SKLEP UPRAVNEGA ODBORA EVROPSKEGA ORGANA ZA VREDNOSTNE PAPIRJE IN TRGE

z dne 1. oktobra 2019

o notranjih pravilih glede omejitev nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru delovanja organa ESMA

UPRAVNI ODBOR JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) in zlasti člena 25 Uredbe,

ob upoštevanju Uredbe (EU) št. 1095/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski organ za vrednostne papirje in trge) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/77/ES (2), kakor se bo morda dodatno spremenila, razveljavila ali nadomestila, in zlasti člena 71 navedene uredbe,

ob upoštevanju mnenja ENVP z dne 20. junija 2019 in navodil ENVP glede člena 25 nove uredbe in notranjih pravil,

po posvetovanju z odborom uslužbencev,

ob upoštevanju naslednjega:

(1)	Organ ESMA svoje dejavnosti izvaja v skladu z Uredbo (EU) št. 1095/2010 (v nadaljnjem besedilu: uredba ESMA in ESMA), kakor se bo morda dodatno spremenila, razveljavila ali nadomestila.

(2)

Organ ESMA obdeluje več kategorij osebnih podatkov, vključno z „objektivnimi“ podatki (kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali „subjektivnimi“ podatki (povezanimi s primerom, kot so utemeljitev, vedenjski podatki in podatki, povezani s predmetom urejanja postopka ali dejavnosti).

(3)	Organ ESMA, ki ga zastopa izvršni direktor, ima vlogo upravljavca podatkov ne glede na nadaljnje prenose vloge upravljavca znotraj organa ESMA, da se odrazijo operativne pristojnosti za posebne postopke obdelave osebnih podatkov.

(4)

Osebni podatki so varno shranjeni v elektronskem okolju ali na papirju, kar preprečuje nezakonit dostop ali prenos podatkov osebam, ki nimajo potrebe po seznanitvi z njimi. Osebni podatki, ki se obdelujejo, se hranijo le toliko časa, kolikor je potrebno in primerno za namene, za katere se podatki obdelujejo, za obdobje, določeno v evidenci varstva osebnih podatkov in izjavah o varstvu osebnih podatkov organa ESMA.

(5)

Organ ESMA mora pri izvajanju svojih nalog v največji možni meri spoštovati temeljne pravice posameznikov, na katere se nanašajo osebni podatki, zlasti pravico do zagotavljanja informacij, dostopa in popravka, pravico do izbrisa, omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali do zaupnosti obveščanja, kot je določeno v Uredbi (EU) 2018/1725.

(6)

Vendar je lahko organ ESMA dolžan omejiti informacije posamezniku, na katerega se nanašajo osebni podatki, in druge pravice posameznika, na katerega se nanašajo osebni podatki, da zaščiti zaupnost in učinkovitost lastnih preiskav in postopkov drugih javnih organov ter pravice drugih oseb, ki so povezane s preiskavami ali drugimi postopki.

(7)

Organ ESMA lahko v okviru svojega upravnega delovanja izvaja številne preiskave, kot so upravne preiskave, disciplinski postopki, predhodne dejavnosti v zvezi s finančnimi goljufijami, preiskave v zvezi s prijavo nepravilnosti ali primeri nadlegovanja, notranje revizije, preiskave v zvezi z varstvom podatkov ali etiko, IKT, informacijsko varnostjo in dejavnostmi, ki se izvajajo v okviru obvladovanja varnostnih tveganj in incidentov. Poleg tega v okviru izvajanja svojih nalog izvaja preiskave v okviru svoje nadzorne ali izvršilne funkcije, pa tudi preiskave morebitnih kršitev prava Unije in preiskave v zvezi z določeno vrsto finančne dejavnosti, produkta ali ravnanja, da bi ocenil morebitne nevarnosti za celovitost finančnih trgov ali stabilnost finančnega sistema.

(8)

Notranja pravila bi se morala uporabljati za vse postopke obdelave, ki jih izvaja organ ESMA pri izvajanju zgornjih preiskav. Uporabljati bi se morala tudi za postopke obdelave, izvedene pred začetkom zgoraj navedenih preiskav, med temi preiskavami in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh preiskav. Pravila bi morala vključevati tudi pomoč, usklajevanje in/ali sodelovanje, ki ga od organa ESMA zahtevajo nacionalni organi in mednarodne organizacije v okviru svojih upravnih preiskav.

(9)

Organ ESMA bi moral pred uporabo omejitev, določenih v teh notranjih pravilih, preučiti, ali velja katera od izjem iz Uredbe (EU) 2018/1725. V primerih, ko se uporabljajo ta notranja pravila, mora organ ESMA utemeljiti, zakaj so omejitve nujno potrebne in sorazmerne v demokratični družbi, ter spoštovati bistvo temeljnih pravic in svoboščin.

(10)	Organ ESMA bi moral redno spremljati, ali se uporabljajo pogoji, ki upravičujejo omejitev, in odpraviti omejitev, če se ne uporabljajo več.

(11)	Kadar upravljavec na podlagi tega sklepa omejuje uresničevanje nekaterih pravic posameznikov, na katere se nanašajo osebni podatki, bi moral v primeru razširitve ali odprave take omejitve obvestiti pooblaščeno osebo za varstvo podatkov –

SPREJEL NASLEDNJI SKLEP:

Člen 1

Predmet urejanja in področje uporabe

1. Ta sklep določa notranja pravila v zvezi s pogoji, pod katerimi sme organ ESMA v okviru svojih dejavnosti iz odstavkov 2 do 5 omejiti uporabo pravic iz členov 14 do 21, 35 ter člena 4 navedene uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725. Te omejitve se uporabljajo brez poseganja v izjeme pravic posameznika, na katerega se nanašajo osebni podatki, določene v Uredbi (EU) 2018/1725.

2. V okviru upravnega delovanja organa ESMA se omejitve iz točke 1 tega člena uporabljajo za obdelavo osebnih podatkov s strani tega organa za namene:

(a)	administrativnih poizvedb in disciplinskih postopkov;

(b)	nepravilnosti pri obdelavi v povezavi z Evropskim uradom za boj proti goljufijam (OLAF);

(c)	obdelave primerov prijavljanja nepravilnosti, (formalne in neformalne) primere nadlegovanja ter notranje in zunanje pritožbe;

(d)	notranje revizije, preiskave v zvezi z varstvom podatkov ali etiko;

(e)	preiskav v zvezi z IKT, informacijsko varnostjo in dejavnostmi, ki se izvajajo v okviru obvladovanja varnostnih tveganj in incidentov, interno ali z zunanjim sodelovanjem.

3. V okviru izvajanja nalog organa ESMA se omejitve iz točke 1 tega člena uporabljajo za obdelavo osebnih podatkov s strani tega organa za namene:

(a)	preiskav v zvezi z neposredno nadzorno in izvršilno funkcijo organa ESMA;

(b)	preiskav morebitnih kršitev prava Unije na podlagi člena 17 uredbe ESMA in

(c)	preiskav določene vrste finančne dejavnosti, produkta ali ravnanja, da bi ocenil morebitne nevarnosti za celovitost finančnih trgov ali stabilnost finančnega sistema na podlagi člena 22 uredbe ESMA.

4. Poleg tega se te omejitve uporabljajo še za pomoč, usklajevanje in/ali sodelovanje organa ESMA z nacionalnimi organi za vrednostne papirje in trge, vključno z organi tretjih držav, in mednarodnimi organizacijami v okviru preiskav za izvajanje njihovih nalog, predpisanih z zakonodajo.

5. Omejitve iz odstavka 1 tega člena se uporabljajo tudi za postopke obdelave, izvedene pred začetkom preiskav, ali druge upravne poizvedbe iz odstavkov 2 do 4 zgoraj med temi preiskavami in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh preiskav.

6. Ta sklep se uporablja za vse kategorije osebnih podatkov, ki se obdelujejo v okviru dejavnosti, navedenih v odstavkih 2 do 5 zgoraj.

7. Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravico do dostopa, popravka, izbrisa, omejitve obdelave in obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti podatkov.

Člen 2

Upravljavec, odgovoren za preiskave in veljavne zaščitne ukrepe

1. Zaščitni ukrepi, uvedeni za preprečevanje kršitev varnosti osebnih podatkov, uhajanj ali nedovoljenega razkritja, v okviru preiskav iz člena 1 so naslednji:

(a)	dokumenti v papirni obliki se hranijo v zavarovanih omarah in so dostopni le pooblaščenemu osebju;

(b)

vsi elektronski podatki se upravljajo na napravah, informacijskih sistemih, aplikacijah in nosilcih za shranjevanje podatkov, ki jih je odobril organ ESMA. Aplikacije organa ESMA za upravljanje dokumentov se uporabljajo za urejanje, iskanje, izmenjavo in varstvo elektronskih podatkov tega organa. Pooblaščeno osebje organa ESMA ima dostop do elektronskih podatkov le na podlagi potrebe po seznanitvi;

(c)	vse osebe, ki imajo dostop do podatkov, zavezuje obveznost zaupnosti.

2. Upravljavec postopkov obdelave je organ ESMA, ki ga zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. Posameznike, na katere se nanašajo osebni podatki, se o pooblaščenem upravljavcu obvesti prek evidence o varstvu podatkov, objavljene na spletišču organa ESMA.

3. Obdobje hrambe osebnih podatkov, ki se obdelujejo, ni daljše, kot je potrebno in primerno za namene, za katere se podatki obdelujejo. Obdobje hrambe se določi v evidenci o varstvu podatkov in izjavah o varstvu podatkov iz člena 5(1).

4. Če organ ESMA meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov organa ESMA, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.

Člen 3

Omejitve

1. Organ ESMA lahko kakršno koli omejitev uporabi samo za zaščito:

(a)	preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(b)

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti ciljev skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

(c)	notranje varnosti institucij in organov Unije, vključno z varnostjo njihovih elektronskih komunikacijskih omrežij;

(d)	preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;

(e)	spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) in (b);

(f)	varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2. Organ ESMA lahko kot posebno uporabo namenov iz odstavka 1 zgoraj uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami Unije, organi, agencijami in uradi, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

(a)

če bi izvrševanje teh pravic in obveznosti lahko omejile službe Komisije ali druge institucije, organi, agencije in uradi Unije na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali ustanovitvenimi akti drugih institucij, organov, agencij in uradov Unije;

(b)

če bi izvrševanje teh pravic in obveznosti lahko omejili pristojni organi držav članic na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (3) ali v skladu z nacionalnimi ukrepi za prenos členov 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (4);

(c)

če bi izvrševanje teh pravic in obveznosti lahko ogrozilo sodelovanje organa ESMA s tretjimi državami ali mednarodnimi organizacijami pri izvajanju njegovih nalog ali nalog tretjih držav ali mednarodnih organizacij.

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se organ ESMA posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

3. Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

4. Če se preuči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej.

5. Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. Zlasti kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

Člen 4

Pregled s strani pooblaščene osebe za varstvo podatkov

1. Organ ESMA svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev razširi v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do notranjega zaznamka, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter po potrebi temeljna dejstva in pravne elemente, in dokumentira datum obveščanja pooblaščene osebe za varstvo podatkov.

2. Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, da pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3. Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.

4. Upravljavec dokumentira sodelovanje pooblaščene osebe za varstvo podatkov v različnih fazah postopka, začne pa z datumom obveščanja te osebe.

5. Notranji zaznamek ter po potrebi temeljna dejstva in pravne elemente je treba dati na voljo evropskemu nadzorniku za varstvo podatkov na njegov poziv.

Člen 5

Zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki

1. Organ ESMA na svojem spletišču objavlja evidenco varstva podatkov, s katero vse posameznike, na katere se nanašajo osebni podatki, obvešča o svojih dejavnostih, ki vključujejo obdelavo osebnih podatkov, tudi informacije v zvezi z morebitno omejitvijo njihovih pravic.

2. Organ ESMA brez nepotrebnega odlašanja posamično pisno obvesti vse posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva poseben postopek obdelave.

3. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko organ ESMA v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki in ki so navedeni v odstavku 2. V tem primeru v notranjem zaznamku navede razloge za omejitev, in pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.

4. Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Kadar razlogi za omejitev ne veljajo več, organ ESMA zadevnega posameznika, na katerega se nanašajo osebni podatki, obvesti o ustrezni evidenci varstva podatkov in glavnih razlogih za omejitev. Temu obvestilu je v okviru izvrševanja pravice do obrambe zadevnega posameznika, na katerega se nanašajo osebni podatki, lahko priložen poziv k predložitvi ugotovitev preiskave ali poizvedbe, ki poteka. Hkrati organ ESMA obvesti zadevnega posameznika, na katerega se nanašajo osebni podatki, o pravici do vložitve pritožbe pri ENVP kadar koli ali do uveljavljanja pravnega sredstva na Sodišču Evropske unije.

Organ ESMA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe ali preiskave.

Člen 6

Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa

1. Organ ESMA lahko po predložitvi zahteve posameznika, na katerega se nanašajo osebni podatki, v celoti ali delno omeji njegovo pravico do pridobitve potrditve, ali ta organ v okviru preiskave ali poizvedbe iz člena 1 tega sklepa v zvezi z njim obdeluje osebne podatke ali ne, in če je tako, pravico do dostopa do teh podatkov in drugih informacij iz člena 17 Uredbe (EU) 2018/1725.

2. Če organ ESMA omeji pravico do dostopa, mora zadevnega posameznika, na katerega se nanašajo osebni podatki, v svojem odgovoru obvestiti o uporabljeni omejitvi in glavnih razlogih za takšno omejitev ter o možnosti za vložitev pritožbe pri Evropskemu nadzorniku za varstvo podatkov ali uveljavljanja pravnega sredstva na Sodišču Evropske unije.

3. Posredovanje informacij iz odstavka 2 se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725. V tem primeru organ ESMA v notranji oceni navede razloge za omejitev, vključno z oceno nujnosti, sorazmernosti omejitve in njenega trajanja.

4. Organ ESMA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe ali preiskave.

Člen 7

Pravica do popravka, izbrisa in omejitve obdelave

1. Organ ESMA lahko po predložitvi zahteve posameznika, na katerega se nanašajo osebni podatki, v okviru preiskave ali poizvedbe iz člena 1 tega sklepa v celoti ali delno omeji njegovo pravico do popravka osebnih podatkov, povezanih z njim, do izbrisa ali omejitve obdelave njegovih osebnih podatkov, kot je določeno v členih 18, 19 in 20 Uredbe (EU) 2018/1725.

2. Če organ ESMA omeji uporabo zgoraj navedene pravice do popravka, izbrisa ali omejitve obdelave, sprejme ukrepe iz členov 6(2) in 6(3) tega sklepa.

3. Organ ESMA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe ali preiskave.

Člen 8

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, kot je določeno v členu 35 Uredbe (EU) 2018/1725, organ ESMA brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2. V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko organ ESMA v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 1 tega člena. V tem primeru v notranjem zaznamku navede razloge za omejitev, in pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.

3. Omejitev iz odstavka 2 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Kadar razlogi za omejitev ne veljajo več, organ ESMA obvesti zadevnega posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov in glavnih razlogih za omejitev. Hkrati organ ESMA obvesti zadevnega posameznika, na katerega se nanašajo osebni podatki, o pravici, da se pri Evropskem nadzorniku za varstvo podatkov kadar koli ali do uveljavljanja pravnega sredstva na Sodišču Evropske unije vloži pritožba.

Organ ESMA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe ali preiskave.

Člen 9

Začetek veljavnosti

Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.

V Helsinkih, 1. oktobra 2019

Za upravni odbor

Steven MAIJOOR

Predsednik

(1) UL L 295, 21.11.2018, str. 39.

(2) UL L 331, 15.12.2010, str. 84.

(3) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(4) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).