Декларация за защита на личните данни във връзка с платформата на ЕЦБ за докладване на нарушения

Правна рамка за защита на данните, приложима за ЕЦБ

Всички лични данни се обработват в съответствие със законодателството на ЕС за защита на данните, а именно Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО.

Какви данни събира ЕЦБ и по какъв начин?

ЕЦБ събира чувствителна информация и лични данни, свързани с лицата, които сигнализират за предполагаемо нарушение на приложимото законодателство на Европейския съюз. ЕЦБ също така събира чувствителна информация и лични данни, свързани с лицата, за които се твърди, че са извършили нарушение, както и за други засегнати страни, споменати в изпратените посредством платформата за докладване на нарушения сигнали. ЕЦБ също така обработва данни на свои служители или служители на национални компетентни органи (национални надзорни органи), както и данни на други лица, споменати в съобщение за нарушение или в произтичащо от такова съобщение досие. Ако ЕЦБ прецени, че тези лица нямат отношение към случая, тя ще прекрати обработката на техните данни.

Тъй като чрез платформата е възможно да се подаде анонимен сигнал за нарушение на приложимото законодателство на ЕС, лицата, които съобщават за предполагаемото нарушение, не са по никакъв начин задължени да разкрият свои лични данни. Не може да се изключи обаче възможността в процеса на разследване по сигнал ЕЦБ да получи информация, съдържаща идентификационни данни (включително името и фамилията на дадено лице, дата и място на раждане, адрес, телефонен номер, факс, имейл адрес, IP адрес), професионални данни (включително професия, работодател и длъжност) или финансови данни (включително фишове за заплата, банкови сметки и портфейли от ценни книжа).

Кой отговаря за обработката на личните данни, събрани посредством платформата за докладване на нарушения?

ЕЦБ е администраторът за обработването на личните данни, събрани посредством платформата за докладване на нарушения, а звеното, което отговаря за обработката на тези данни, е секция „Привеждане в изпълнение“ на отдел „Привеждане в изпълнение и санкции“.

Подадената в платформата информация подлежи и на външна обработка, която се извършва от името на ЕЦБ от надежден доставчик – трета страна: EQS Group AG. EQS Group AG няма достъп до съдържанието на съобщенията.

Защо и с какво правно основание обработва ЕЦБ лични данни?

ЕЦБ разработи своята платформа за докладване на нарушения, за да може тя да бъде използвана от всеки, който добросъвестно и с разумно основание счита, че поднадзорно лице или компетентен орган (национален надзорен орган, наричан още национален компетентен орган, или ЕЦБ) е нарушил правните актове, посочени в член 4, параграф 3 от Регламент (ЕС) № 1024/2013 на Съвета (Регламента за ЕНМ), и желае да изпрати на ЕЦБ релевантната информация.

Личните данни се събират и обработват от отдел „Привеждане в изпълнение и санкции“ и EQS Group AG в съответствие с член 5, параграф 1, буква a) от Регламент 2018/1725.

Кой има достъп до предоставената информация и на кого се разкрива тя?

Подадената чрез платформата за докладване на нарушения информация подлежи на външна обработка, която се извършва от името на ЕЦБ от доставчик – трета страна: EQS Group AG. Тя се обработва посредством система за съхранение в облак, чиито сървъри се намират в Германия. До нея имат достъп само потребители от ЕЦБ.

В рамките на ЕЦБ за обработката на докладите, подадени чрез платформата за докладване на нарушения, отговаря секция „Привеждане в изпълнение“ и нейните членове са обвързани от строг режим на поверителност. Секция „Привеждане в изпълнение“ решава дали да препрати информацията към компетентни структурни звена в ЕЦБ и/или до компетентни органи (национални надзорни органи) съгласно Регламента за ЕНМ.

Единственото намерение на ЕЦБ при предоставянето на платформата за докладване на нарушения е да получава информация за нарушения на приложимото законодателство на Европейския съюз, извършени от поднадзорна банка, национален надзорен орган или самата ЕЦБ.

Ако ЕЦБ получи съобщение, свързано с нарушение на приложимото законодателство на ЕС, информацията се предава на компетентното структурно звено в ЕЦБ и/или на националните надзорни органи. ЕЦБ обаче третира такива съобщения като „защитени доклади“. Това означава, че ЕЦБ не разкрива самоличността или личните данни на лицето или лицата, изпратили защитения доклад посредством платформата за докладване на нарушения, без преди това да е получила изричното им съгласие, освен ако такова разкриване не е поискано със съдебно разпореждане с оглед на по-нататъшни разследвания или последващо съдебно производство.

Ако ЕЦБ получи съобщение, което не е свързано с нарушение на приложимото законодателство на ЕС, но все пак засяга други нейни задачи, информацията се препраща на компетентното структурно звено в ЕЦБ. Прилагат се общите стандарти на ЕЦБ за защита на данните.

Ако ЕЦБ получи съобщение, за което прецени, че е свързано с нарушения на разпоредби на законодателство на ЕС, което не попада в обхвата на определението за „приложимо законодателство на ЕС“ (например борба с изпирането на пари и финансирането на терористична дейност, защита на потребителите или надзор на платежните услуги), и което не засяга други задачи на ЕЦБ, тя заличава получените лични данни и не препредава никаква информация. Прилагат се общите стандарти на ЕЦБ за защита на данните.

Все пак е възможно нарушения на разпоредби от законодателството на ЕС, което не попада в дефиницията на „приложимо законодателство“, да разкриват нарушения на пруденциални изисквания. Така например, нарушения на разпоредби, свързани с борбата с изпирането на пари и финансирането на терористична дейност, могат да бъдат признак за слабо институционално управление и механизми за вътрешен контрол, чието устройство е определено в разпоредби, свързани с пруденциалния надзор над кредитните институции. Ето защо ЕЦБ може да третира такива съобщения като „защитени доклади“, свързани с нарушения на приложимо законодателство на ЕС, в зависимост от всеки отделен случай, и информацията се препраща към компетентните структурни звена в ЕЦБ и/или към националните надзорни органи съгласно Регламента за ЕНМ.

Наред с това информацията, получена от съобщенията за нарушения, може да бъде препратена от ЕЦБ към националните органи, отговарящи за борбата с изпирането на пари, ако: i) съобщенията съдържат информация, която е релевантна и необходима за изпълнението на задачите на тези органи, както са описани в Многостранното споразумение относно практическите условия за обмена на информация между ЕЦБ и компетентните органи за борба с изпирането на пари и с финансирането на тероризма и ii) информацията е свързана с вътрешната система и механизми за контрол на поднадзорно лице.

Колко дълго съхранява ЕЦБ личните данни, получени чрез платформата за докладване на нарушения?

След като дадено досие бъде закрито, всички релевантни лични данни се съхраняват за определен период от време, както е описано по-долу.

Ако бъде преценено, че полученият от ЕЦБ сигнал е релевантен за нейните надзорни задачи, данните се съхраняват в продължение на пет години. Ако бъде преценено, че сигналът не е релевантен за надзорните задачи на ЕЦБ, но все пак засяга други нейни задачи, данните се съхраняват в продължение на дванадесет месеца. Ако ЕЦБ прецени, че сигналът не е релевантен за никоя от нейните задачи, данните се съхраняват в продължение на три месеца.

Предаване на лични данни към държави извън ЕС

ЕЦБ участва в редица споразумения за сътрудничество и ще продължи да сключва такива споразумения с други органи или международни организации. Възможно е тези организации да поискат лични данни от досиета по сигнали за нарушения на законодателството на ЕС. В подобни случаи ЕЦБ е задължена да спази определени правила за предаването на лични данни към получатели в държави извън ЕС, където не се прилага законодателството на ЕС за защита на данните. Тези правила са описани в глава V от Регламента за защита на данните.

Вашите права

Имате право на достъп до личните си данни, както и да ги коригирате, да ограничите или възразите срещу обработването им и при определени обстоятелства да поискате данните Ви да бъдат заличени. Можете да упражните правата си, като се свържете със секция „Привеждане в изпълнение“ на следния адрес:

European Central Bank
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt

Имате също така право по всяко време да се обърнете към Европейския надзорен орган по защита на данните във връзка с обработването на Вашите лични данни.

Повече информация

Ако имате въпроси относно обработването на Вашите лични данни или Вашите права, можете да се свържете с длъжностното лице на ЕЦБ за защита на данните (dpo@ecb.europa.eu).