Prohlášení o ochraně osobních údajů pro účely platformy ECB pro oznámení porušení předpisů
Právní rámec pro ochranu údajů, jenž se vztahuje na ECB
Veškeré osobní údaje jsou zpracovávány v souladu s právními předpisy EU na ochranu údajů, jmenovitě s nařízením Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES.
Jaké údaje ECB shromažďuje a jak jsou tyto údaje shromažďovány?
ECB shromažďuje citlivé informace a osobní údaje týkající se osob, které oznamují podezření z porušení příslušného právního předpisu Evropské unie. ECB rovněž shromažďuje citlivé informace a osobní údaje související s osobami, u nichž je podezření, že se dopustily porušení, i se zúčastněnými ostatními stranami, které jsou uvedeny v oznámeních porušení předložených prostřednictvím platformy pro oznámení porušení předpisů. ECB dále zpracovává údaje o všech osobách, které pracují pro ni nebo pro vnitrostátní příslušný orgán (vnitrostátní orgán dohledu), i údaje o všech dalších osobách uvedených v oznámení porušení nebo v následné složce k případu. Zjistí-li ECB, že tyto osoby nemají k případu žádnou souvztažnost, jejich údaje dále nezpracovává.
Vzhledem k tomu, že je prostřednictvím platformy pro oznámení porušení předpisů možné oznamovat porušení příslušných právních předpisů EU anonymně, osoby oznamující podezření z porušení nejsou žádným způsobem povinny poskytovat své osobní údaje. Není však možné vyloučit možnost, že během ověřování oznámení může ECB obdržet informace obsahující identifikační údaje (včetně jména a příjmení určité osoby, jejího data a místa narození, adresy, telefonního čísla, faxového čísla, emailové adresy a IP adresy), profesní údaje (včetně povolání osoby, zaměstnavatele a pracovního zařazení) nebo finanční údaje (včetně mzdových výpisů, údajů o bankovních účtech a portfolií cenných papírů).
Kdo odpovídá za zpracování osobních údajů shromažďovaných prostřednictvím platformy pro oznámení porušení?
Správcem v oblasti zpracování osobních údajů shromažďovaných prostřednictvím platformy pro oznámení porušení předpisů je ECB, přičemž organizační složkou ECB odpovědnou za zpracování těchto údajů je odbor vynucování a sankcí.
Informace předložené prostřednictvím platformy pro oznámení porušení předpisů jsou pro ECB zpracovávány externě také bezpečnou třetí stranou – společností EQS Group AG. EQS Group AG nemá k obsahu podání přístup.
Proč a na jakém právním základě zpracovává ECB osobní údaje?
ECB vyvinula svou platformu pro oznámení porušení předpisů, kterou může použít každý, kdo jedná v dobré víře, má přiměřené důvody se domnívat, že dohlížený subjekt nebo příslušný orgán (vnitrostátní orgán dohledu také označovaný jako vnitrostátní příslušný orgán nebo ECB) porušil právní akty, na něž se odkazuje v čl. 4 odst. 3nařízení Rady (EU) č. 1024/2013 (nařízení o SSM), a přeje si ECB předložit relevantní informace.
Osobní údaje shromažďuje a zpracovává v souladu s čl. 5 odst. 1 písm. a) nařízení 2018/1725 odbor vynucování a sankcí a EQS Group AG.
Kdo má k předloženým informacím přístup a komu jsou poskytovány?
Informace předložené prostřednictvím platformy pro oznámení porušení předpisů jsou pro ECB zpracovávány externě třetí stranou – společností EQS Group AG. Informace předložené prostřednictvím platformy pro oznámení porušení předpisů jsou zpracovávány prostřednictvím cloudového úložného systému se servery umístěnými v Německu. K předloženým informacím mají přístup pouze uživatelé ECB.
V rámci ECB odpovídá za zpracování oznámení předložených prostřednictvím platformy pro oznámení porušení předpisů odbor vynucování a sankcí. Jeho pracovníci jsou vázáni přísným režimem zachovávání mlčenlivosti. Odbor vynucování a sankcí rozhoduje, zda podle nařízení o SSM předá informace příslušným organizačním složkám ECB nebo příslušným orgánům (vnitrostátním orgánům dohledu).
Jediným záměrem ECB při zajišťování platformy pro oznámení porušení předpisů je získávat informace o porušení příslušných právních předpisů Evropské unie ze strany dohlížených bank, vnitrostátních orgánů dohledu a samotné ECB.
Pokud ECB obdrží oznámení související s porušením příslušného právního předpisu EU, bude informace předána příslušné organizační složce ECB nebo vnitrostátním orgánům dohledu. S těmito oznámeními však bude ECB nakládat jako s „chráněnými oznámeními“. To znamená, že ECB nesdělí totožnost nebo osobní údaje osoby nebo osob, která(é) předložila(y) chráněné oznámení prostřednictvím platformy pro oznámení porušení předpisů bez předchozího výslovného souhlasu této osoby nebo těchto osob s výjimkou případu, kdy je toto poskytnutí informací vyžadováno na základě soudního příkazu v souvislosti s dalším vyšetřováním nebo následným soudním řízením.
Pokud ECB obdrží oznámení, které nesouvisí s porušením příslušných právních předpisů EU, ale týká se ostatních úkolů ECB, budou tyto informace předány příslušné organizační složce ECB. Uplatňují se všeobecné standardy ochrany údajů ECB.
Obdrží-li ECB oznámení, která podle jejího rozhodnutí souvisejí s porušením ustanovení právního předpisu EU, k němuž ECB není příslušná (např. boj proti praní peněz a financování terorismu, ochrana spotřebitelů nebo dohled nad platebními službami) a která se netýkají ostatních úkolů ECB, přijaté osobní údaje vymaže, aniž by jakékoli informace dále předávala. Uplatňují se všeobecné standardy ochrany údajů ECB.
Porušení ustanovení právních předpisů, k nimž ECB není příslušná, však mohou ukázat na porušení obezřetnostních požadavků. Například porušení ustanovení týkajících se boje proti praní peněz a financování terorismu (AML/CFT) mohou být příznakem chybné správy a řízení a vnitřních kontrolních mechanismů, jejichž struktura je stanovena v pravidlech upravujících obezřetnostní dohled nad úvěrovými institucemi. S takovými oznámeními může proto ECB jednotlivě nakládat jako s „chráněnými oznámeními“ souvisejícími s porušením příslušných právních předpisů EU a informace je předána podle nařízení o SSM příslušné organizační složce ECB nebo vnitrostátním orgánů dohledu.
Informace přijaté v oznámeních o porušení může ECB předat vnitrostátním orgánům odpovědným za boj proti praní peněz, pokud i) oznámení obsahuje informace, které jsou rozhodné a nezbytné pro plnění úkolů těmito orgány, jak to předpokládá mnohostranná dohoda o praktických podmínkách výměny informací mezi ECB a příslušnými orgány zabývajícími se AML/CFT, a ii) informace se vztahují k vnitřním systémům a kontrolním mechanismům dohlíženého subjektu.
Jak dlouho uchovává ECB osobní údaje předložené prostřednictvím platformy pro oznámení porušení předpisů?
Poté, co byla složka případu uzavřena, se veškeré příslušné údaje ukládají po dobu uchování údajů, která je uvedena níže.
Je-li oznámení přijeté ECB považováno za příslušné z hlediska úkolů ECB v oblasti dohledu, budou údaje uchovány po dobu pěti let. Není-li oznámení považováno za příslušné z hlediska úkolů ECB v oblasti dohledu, ale přesto se týká ostatních úkolů ECB, budou údaje uchovány po dobu 12 měsíců. Rozhodne-li ECB, že oznámení není příslušné z hlediska jakýchkoli úkolů ECB, budou údaje uchovány po dobu třech měsíců.
Přenos osobních údajů do zemí mimo EU
ECB je smluvní stranou několika dohod o spolupráci a dohody tohoto druhu s dalšími orgány nebo mezinárodními organizacemi bude nadále uzavírat. Tyto organizace mohou požadovat osobní údaje ze složek případů oznámení podezření z porušení právních předpisů EU. Tehdy je ECB povinna dodržovat specifická pravidla pro přenos osobních údajů na příjemce nacházející se mimo země EU, v nichž se právní předpisy EU na ochranu údajů neuplatňují. Tato pravidla jsou uvedena v kapitole V nařízení o ochraně osobních údajů.
Vaše práva
Máte právo požádat o přístup ke svým osobním údajům a o jejich opravu, omezit jejich zpracovávání nebo proti němu podat námitku a za určitých podmínek požádat o jejich výmaz. Svá práva můžete uplatnit na této adrese:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
V oblasti zpracování Vašich osobních údajů máte dále právo se kdykoli obrátit na evropského inspektora ochrany údajů.
Další informace
Máte-li jakékoli dotazy týkající se zpracování Vašich osobních údajů nebo Vašich práv, můžete se obrátit na inspektora ECB pro ochranu údajů (dpo@ecb.europa.eu).