Δήλωση σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα όσον αφορά την πλατφόρμα πληροφοριοδοτών δημόσιου συμφέροντος

Νομικό πλαίσιο σχετικά με την προστασία δεδομένων που ισχύει για την ΕΚΤ

Η επεξεργασία όλων των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με την ενωσιακή νομοθεσία σχετικά με την προστασία δεδομένων, δηλαδή τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ.

Τι δεδομένα συλλέγει η ΕΚΤ και με ποιον τρόπο;

Η ΕΚΤ συλλέγει ευαίσθητες πληροφορίες και δεδομένα προσωπικού χαρακτήρα που αφορούν πρόσωπα που καταγγέλλουν εικαζόμενη παράβαση της σχετικής νομοθεσίας της Ευρωπαϊκής Ένωσης. Η ΕΚΤ συλλέγει επίσης ευαίσθητες πληροφορίες και δεδομένα προσωπικού χαρακτήρα που αφορούν άτομα που εικάζεται ότι έχουν υποπέσει σε παράβαση, καθώς και άλλα εμπλεκόμενα μέρη που αναφέρονται στις καταγγελίες παραβάσεων που υποβάλλονται μέσω της πλατφόρμας πληροφοριοδοτών δημόσιου συμφέροντος. Η ΕΚΤ επεξεργάζεται επίσης τα δεδομένα ατόμων που εργάζονται για αυτήν ή για εθνική αρμόδια αρχή (εθνική αρχή εποπτείας), καθώς και τα δεδομένα άλλων ατόμων που αναφέρονται στην καταγγελία παράβασης ή σε φάκελο υπόθεσης που έχει ανοίξει κατόπιν καταγγελίας. Αν η ΕΚΤ διαπιστώσει ότι αυτά τα άτομα δεν είναι συναφή με την υπόθεση, θα σταματήσει να επεξεργάζεται τα δεδομένα τους.

Επειδή είναι δυνατή η υποβολή ανώνυμων καταγγελιών παραβάσεων της σχετικής ενωσιακής νομοθεσίας μέσω της πλατφόρμας πληροφοριοδοτών, τα άτομα που καταγγέλλουν εικαζόμενη παράβαση δεν έχουν καμία υποχρέωση να κοινοποιήσουν τα προσωπικά τους δεδομένα. Ωστόσο, στη διάρκεια της διερεύνησης καταγγελίας, δεν μπορεί να αποκλειστεί η πιθανότητα η ΕΚΤ να λάβει πληροφορίες που περιλαμβάνουν στοιχεία ταυτοποίησης (όπως το ονοματεπώνυμο, η ημερομηνία γέννησης, ο τόπος γέννησης, η διεύθυνση, ο αριθμός τηλεφώνου και φαξ, η διεύθυνση ηλεκτρονικού ταχυδρομείου και η διεύθυνση IP του ατόμου), επαγγελματικά δεδομένα (όπως το επάγγελμα, ο εργοδότης και η θέση του ατόμου) ή οικονομικά στοιχεία (όπως φύλλα μισθοδοσίας, τραπεζικοί λογαριασμοί και χαρτοφυλάκια τίτλων).

Ποιος είναι υπεύθυνος για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που συλλέγονται μέσω της πλατφόρμας πληροφοριοδοτών;

Η ΕΚΤ είναι υπεύθυνη για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που συλλέγονται μέσω της πλατφόρμας πληροφοριοδοτών και ο Τομέας Επιβολής Κυρώσεων εντός του Τμήματος Επιβολής Κυρώσεων είναι η υπηρεσιακή μονάδα που είναι υπεύθυνη για την επεξεργασία αυτών των δεδομένων.

Η επεξεργασία των πληροφοριών που υποβάλλονται μέσω της πλατφόρμας πληροφοριοδοτών γίνεται επίσης για λογαριασμό της ΕΚΤ από τον εξωτερικό πάροχο EQS Group AG, ο οποίος πληροί όλες τις προδιαγραφές ασφαλείας. Η εταιρεία EQS Group AG δεν έχει πρόσβαση στο περιεχόμενο των υποβαλλόμενων πληροφοριών.

Γιατί η ΕΚΤ επεξεργάζεται δεδομένα προσωπικού χαρακτήρα και ποια είναι η σχετική νομική βάση;

Η ΕΚΤ έχει αναπτύξει την πλατφόρμα πληροφοριοδοτών δημόσιου συμφέροντος την οποία μπορεί να χρησιμοποιήσει κάθε άτομο που, ενεργώντας καλόπιστα, έχει βάσιμους λόγους να πιστεύει ότι μια εποπτευόμενη οντότητα ή μια αρμόδια αρχή (εθνική εποπτική αρχή, που αναφέρεται και ως εθνική αρμόδια αρχή, ή η ΕΚΤ) έχει παραβεί τις νομικές πράξεις που αναφέρονται στο άρθρο 4 παράγραφος 3 του κανονισμού (ΕΕ) αριθ. 1024/2013 του Συμβουλίου (ο κανονισμός ΕΕΜ) και επιθυμεί να υποβάλει συναφείς πληροφορίες στην ΕΚΤ.

Η συλλογή και η επεξεργασία των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με το άρθρο 5 παράγραφος 1 στοιχείο α) του κανονισμού 2018/1725 από το Τμήμα Επιβολής Κυρώσεων και την εταιρεία EQS Group AG.

Ποιος έχει πρόσβαση στις υποβαλλόμενες πληροφορίες και σε ποιον κοινοποιούνται αυτές;

Η επεξεργασία των πληροφοριών που υποβάλλονται μέσω της πλατφόρμας πληροφοριοδοτών γίνεται για λογαριασμό της ΕΚΤ από τον εξωτερικό πάροχο EQS Group AG. Η επεξεργασία των εν λόγω πληροφοριών γίνεται μέσω συστήματος αποθήκευσης σε υπολογιστικό νέφος του οποίου οι διακομιστές βρίσκονται στη Γερμανία. Μόνο χρήστες από την ΕΚΤ έχουν πρόσβαση στις υποβαλλόμενες πληροφορίες.

Εντός της ΕΚΤ, ο Τομέας Επιβολής Κυρώσεων είναι υπεύθυνος για τη διεκπεραίωση των καταγγελιών που υποβάλλονται μέσω της πλατφόρμας πληροφοριοδοτών και τα μέλη του δεσμεύονται από αυστηρό καθεστώς απορρήτου. Ο Τομέας Επιβολής Κυρώσεων αποφασίζει αν θα πρέπει να διαβιβάσει τις πληροφορίες στις αρμόδιες υπηρεσιακές μονάδες εντός της ΕΚΤ και/ή στις αρμόδιες αρχές (εθνικές εποπτικές αρχές) σύμφωνα με τον κανονισμό ΕΕΜ.

Η ΕΚΤ παρέχει την πλατφόρμα πληροφοριοδοτών δημόσιου συμφέροντος με σκοπό να λαμβάνει πληροφορίες που αφορούν μόνο παραβάσεις της σχετικής νομοθεσίας της Ευρωπαϊκής Ένωσης (ΕΕ) από εποπτευόμενη τράπεζα, εθνική εποπτική αρχή ή την ίδια την ΕΚΤ.

Αν η ΕΚΤ λάβει καταγγελίες που αφορούν παραβάσεις της σχετικής ενωσιακής νομοθεσίας, οι πληροφορίες θα διαβιβαστούν στις αρμόδια υπηρεσιακή μονάδα εντός της ΕΚΤ και/ή στις εθνικές εποπτικές αρχές. Ωστόσο, τέτοιες καταγγελίες αντιμετωπίζονται από την ΕΚΤ ως «προστατευόμενες καταγγελίες». Αυτό σημαίνει ότι η ΕΚΤ δεν θα αποκαλύψει την ταυτότητα ή τα δεδομένα προσωπικού χαρακτήρα του προσώπου ή των προσώπων που είναι υπεύθυνα για την υποβολή προστατευόμενης καταγγελίας μέσω της πλατφόρμας πληροφοριοδοτών χωρίς να έχει λάβει πρώτα τη ρητή συναίνεσή τους – εκτός αν η κοινοποίηση απαιτείται βάσει δικαστικής εντολής στο πλαίσιο περαιτέρω διερεύνησης ή επακόλουθης δικαστικής διαδικασίας.

Αν η ΕΚΤ λάβει καταγγελίες που δεν σχετίζονται με παραβάσεις της σχετικής ενωσιακής νομοθεσίας, αλλά αφορούν άλλα καθήκοντα της ΕΚΤ, οι πληροφορίες θα διαβιβαστούν στην αρμόδια υπηρεσιακή μονάδα εντός της ΕΚΤ. Θα εφαρμόζονται τα γενικά πρότυπα προστασίας δεδομένων της ΕΚΤ.

Αν η ΕΚΤ λάβει καταγγελίες που κρίνει ότι αφορούν παραβάσεις μη σχετικής ενωσιακής νομοθεσίας (π.χ. σε σχέση με την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και της χρηματοδότησης της τρομοκρατίας, την προστασία του καταναλωτή ή την εποπτεία των συστημάτων πληρωμών) Θα εφαρμόζονται τα γενικά πρότυπα προστασίας δεδομένων της ΕΚΤ.

Ωστόσο, οι παραβάσεις διατάξεων μη σχετικής ενωσιακής νομοθεσίας μπορεί να οδηγήσει στην αποκάλυψη παραβάσεων των απαιτήσεων προληπτικής εποπτείας. Για παράδειγμα, παραβάσεις διατάξεων που αφορούν την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και την καταπολέμηση της χρηματοδότησης της τρομοκρατίας μπορεί να αποτελούν ενδείξεις πλημμελών μηχανισμών διακυβέρνησης και εσωτερικού ελέγχου, η δομή των οποίων καθορίζεται σε κανόνες που σχετίζονται με την προληπτική εποπτεία πιστωτικών ιδρυμάτων. Για τον λόγο αυτόν, τέτοιες καταγγελίες μπορούν κατά περίπτωση να αντιμετωπιστούν από την ΕΚΤ ως «προστατευόμενες καταγγελίες» σχετιζόμενες με παραβάσεις της σχετικής ενωσιακής νομοθεσίας και οι πληροφορίες διαβιβάζονται στις αρμόδιες υπηρεσιακές μονάδες εντός της ΕΚΤ και/ή στις εθνικές εποπτικές αρχές σύμφωνα με τον κανονισμό ΕΕΜ.

Επιπλέον, οι πληροφορίες που λαμβάνονται από καταγγελίες παραβάσεων μπορεί να διαβιβαστούν από την ΕΚΤ στις εθνικές αρχές που είναι αρμόδιες για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες αν α) οι καταγγελίες περιέχουν πληροφορίες που είναι συναφείς και απαραίτητες για την εκτέλεση των καθηκόντων των εν λόγω αρχών, όπως προβλέπεται από την πολυμερή συμφωνία για τους πρακτικούς όρους ανταλλαγής πληροφοριών μεταξύ της ΕΚΤ και των αρχών που είναι αρμόδιες για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας και β) οι πληροφορίες αφορούν το εσωτερικό σύστημα και τους εσωτερικούς ελέγχους μιας εποπτευόμενης οντότητας.

Για πόσο χρονικό διάστημα η ΕΚΤ διατηρεί τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται μέσω της πλατφόρμας πληροφοριοδοτών;

Μετά το κλείσιμο της υπόθεσης όλα τα σχετικά δεδομένα προσωπικού χαρακτήρα θα αποθηκεύονται και θα διατηρούνται για καθορισμένη περίοδο, όπως περιγράφεται παρακάτω.

Αν κρίνεται ότι η καταγγελία που λαμβάνει η ΕΚΤ είναι συναφής με τα εποπτικά καθήκοντα της ΕΚΤ, τα δεδομένα θα αποθηκεύονται για πέντε έτη. Αν κρίνεται ότι η καταγγελία δεν είναι μεν συναφής με τα εποπτικά καθήκοντα της ΕΚΤ, αλλά σχετίζεται με άλλα καθήκοντα της ΕΚΤ, τα δεδομένα θα αποθηκεύονται για δώδεκα μήνες. Αν η ΕΚΤ αποφασίσει ότι μια καταγγελία δεν είναι συναφής με κανένα από τα καθήκοντα της ΕΚΤ, τα δεδομένα θα αποθηκεύονται για τρεις μήνες.

Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός ΕΕ

Η ΕΚΤ είναι μέρος διαφόρων συμφωνιών συνεργασίας και θα συνεχίσει να συνάπτει συμφωνίες τέτοιου είδους με άλλες αρχές ή διεθνείς οργανισμούς. Αυτοί οι οργανισμοί μπορεί να ζητήσουν δεδομένα προσωπικού χαρακτήρα από υποθέσεις πληροφοριοδοτών δημόσιου συμφέροντος όσον αφορά καταγγελλόμενες παραβάσεις της ενωσιακής νομοθεσίας. Σε αυτές τις περιπτώσεις, η ΕΚΤ είναι υποχρεωμένη να συμμορφώνεται με συγκεκριμένους κανόνες όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες σε χώρες εκτός της ΕΕ, όπου δεν εφαρμόζεται η ενωσιακή νομοθεσία σχετικά με την προστασία δεδομένων. Οι κανόνες αυτοί παρουσιάζονται στο κεφάλαιο V του κανονισμού για την προστασία δεδομένων.

Τα δικαιώματά σας

Έχετε το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που σας αφορούν και διόρθωσης αυτών, καθώς και περιορισμού της επεξεργασίας των δεδομένων σας ή εναντίωση σε αυτήν. Επίσης, υπό ορισμένες προϋποθέσεις, έχετε το δικαίωμα να ζητήσετε τη διαγραφή των στοιχείων σας. Μπορείτε να ασκήσετε τα δικαιώματά σας επικοινωνώντας με τον Τομέα Επιβολής Κυρώσεων στην ακόλουθη διεύθυνση:

European Central Bank
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt

Έχετε επίσης το δικαίωμα να επικοινωνήσετε ανά πάσα στιγμή με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που σας αφορούν.

Περισσότερες πληροφορίες

Μπορείτε να επικοινωνήσετε με τον υπεύθυνο προστασίας δεδομένων της ΕΚΤ (dpo@ecb.europa.eu) αν έχετε ερωτήσεις σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που σας αφορούν ή με τα δικαιώματά σας.