate;

(e)	o funcție de monitorizare, inspecție sau reglementară legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a) și (b);

(f)	protecția persoanei vizate sau a drepturilor și libertăților altor persoane.

(2) Ca o aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, ESMA poate să aplice restricții în ceea ce privește datele cu caracter personal schimbate cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autorități competente ale statelor membre sau cu țări terțe sau organizații internaționale, în următoarele situații:

(a)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de serviciile Comisiei sau de alte instituții, organe, agenții și oficii ale Uniunii, în baza altor acte prevăzute la articolul 25 din Regulamentul (UE) 2018/1725 sau în conformitate cu capitolul IX din regulamentul respectiv sau cu actele de instituire a altor instituții, organe, agenții și oficii ale Uniunii;

(b)

în cazul în care exercitarea acestor drepturi și obligații ar putea fi restricționată de autoritățile competente ale statelor membre în baza actelor menționate la articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (3) sau în conformitate cu alte măsuri naționale de transpunere a articolului 13 alineatul (3), a articolului 15 alineatul (3) sau a articolului 16 alineatul (3) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (4);

(c)

în cazul în care exercitarea acestor drepturi și obligații poate pune în pericol colaborarea ESMA cu organizațiile din țări terțe sau internaționale în realizarea sarcinilor sale sau a sarcinilor organizațiilor din țara terță sau internaționale.

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) din primul paragraf, ESMA consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care ESMA are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3) Toate restricțiile vor fi necesare și proporționale, ținând cont de riscurile pentru drepturile și libertățile persoanelor vizate și de respectarea esenței drepturilor și libertăților fundamentale într-o societate democratică.

(4) Dacă se analizează aplicarea restricției, se efectuează un test de necesitate și proporționalitate, în baza prezentelor norme. Acesta este documentat printr-o notă de evaluare internă în scopul respectării principiului responsabilității, de la caz la caz.

(5) Restricțiile sunt ridicate imediat ce circumstanțele care le justifică nu mai sunt aplicabile. în special, în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse sau ar aduce atingere drepturilor sau libertăților altor persoane vizate.

Articolul 4

Revizuirea de către responsabilul cu protecția datelor

(1) Operatorul informează fără întârziere responsabilul cu protecția datelor („RPD”) ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul îi acordă responsabilului cu protecția datelor accesul la nota internă care cuprinde evaluarea necesității și a proporționalității restricției, precum și, dacă este cazul, la elementele de fapt și de drept care stau la baza acesteia, și documentează data informării RPD.

(2) RPD îi poate solicita operatorului în scris revizuirea aplicării restricțiilor. Operatorul îl informează în scris pe responsabilul cu protecția datelor cu privire la rezultatul analizei solicitate.

(3) Operatorul informează RPD la ridicarea restricției.

(4) Operatorul documentează implicarea RPD în diferitele etape ale procesului, începând cu data informării RPD.

(5) Nota internă și, dacă este cazul, elementele de fapt și de drept care stau la baza acesteia, se pun la dispoziția Autorității Europene pentru Protecția Datelor la cerere.

Articolul 5

Furnizarea de informații către persoana vizată

(1) ESMA publică pe site-ul său evidențe privind protecția datelor care informează toate persoanele vizate cu privire la activitățile sale care implică prelucrarea de date cu caracter personal, inclusiv informații legate de eventuala restricționare a drepturilor persoanei vizate.

(2) ESMA informează individual toate persoanele vizate pe care le consideră persoane la care se referă investigația sau ancheta, cu privire la evidența de protecție a datelor pentru operațiunile de prelucrare specifice avute în vedere, fără întârziere și în scris.

(3) În cazuri justificate și în condițiile specificate în această decizie, ESMA poate restricționa, integral sau parțial, furnizarea de informații către persoanele vizate menționate în alineatul (2). În acest caz, documentează, într-o notă internă, motivele restricției, temeiul juridic în conformitate cu articolul 3 din prezenta decizie, în care include o evaluare a necesității și proporționalității restricției.

(4) Restricția menționată la alineatul (3) continuă să se aplice atâta timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu mai sunt aplicabile, ESMA informează persoana vizată în cauză cu privire la evidența de protecție a datelor corespunzătoare și cu privire la principalele motive ale restricției. Această informare poate fi combinată cu o invitație de a prezenta observații cu privire la constatările din investigația sau ancheta în curs, pentru exercitarea dreptului la apărare al persoanei vizate în cauză. În același timp, ESMA informează persoana vizată cu privire la dreptul de a depune oricând o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

ESMA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei sau investigației relevante.

Articolul 6

Dreptul de acces al persoanei vizate

(1) În urma unei cereri a persoanei vizate, ESMA poate restricționa, integral sau parțial, dreptul acestei persoane vizate de a obține o confirmare că ESMA prelucrează sau nu date cu caracter personal care o privesc în contextul unei investigații sau al unei anchete menționate în articolul 1 din prezenta decizie și, în caz afirmativ, poate restricționa dreptul de acces la aceste date și la alte informații menționate la articolul 17 din Regulamentul (UE) 2018/1725.

(2) În cazul în care ESMA restricționează dreptul de acces, informează persoana vizată, în răspunsul său la cerere, cu privire la restricția aplicată și la principalele motive ale acesteia, precum și la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(3) Furnizarea informațiilor menționate la alineatul (2) poate fi amânată, omisă sau refuzată, dacă aceasta ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725. Dacă este cazul, ESMA documentează într-o notă de evaluare internă motivele restricționării, inclusiv o evaluare a necesității și proporționalității restricției și a duratei sale.

(4) ESMA revizuiește aplicarea restricției o dată la șase luni de la adoptare, precum și la închiderea anchetei sau investigației relevante.

Articolul 7

Dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor

(1) În urma unei cereri a persoanei vizate, ESMA, în contextul unei investigații sau al unei anchete menționate în articolul 1 al acestei decizii, poate restricționa integral sau parțial dreptul persoanei vizate respective de a obține rectificarea datelor sale cu caracter personal care o privesc, de a șterge sau de a restricționa prelucrarea datelor sale cu caracter personal conform celor prevăzute în articolele 18, 19 și 20 din Regulamentul (UE) 2018/1725.

(2) În cazul în care ESMA restricționează aplicarea dreptului la rectificare, la ștergerea datelor sau la restricționarea prelucrării, menționate mai sus, va lua măsurile stabilite în articolul 6 alineatele (2) și (3) din prezenta decizie.

(3) ESMA revizuiește aplicarea restricției o dată la șase luni de la adoptare, precum și la închiderea anchetei sau investigației relevante.

Articolul 8

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1) ESMA informează persoana vizată în cauză cu privire la încălcarea securității datelor cu caracter personal fără întârziere în cazul în care încălcarea securității datelor cu caracter personal poate să ducă la un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, conform celor prevăzute în articolul 35 din Regulamentul (UE) 2018/1725.

(2) În cazurile justificate și în condițiile specificate în această decizie, ESMA poate restricționa, integral sau parțial, furnizarea de informații către persoanele vizate menționate în alineatul (1) din acest articol. În acest caz, documentează, într-o notă internă, motivele restricției, temeiul juridic în conformitate cu articolul 3 din prezenta decizie, în care include o evaluare a necesității și proporționalității restricției.

(3) Restricția menționată la alineatul (2) continuă să se aplice atâta timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu mai sunt aplicabile, ESMA informează persoana vizată în cauză cu privire la încălcarea securității datelor cu caracter personal și cu privire la principalele motive ale restricției. În același timp, ESMA informează persoana vizată cu privire la dreptul de a depune oricând o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

ESMA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei sau investigației relevante.

Articolul 9

Intrarea în vigoare

Prezenta decizie intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Helsinki, 1 octombrie 2019.

Pentru Consiliul de administrație

Steven MAIJOOR

Președinte

(1) JO L 295, 21.11.2018, p. 39.

(2) JO L 331, 15.12.2010, p. 84.

(3) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(4) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).