Menu

Databeskyttelseserklæring for ECB's whistleblowingplatform

Den gældende retlige ramme for databeskyttelse i ECB

Alle personoplysninger behandles i overensstemmelse med EU's databeskyttelseslovgivning, nemlig Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF.

Hvilke data indsamler ECB, og hvordan indsamles de?

ECB indsamler følsomme oplysninger og personoplysninger om personer, der indberetter en mistanke om en overtrædelse af relevant EU-lovgivning. ECB indsamler følsomme oplysninger og personoplysninger om personer, der påstås at have begået en overtrædelse, og om andre involverede parter, som er nævnt i indberetninger om overtrædelser, der indsendes via whistleblowingplatformen. ECB behandler også personoplysninger om enhver person, der arbejder for ECB eller for en kompetent national myndighed (nationale tilsynsmyndigheder), og personoplysninger om alle andre personer, der er nævnt i en indberetning om overtrædelser eller i en sagsakt, der oprettes som følge af en indberetning. Hvis ECB finder, at disse personer ikke er relevante for sagen, fortsætter den ikke behandlingen af deres personoplysninger.

Da det er muligt at indberette overtrædelser af relevant EU-lovgivning anonymt via whistleblowingplatformen, har personer, der indberetter en mistanke om en overtrædelse, ingen pligt til at afsløre deres personoplysninger. Det kan dog ikke udelukkes, at ECB i forbindelse med undersøgelsen af en indberetning kan modtage informationer, som indeholder identitetsoplysninger (herunder navn og efternavn, fødselsdag, fødested, adresse, telefonnummer, faxnummer, e-mailadresse og IP-adresse), faglige oplysninger (herunder erhverv, arbejdsgiver og stilling) eller finansielle oplysninger (herunder lønsedler, bankkonti og værdipapirporteføljer).

Hvem har ansvaret for at behandle de personoplysninger, som indsamles via whistleblowingplatformen?

ECB er den registeransvarlige for behandlingen af personoplysninger, som indsamles via whistleblowingplatformen, og Håndhævelsessektionen inden for Afdelingen for Håndhævelse og Sanktioner i ECB er den organisatoriske enhed med ansvar for behandlingen af oplysningerne.

Oplysninger, der indsendes til whistleblowingplatformen, behandles også eksternt på vegne af ECB af den sikre tredjepartsudbyder EQS Group AG. EQS Group AG har ikke adgang til indholdet af det indsendte.

Hvorfor og på hvilket retsgrundlag behandler ECB personoplysninger?

ECB har udviklet en whistleblowingplatform, som enhver kan bruge, der handler i god tro, og som har rimelige grunde til at antage, at en enhed under tilsyn eller en kompetent myndighed (en national tilsynsmyndighed, også kaldet en kompetent national myndighed, eller ECB) har overtrådt retsakterne i artikel 4, stk. 3, i Rådets forordning (EU) nr. 1024/2013 (SSM-forordningen), og som ønsker at indsende relevante oplysninger til ECB.

Personoplysninger indsamles og behandles i overensstemmelse med artikel 5, stk. 1, litra a), i forordning (EU) 2018/1725 af Afdelingen for Håndhævelse og Sanktioner og af EQS Group AG.

Hvem har adgang til de indsendte oplysninger, og hvem videregives de til?

Oplysninger, der indsendes via whistleblowingplatformen, behandles eksternt på vegne af ECB af EQS Group AG, som er en tredjepartsudbyder. De indsendte oplysninger behandles via et cloud-lagringssystem med servere, der befinder sig i Tyskland. Kun ECB's brugere har adgang til de oplysninger, der indsendes.

Inden for ECB er Håndhævelsessektionen ansvarlig for at behandle indberetninger, der indsendes via whistleblowingplatformen, og medlemmerne af afdelingen er underkastet streng fortrolighed. Håndhævelsessektionen træffer afgørelse om, hvorvidt oplysninger skal videresendes til de kompetente forretningsområder i ECB og/eller til kompetente myndigheder (nationale tilsynsmyndigheder) i henhold til SSM-forordningen.

ECB's hensigt med at stille whistleblowingplatformen til rådighed er udelukkende at modtage oplysninger om overtrædelser af relevant EU-lovgivning begået af en bank under tilsyn, en national tilsynsmyndighed eller ECB selv.

Hvis ECB modtager indberetninger om overtrædelser af relevant EU-lovgivning, vil disse oplysninger blive videresendt til det kompetente forretningsområde i ECB og/eller til nationale tilsynsmyndigheder. ECB behandler dog sådanne indberetninger som "beskyttede indberetninger". Det betyder, at ECB ikke vil afsløre identiteten på eller personoplysninger om nogen person, som er ansvarlig for at fremsende en beskyttet indberetning via whistleblowingplatformen, uden først at have indhentet vedkommendes udtrykkelige samtykke – medmindre en sådan offentliggørelse kræves ved retskendelse som led i yderligere undersøgelser eller efterfølgende retssager.

Hvis ECB modtager indberetninger, som ikke vedrører overtrædelser af relevant EU-lovgivning, men som ikke desto mindre vedrører ECB's øvrige opgaver, videresendes oplysningerne til det kompetente forretningsområde i ECB. ECB's generelle databeskyttelsesstandarder gælder.

Hvis ECB modtager indberetninger, som ECB fastslår vedrører overtrædelser af bestemmelser i ikke-relevant EU-lovgivning (fx om bekæmpelse af hvidvask af penge og finansiering af terrorisme, forbrugerbeskyttelse eller tilsyn med betalingstjenester), og som ikke vedrører ECB's øvrige opgaver, sletter ECB de personoplysninger, der er modtaget, uden at videresende dem. ECB's generelle databeskyttelsesstandarder gælder.

Overtrædelser af bestemmelser i ikke-relevant EU-lovgivning kan dog føre til afsløring af overtrædelser af tilsynsmæssige krav. Eksempelvis kan overtrædelser af bestemmelserne vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme være symptomer på usund ledelse og interne kontrolmekanismer, hvis struktur er fastlagt i reglerne om tilsynet med kreditinstitutter. Derfor kan sådanne indberetninger behandles af ECB som "beskyttede indberetninger" i forbindelse med overtrædelser af relevant EU-lovgivning. Der træffes afgørelse om dette fra sag til sag, og oplysningerne videresendes til det kompetente forretningsområde inden for ECB og/eller til nationale tilsynsmyndigheder i henhold til SSM-forordningen.

Desuden kan ECB videresende oplysninger, som modtages fra indberetninger om overtrædelser, til nationale myndigheder med ansvar for bekæmpelse af hvidvask af penge, hvis i) indberetningerne indeholder oplysninger, der er relevante og nødvendige for udførelsen af sådanne myndigheders opgaver, som fastsat i den multilaterale aftale om de praktiske retningslinjer for informationsudveksling mellem ECB og de kompetente myndigheder for bekæmpelse af hvidvask af penge og finansiering af terrorisme, og ii) oplysninger vedrørende det interne system og den interne kontrol i en enhed under tilsyn.

Hvor længe beholder ECB personoplysninger, som indsendes via whistleblowingplatformen?

Efter at en sagsakt er blevet lukket, opbevares alle relevante personoplysninger i en fastlagt periode som beskrevet nedenfor.

Hvis en indberetning, som ECB modtager, anses for at være relevant for ECB's tilsynsopgaver, opbevares oplysningerne i fem år. Hvis en indberetning ikke anses for at være relevant for ECB's tilsynsopgaver, men ikke desto mindre vedrører ECB's øvrige opgaver, opbevares oplysningerne i tolv måneder. Hvis ECB beslutter, at en indberetning ikke er relevant for nogen af ECB's opgaver, opbevares oplysningerne i tre måneder.

Videregivelse af personoplysninger til ikke-EU-lande

ECB er part i forskellige samarbejdsaftaler og vil fortsætte med at indgå aftaler af den type med andre myndigheder eller internationale organisationer. Disse organisationer kan anmode om personoplysninger fra sagsakter i forbindelse med whistleblowing om indberettede overtrædelser af EU-lovgivningen. I sådanne tilfælde skal ECB overholde særlige regler om videregivelse af personoplysninger til modtagere i ikke-EU-lande, hvor EU's databeskyttelseslovgivning ikke finder anvendelse. Disse regler er fastlagt i kapitel V i databeskyttelsesforordningen.

Dine rettigheder

Du har ret til at få adgang til og ændre dine personoplysninger, til at begrænse eller gøre indsigelse mod behandlingen af dem og under visse omstændigheder til at bede om at få dem slettet. For at benytte dig af denne ret skal du kontakte Håndhævelsessektionen på følgende adresse:

European Central Bank
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt

Du kan desuden – når som helst – kontakte  Den Europæiske Tilsynsførende for Databeskyttelse  vedrørende behandlingen af dine personoplysninger.

Yderligere oplysninger

Du kan kontakte ECB's databeskyttelsesansvarlige (dpo@ecb.europa.eu), hvis du har spørgsmål vedrørende behandlingen af dine personoplysninger eller dine rettigheder.