EUROPEISKA VÄRDEPAPPERS- OCH MARKNADSMYNDIGHETENS STYRELSES BESLUT

av den 1 oktober 2019

om antagande av interna regler om begränsningar av vissa rättigheter som registrerade har med avseende på behandling av personuppgifter inom ramen för Esmas verksamhet

STYRELSEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (2) som kan ändras ytterligare, upphävas eller ersättas, särskilt artikel 71,

med beaktande av Europeiska datatillsynsmannens yttrande av den 20 juni 2019 och av Europeiska datatillsynsmannens riktlinjer för den nya förordningens artikel 25 och interna regler,

efter att ha hört personalkommittén, och

av följande skäl:

(1)	Esma utför sitt uppdrag i enlighet med Europaparlamentets och rådets förordning (EU) nr 1095/2010 (Esmaförordningen och Esma), som kan ändras ytterligare, upphävas eller ersättas.

(2)

Esma behandlar flera olika kategorier av personuppgifter, däribland ”objektiva data” (såsom identifikationsuppgifter, kontaktuppgifter, uppgifter om yrke, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller ”subjektiva” data (som rör ärendet, såsom motivering, beteendedata, uppgifter om uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten.

(3)	Esma fungerar, företrädd av sin verkställande direktör, som personuppgiftsansvarig, oberoende av om denna uppgift vidaredelegeras inom Esma för att återspegla ett operativt ansvar för en viss specifik behandling av personuppgifter.

(4)

Personuppgifterna lagras på ett säkert sätt i en elektronisk miljö eller i pappersform, vilket förhindrar olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. De behandlade personuppgifterna lagras inte längre än vad som är nödvändigt och lämpligt för de ändamål för vilka uppgifterna behandlas under den tid som anges i dataskyddsregistren och Esmas integritetsmeddelanden.

(5)

Vid utförandet av sitt uppdrag måste Esma så långt som möjligt respektera de registrerades grundläggande rättigheter, särskilt dem som rör rätten till information, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation i enlighet med förordning (EU) 2018/1725.

(6)

Esma kan dock tvingas begränsa registrerades tillgång till information eller andra rättigheter som tillkommer den registrerade för att särskilt skydda konfidentialiteten och effektiviteten hos sina egna utredningar, andra myndigheters utredningar och rättigheterna för andra personer som är anknutna till Esmas utredningar eller andra förfaranden.

(7)

Esma får inom ramen för sin administrativa verksamhet genomföra ett antal utredningar, såsom administrativa utredningar, disciplinförfaranden, förberedande verksamhet vid fall av ekonomiskt bedrägeri, utredningar avseende ärenden som rör visselblåsning och trakasserier, internrevisioner, dataskydds- eller etikutredningar, IKT-utredningar, utredningar som rör informationssäkerhet och verksamhet som utförs inom ramen för säkerhetsrisker och hantering av incidenter. Dessutom genomför Esma, vid utövandet av sitt uppdrag, utredningar som rör dess direkta funktioner för tillsyn eller efterlevnadskontroll och får genomföra utredningar av potentiella brott mot unionslagstiftningen samt utredningar av särskilda typer av ekonomisk aktivitet eller typer av produkter eller beteende för att kunna bedöma potentiella hot mot finansmarknadernas integritet eller det finansiella systemets stabilitet.

(8)

De interna reglerna bör gälla för all uppgiftsbehandling som genomförs av Esma vid utförandet av de ovannämnda utredningarna. Dessa interna regler bör också gälla för uppgiftsbehandling som utförs före inledandet av ovannämnda utredningar, under dessa utredningar samt under kontrollen av uppföljningen av dessa utredningars resultat. Även bistånd, samordning och/eller samarbete som nationella myndigheter och internationella organisationer begär från Esma inom ramen för sina egna administrativa utredningar bör omfattas.

(9)

Innan man tillämpar några av de begränsningar som föreskrivs i dessa interna regler, ska Esma överväga om några av de undantag som fastställs i förordning (EU) 2018/1725 är tillämpliga. När begränsningar enligt dessa interna regler tillämpas måste Esma förklara varför dessa begränsningar är absolut nödvändiga och proportionella i ett demokratiskt samhälle och förenliga med andemeningen i de grundläggande rättigheterna och friheterna.

(10)	Esma bör övervaka om de förutsättningar som motiverar begränsningen fortsätter att gälla och häva begränsningarna när de inte längre gäller.

(11)	Den personuppgiftsansvarige bör informera dataskyddsombudet när man begränsar tillämpningen av vissa registrerades rättigheter enligt detta beslut, när man utökar sådana begränsningar och när begränsningarna hävs.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte och tillämpningsområde

1. Genom detta beslut fastställs interna regler gällande villkoren för hur Esma inom ramen för den verksamhet som anges i punkterna 2–5 får begränsa tillämpningen av de rättigheter som fastställs i artiklarna 14–21 och 35 samt artikel 4, i överensstämmelse med artikel 25 i förordning (EU) 2018/1725. Dessa begränsningar påverkar inte de undantag för registrerades rättigheter som fastställs i förordning (EU) 2018/1725.

2. Inom ramen för Esmas administrativa verksamhet gäller de begränsningar som anges i punkt 1 i denna artikel för behandling av personuppgifter i följande syften:

a)	Administrativa utredningar och disciplinförfaranden.

b)	Handläggning av oegentligheter i samarbete med Europeiska byrån för bedrägeribekämpning (Olaf).

c)	Handläggning av ärenden som rör visselblåsning (formella och informella), ärenden som rör trakasserier samt interna och externa klagomål.

d)	Internrevisioner, dataskydds- eller etikutredningar.

e)	IKT-utredningar, informationssäkerhetsutredningar och verksamhet som utförs rörande säkerhetsrisker och hantering av incidenter, som hanteras internt eller med extern hjälp.

3. Inom ramen för Esmas uppdrag gäller de begränsningar som anges i punkt 1 i denna artikel för behandling av personuppgifter i följande syften:

a)	Utredningar som rör Esmas direkta funktioner för tillsyn och efterlevnadskontroll.

b)	Utredningar av potentiella brott mot unionslagstiftningen enligt artikel 17 i Esmaförordningen.

c)	Utredningar som rör en särskild typ av ekonomisk aktivitet eller typ av produkt eller typ av beteende för att bedöma potentiella hot mot finansmarknadernas integritet eller det finansiella systemets stabilitet enligt artikel 22 i Esmaförordningen.

4. Därutöver gäller dessa begränsningar för bistånd, samordning och/eller samarbete som Esma tillhandahåller till nationella värdepappers- och marknadsmyndigheter, däribland myndigheter i tredjeländer, och internationella organisationer inom ramen för utredningar som genomförs inom ramen för utövandet av dess lagstadgade uppdrag.

5. De begränsningar som avses i punkt 1 i denna artikel gäller också för uppgiftsbehandling som utförs innan utredningarna eller de andra administrativa utredningar som avses i artiklarna 2–4 inleds och under övervakningen av uppföljning av resultatet av dessa utredningar.

6. Detta beslut gäller för alla kategorier av personuppgifter som behandlas inom ramen för den verksamhet som beskrivs i punkterna 2–5.

7. Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling och information till den registrerade om en personuppgiftsincident.

Artikel 2

Personuppgiftsansvarig som ansvarar för utredningar och tillämpliga skyddsåtgärder

1. Följande skyddsåtgärder har vidtagits för att förhindra personuppgiftsincidenter, dataläckor och obehörigt röjande inom ramen för de utredningar som avses i artikel 1:

a)	Pappersdokument ska förvaras i låsbara skåp och endast vara åtkomliga för behörig personal.

Alla elektroniska uppgifter ska hanteras med Esmas godkända hjälpmedel, informationssystem, applikationer och lagringsresurser. Esmas applikationer för dokumenthanteringssystem ska användas för att organisera, hitta, dela, bevara och skydda Esmas elektroniska uppgifter. Esmas behöriga personal ska bara ges tillgång till elektroniska uppgifter om de har behov av att ta del av dem.

c)	Alla som har tillgång till uppgifterna är bundna av tystnadsplikt.

2. Esma fungerar, företrädd av sin verkställande direktör, som personuppgiftsansvarig vid behandlingen och får vidaredelegera denna uppgift. Registrerade ska underrättas om delegeringen via dataskyddsregistren som publiceras på Esmas webbplats.

3. Lagringsperioden för de personuppgifter som behandlas får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Lagringsperioden ska anges i de dataskyddsregister och integritetsmeddelanden som avses i artikel 5.1.

4. När Esma överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter vägas mot i synnerhet risken för andra registrerades rättigheter och friheter samt risken för att upphäva verkningarna av Esmas utredningar eller förfaranden, t.ex. genom förstörande av bevismaterial. Riskerna för den registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

Artikel 3

Begränsningar

1. Eventuella begränsningar ska endast tillämpas av Esma i syfte att säkerställa

a)	förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

andra av unionens eller en medlemsstats viktiga mål av allmänt intresse, särskilt målen för unionens gemensamma utrikes- och säkerhetspolitik eller något av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

c)	den inre säkerheten i unionsinstitutioner och unionsorgan, inbegripet deras elektroniska kommunikationsnät,

d)	förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

e)	en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som avses i leden a och b,

f)	skydd av den registrerade eller andras rättigheter och friheter.

2. Esma får, i specifika fall inom ramen för de ändamål som anges i punkt 1, begränsa rättigheter och skyldigheter vad gäller personuppgifter som utbyts med kommissionens avdelningar eller unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, eller med internationella organisationer, om

utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av kommissionens avdelningar eller unionens övriga institutioner, organ och byråer på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller med grundläggande rättsakter för andra av unionens institutioner, organ och byråer,

utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av medlemsstaternas behöriga myndigheter på grundval av rättsakter som avses i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (3), eller enligt nationella bestämmelser som införlivar artiklarna 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (4),

utövandet av dessa rättigheter och skyldigheter skulle kunna äventyra Esmas samarbete med tredjeland eller internationella organisationer vid utförandet av dess arbetsuppgifter eller av tredje lands eller internationella organisationers arbetsuppgifter.

Innan begränsningar tillämpas i fall som avses i första stycket leden a och b ska Esma samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter, såvida det inte är uppenbart för Esma att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3. Eventuella begränsningar ska vara nödvändiga och proportionella med beaktande av riskerna för de registrerades rättigheter och friheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

4. Om myndigheten överväger att tillämpa begränsningar ska ett behovs- och proportionalitetstest genomföras på grundval av gällande bestämmelser. Detta ska dokumenteras genom en intern bedömningsnotering, i redovisningssyfte, i varje enskilt fall.

5. Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller. Detta gäller i synnerhet om myndigheten inte längre anser att utövandet av den begränsade rättigheten skulle upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.

Artikel 4

Omprövning av dataskyddsombudet

1. Den personuppgiftsansvarige ska utan onödigt dröjsmål underrätta sitt dataskyddsombud när den personuppgiftsansvarige begränsar tillämpningen av de registrerades rättigheter eller utvidgar begränsningen med stöd i detta beslut. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den interna notering som innehåller bedömningen av behovet och proportionaliteten för begränsningen samt, i tillämpliga fall, bakomliggande faktiska och rättsliga omständigheter och dokumentera datumet då man informerat dataskyddsombudet.

2. Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige omprövar tillämpningen av begränsningarna. Den personuppgiftsansvarige ska skriftligen underrätta dataskyddsombudet om resultatet av omprövningen.

3. Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.

4. Den personuppgiftsansvarige ska dokumentera dataskyddsombudets inblandning i de olika stegen i behandlingen med början vid det datum då dataskyddsombudet informeras.

5. Den interna noteringen och, i tillämpliga fall, bakomliggande faktiska och rättsliga omständigheter ska göras tillgängliga för den europeiska datatillsynsmannen på begäran.

Artikel 5

Tillhandahållande av information till registrerade

1. Esma ska på sin webbplats offentliggöra dataskyddsregister för att informera alla registrerade om sin verksamhet rörande personuppgiftsbehandling, däribland information om potentiella begränsningar av registrerades rättigheter.

2. Esma ska, skriftligen och utan onödigt dröjsmål, enskilt meddela alla registrerade som man anser vara personer som berörs av utredningen eller undersökningen om dataskyddsregistren för den specifika behandlingsverksamhet det gäller.

3. I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får Esma helt eller delvis begränsa det tillhandahållande av information till registrerade som avses i punkt 2. I detta fall ska man i en intern notering dokumentera skälen för begränsningen och den rättsliga grunden i enlighet med artikel 3 i detta beslut, inklusive en bedömning av om begränsningen är nödvändig och proportionerlig.

4. Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.

När skälen till begränsningen inte längre är tillämpliga ska Esma meddela den berörda registrerade om den relevanta dataskyddsdokumentationen och om de huvudsakliga skälen till begränsningen. Detta meddelande kan kombineras med en inbjudan att yttra sig om resultatet av den pågående utredningen eller undersökningen, som en del av den berörda registrerades utövande av sin rätt till försvar. Samtidigt ska Esma informera den berörda registrerade om rätten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Esma ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen eller utredningen avslutas.

Artikel 6

Registrerades rätt till tillgång

1. Efter en registrerads begäran får Esma, helt eller delvis, begränsa denna registrerades rätt att få information om huruvida personuppgifter som berör honom eller henne behandlas av Esma inom ramen för en sådan utredning eller undersökning som avses i artikel 1 i detta beslut och, när så är fallet, rätten till tillgång till dessa uppgifter och till annan information som avses i artikel 17 i förordning (EU) 2018/1725.

2. När Esma begränsar rätten till tillgång ska man informera berörd registrerad, i sitt svar på dennes begäran, om den begränsning som tillämpas och de huvudsakliga skälen till denna samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller att begära rättslig prövning vid Europeiska unionens domstol.

3. Tillhandahållandet av information som avses i punkt 2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning i enlighet med artikel 25.8 i förordning (EU) 2018/1725.Om så är fallet ska Esma genom en intern bedömningsnotering dokumentera skälen till begränsningen, däribland en bedömning av begränsningens nödvändighet och proportionalitet samt dess varaktighet.

4. Esma ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när utredningen eller undersökningen avslutas.

Artikel 7

Rätt till rättelse, radering och begränsning av behandling

1. Efter en registrerads begäran får Esma, inom ramen för en sådan utredning eller undersökning som avses i artikel 1 i detta beslut, helt eller delvis, begränsa denna registrerades rätt att rätta personuppgifter som berör honom eller henne, att radera eller begränsa behandlingen av hans eller hennes personuppgifter såsom fastställs i artiklarna 18, 19 och 20 i förordning (EU) 2018/1725.

2. Om Esma begränsar tillämpningen av den rätt till rättelse, radering eller begränsning av behandling som avses ovan, ska man vidta de åtgärder som fastställs i artiklarna 6.2 och 6.3 i detta beslut.

3. Esma ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när utredningen eller undersökningen avslutas.

Artikel 8

Information till den registrerade om en personuppgiftsincident

1. Esma ska meddela en personuppgiftsincident till den berörda registrerade utan onödigt dröjsmål när det är troligt att en personuppgiftsincident kan innebära en hög risk för fysiska personers rättigheter och friheter, såsom anges i artikel 35 i förordning (EU) 2018/1725.

2. I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får Esma, helt eller delvis, begränsa det tillhandahållande av information till de registrerade som avses i punkt 1 i denna artikel. I detta fall ska man i en intern notering dokumentera skälen för begränsningen och den rättsliga grunden i enlighet med artikel 3 i detta beslut, däribland en bedömning av behovet och proportionaliteten av begränsningen.

3. Den begränsning som avses i punkt 2 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.

När skälen för begränsningen inte längre är tillämpliga ska Esma meddela den registrerade om personuppgiftsincidenten och informera den registrerade om de huvudsakliga skälen för begränsningen. Samtidigt ska Esma informera den berörda registrerade om rätten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Esma ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen eller utredningen avslutas.

Artikel 9

Ikraftträdande

Detta beslut träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Helsingfors den 1 oktober 2019.

På styrelsens vägnar

Steven MAIJOOR

Ordförande

(1) EUT L 295, 21.11.2018, s. 39.

(2) EUT L 331, 15.12.2010, s. 84.

(3) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(4) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).