Väärinkäytösten ilmoituspalvelun tietosuojalauseke
Tietosuojaa koskevat säädökset
Kaikki henkilötiedot käsitellään EU:n tietosuojalainsäädännön mukaisesti noudattaen 23.10.2018 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta.
Miten ja millaisia tietoja EKP kerää?
EKP kerää arkaluonteisia tietoja ja henkilötietoja henkilöistä, jotka ilmoittavat epäilynsä Euroopan unionin pankkivalvontasäädösten vastaisesta toiminnasta, joita epäillään väärinkäytöksistä tai jotka mainitaan palvelun kautta tehdyissä väärinkäytösilmoituksissa. EKP käsittelee myös oman henkilöstönsä ja kansallisten toimivaltaisten viranomaisten (kansallisten valvontaviranomaisten) palveluksessa olevien henkilöiden tietoja sekä muiden väärinkäytösilmoituksissa tai niistä seuraavissa tutkimuksissa mainittujen henkilöiden tietoja. Jos EKP toteaa, etteivät henkilöt liity tutkimuksiin, heidän tietojaan ei enää käsitellä.
Väärinkäytösilmoituksen voi tehdä verkossa nimettömänä, eikä ilmoituksen tekijöiltä vaadita henkilötietoja. EKP voi kuitenkin ilmoituksen tutkimisen aikana saada tietoja, jotka sisältävät ilmoittajan henkilötietoja (esim. etu- ja sukunimen, syntymäajan ja ‑paikan, osoitteen, puhelin- ja faksinumerot tai sähköposti- ja IP-osoitteet), ammatillisia tietoja (esim. ammatin, työnantajan tai työtehtävän) tai taloudellisia tietoja (esim. palkkalaskelmia, tilinumeroita tai arvopaperisalkkujen tietoja).
Kuka palvelun kautta kerättyjä henkilötietoja käsittelee?
Henkilötietojen rekisterinpitäjä on EKP, ja tietojen käsittelystä vastaa sen tutkinta- ja seuraamustoimien toimisto.
EKP:n ulkopuolinen palveluntarjoaja EQS Group AG käsittelee ilmoituspalvelussa annetut tiedot luottamuksellisesti EKP:n puolesta, mutta se ei pääse tarkastelemaan itse ilmoituksia.
Miksi EKP käsittelee henkilötietoja, ja mikä on tietojen käsittelyn oikeudellinen perusta?
EKP on kehittänyt väärinkäytösten ilmoituspalvelun henkilöille, jotka vilpittömin mielin ja kohtuullisin perustein uskovat jonkin valvottavan yhteisön tai toimivaltaisen viranomaisen (kansallisen valvontaviranomaisen tai EKP:n) rikkoneen neuvoston asetuksen (EU) N:o 1024/2013 (YVM-asetus) artiklan 4 kohdassa 3 tarkoitettuja säädöksiä ja jotka tahtovat ilmoittaa asiasta EKP:lle.
Tutkinta- ja seuraamustoimien toimisto ja EQS Group AG keräävät ja käsittelevät henkilötietoja asetuksen 2018/1725 artiklan 5 kohdan 1 alakohdan a mukaisesti.
Ketkä pääsevät tarkastelemaan ilmoitettuja tietoja?
EKP:n ulkopuolinen palveluntarjoaja EQS Group AG käsittelee palvelussa annettuja tietoja EKP:n puolesta. Tiedot käsitellään Saksassa sijaitsevassa pilvipalvelussa, ja vain EKP:n nimeämät käyttäjät pääsevät tarkastelemaan niitä.
EKP:n tutkinta- ja seuraamustoimien toimisto vastaa palvelun kautta saapuneiden ilmoitusten käsittelystä, ja sen jäsenillä on vaitiolovelvollisuus. Se päättää tietojen toimittamisesta EKP:n toimivaltaisille yksiköille ja/tai toimivaltaisille viranomaisille (kansallisille valvontaviranomaisille) YVM-asetuksen mukaisesti.
Väärinkäytösten ilmoituspalvelun kautta kerätään tietoa valvottavien pankkien, kansallisten valvontaviranomaisten tai EKP:n mahdollisista väärinkäytöksistä.
EKP:n saamat ilmoitukset Euroopan unionin pankkivalvontasäädösten vastaisesta toiminnasta lähetetään sen omille toimivaltaisille yksiköille ja/tai kansallisille valvontaviranomaisille. Ilmoitukset käsitellään kuitenkin niin sanottuina luottamuksellisina ilmoituksina. EKP ei siis paljasta ilmoittajan henkilöllisyyttä ilman tämän nimenomaista suostumusta, ellei sitä edellytetä asian tarkemman tutkinnan tai myöhemmän oikeudenkäynnin yhteydessä annetulla tuomioistuimen määräyksellä.
Jos EKP:n saama ilmoitus ei liity Euroopan unionin pankkivalvontasäädösten vastaiseen toimintaan mutta koskee kuitenkin EKP:n muita tehtäviä, ilmoitus lähetetään EKP:n omille toimivaltaisille yksiköille EKP:n yleisten tietosuojanormien mukaisesti.
Jos EKP:n saama ilmoitus koskee muun EU-lainsäädännön (esim. rahanpesun ja terrorismin rahoituksen torjuntaa, kuluttajansuojaa tai maksupalvelujen valvontaa koskevien säädösten) rikkomista eikä liity EKP:n muihin tehtäviin, ilmoitusta ei toimiteta eteenpäin vaan henkilötiedot poistetaan EKP:n yleisten tietosuojanormien mukaisesti.
Muun EU-lainsäädännön rikkominen saattaa kuitenkin tuoda ilmi myös vakavaraisuusvalvontaa koskevien säännösten vastaista toimintaa. Esimerkiksi rahanpesua ja terrorismin rahoitusta koskevien säädösten rikkominen saattaa kertoa tehottomista hallinto- ja ohjausjärjestelmistä ja puutteellisista sisäisen valvonnan menetelmistä, jotka eivät ole luottolaitosten vakavaraisuusvalvonnan säännösten mukaisia. EKP voi siis tarvittaessa käsitellä tällaiset ilmoitukset luottamuksellisina ilmoituksina pankkivalvontasäädösten vastaisesta toiminnasta ja lähettää ne omille toimivaltaisille yksiköilleen ja/tai kansallisille valvontaviranomaisille YVM-asetuksen mukaisesti.
Väärinkäytösilmoituksista saatuja tietoja voidaan myös lähettää rahanpesun torjunnasta vastaaville kansallisille viranomaisille, jos 1) ilmoitus sisältää viranomaistehtävien suorittamisen kannalta merkittävää ja tarpeellista tietoa (ks. monenkeskinen sopimus tietojenvaihdon käytännön järjestelyistä EKP:n ja rahanpesun ja terrorismin rahoituksen torjunnasta vastaavien toimivaltaisten viranomaisten välillä) ja 2) tieto liittyy jonkin valvottavan yhteisön sisäisiin järjestelmiin ja sisäiseen valvontaan.
Kuinka kauan EKP säilyttää palvelun kautta saatuja henkilötietoja?
Henkilötietoja säilytetään tietty aika sen jälkeen, kun tutkimus on saatu päätökseen.
Jos ilmoituksen katsotaan koskevan EKP:n valvontatehtäviä, tietoja säilytetään 5 vuotta. Jos ilmoituksen ei katsota koskevan EKP:n valvontatehtäviä mutta se koskee kuitenkin EKP:n muita tehtäviä, tietoja säilytetään 12 kuukautta. Jos EKP katsoo, ettei ilmoitus koske mitään sen tehtäviä, tietoja säilytetään 3 kuukautta.
Tietojen siirto EU:n ulkopuolisiin maihin
EKP:llä on – ja se tekee vastakin – yhteistyösopimuksia eri maiden viranomaisten ja kansainvälisten organisaatioiden kanssa. Nämä organisaatiot saattavat pyytää EKP:ltä henkilötietoja, jotka liittyvät EU-lainsäädännön rikkomista koskeviin ilmoituksiin. Tällöin EKP:n on noudatettava erityisiä sääntöjä henkilötietojen siirtämisestä EU:n ulkopuolelle, missä EU:n tietosuojalainsäädäntö ei päde. Säännöt on kirjattu EU:n tietosuoja-asetuksen lukuun V.
Ilmoittajien oikeudet
Ilmoittajalla on oikeus tarkastella ja oikaista tallennettuja henkilötietoja, rajoittaa tai vastustaa niiden käsittelyä ja tietyissä tapauksissa pyytää niiden poistamista. Tutkinta- ja seuraamustoimien toimistoon voi ottaa yhteyttä osoitteella
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Ilmoittajalla on myös oikeus kääntyä kaikissa henkilötietojen käsittelyä koskevissa kysymyksissä Euroopan tietosuojavaltuutetun puoleen.
Lisätietoa tietosuojasta
Kysymyksiin henkilötietojen käsittelystä tai ilmoittajan oikeuksista vastaa EKP:n tietosuojavastaava (dpo@ecb.europa.eu).