Izjava o zaštiti privatnosti za ESB-ovu platformu za prijavu povreda

Pravni okvir zaštite podataka koji se primjenjuje na ESB

Svi osobni podatci obrađuju se u skladu s pravom EU-a povezanim sa zaštitom podataka, odnosno u skladu s Uredbom (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ.

Koje podatke ESB prikuplja i na koji način to radi?

ESB prikuplja osjetljive informacije i osobne podatke o pojedincima koji prijave sumnju u povredu mjerodavnog prava Europske unije, osjetljive informacije i osobne podatke o pojedincima koji su navodno počinili takvu povredu te o drugim uključenim stranama koje se spominju u prijavama podnesenima na platformi za prijavu povreda. Također obrađuje podatke o svim pojedincima koji rade za ESB ili nacionalna nadležna tijela (nacionalna nadzorna tijela) te podatke o svim pojedincima koji se spominju u prijavi povrede ili u odgovarajućem spisu predmeta. Ako ESB zaključi da ti pojedinci nisu povezani s predmetom, prestat će obrađivati njihove podatke.

Budući da je na platformi za prijavu povreda moguće anonimno prijaviti povrede mjerodavnog prava EU-a, pojedinci koji prijave sumnju u takvu povredu nisu ni na koji način obvezani otkriti svoje osobne podatke. Međutim, ne može se isključiti mogućnost da bi ESB tijekom ispitivanja prijave mogao primiti informacije koje sadržavaju identifikacijske podatke (uključujući ime i prezime, datum i mjesto rođenja, adresu, broj telefona, broj telefaksa, adresu e-pošte i IP adresu), poslovne podatke (uključujući zanimanje, poslodavca i funkciju) ili financijske podatke (uključujući platne liste, bankovne račune i portfelje vrijednosnih papira).

Tko je odgovoran za obradu osobnih podataka prikupljenih na platformi za prijavu povreda?

ESB je voditelj obrade osobnih podataka prikupljenih na platformi, a odsjek Provedba unutar ESB-ova odjela Provedba i sankcije organizacijska je jedinica odgovorna za obradu tih podataka.

Informacije dostavljene na platformi obrađuje i vanjski sigurni pružatelj usluga EQS Group AG u ime ESB‑a. EQS Group AG nema pristup dostavljenom sadržaju.

Iz kojih razloga i na kojoj pravnoj osnovi ESB obrađuje osobne podatke?

ESB je razvio svoju platformu za prijavu povreda kako bi je mogao upotrebljavati svatko tko u dobroj vjeri i iz opravdanih razloga smatra da su nadzirani subjekt ili nadležno tijelo (nacionalno nadzorno tijelo, koje se naziva i nacionalno nadležno tijelo, ili ESB) počinili povredu pravnih akata iz članka 4. stavka 3. Uredbe Vijeća (EU) br. 1024/2013 (uredba o SSM-u) i želi o tome obavijestiti ESB.

Osobne podatke prikupljaju i obrađuju odjel Provedba i sankcije te EQS Group AG u skladu s člankom 5. stavkom 1. točkom (a) Uredbe 2018/1725.

Tko ima pristup dostavljenim informacijama i kome se otkrivaju?

Informacije dostavljene na platformi za prijavu povreda u ime ESB‑a obrađuje vanjski pružatelj usluga EQS Group AG. Dostavljene informacije obrađuju se s pomoću sustava za pohranu u oblaku čiji se poslužitelji nalaze u Njemačkoj. Samo korisnici u ESB-u imaju pristup tim informacijama.

Unutar ESB-a prijave podnesene na platformi odgovornost su odsjeka Provedba, na čije se članove primjenjuje strogi režim povjerljivosti. Odsjek odlučuje hoće li proslijediti informacije nadležnom poslovnom području unutar ESB-a i/ili nadležnim tijelima (nacionalnim nadzornim tijelima) u skladu s uredbom o SSM-u.

ESB je pokrenuo platformu za prijavu povreda isključivo kako bi primao informacije o povredama mjerodavnog prava Europske unije koje su počinili nadzirana banka, nacionalno nadzorno tijelo ili sam ESB.

Ako ESB primi prijave o povredi mjerodavnog prava EU-a, dostavljene informacije proslijedit će nadležnom poslovnom području unutar ESB-a i/ili nacionalnim nadzornim tijelima. Međutim, prema takvim prijavama ESB postupa kao prema »zaštićenim prijavama«. To znači da neće otkriti identitet ili osobne podatke o podnositelju ili podnositeljima zaštićenih prijava na platformi za prijavu povreda, a da prethodno nije pribavio njihov izričit pristanak, ako se takvo otkrivanje ne zahtijeva sudskim nalogom u kontekstu daljnjih istraga ili naknadnih sudskih postupaka.

Ako ESB primi prijave koje se ne odnose na povrede mjerodavnog prava EU-a, ali se ipak tiču drugih zadaća ESB-a, dostavljene informacije proslijedit će nadležnom poslovnom području unutar ESB-a. U tom slučaju primjenjuju se opći standardi zaštite podataka ESB-a.

Ako ESB primi prijave za koje utvrdi da se odnose na povrede odredbi prava EU-a koje nije mjerodavno (primjerice, sprječavanje pranja novca, borba protiv financiranja terorizma, zaštita potrošača ili nadzor platnih usluga) i prijave koje nisu povezane s drugim zadaćama ESB-a, obrisat će primljene osobne podatke i neće proslijediti dostavljene informacije. U tom slučaju primjenjuju se opći standardi zaštite podataka ESB-a.

Kod povreda odredbi prava EU-a koje nije mjerodavno, međutim, može se ustanoviti kršenje bonitetnih zahtjeva. Na primjer, povrede odredbi o sprječavanju pranja novca i borbi protiv financiranja terorizma mogu upućivati na manjkavost u upravljanju i mehanizmima unutarnje kontrole, čija je struktura utvrđena pravilima u vezi s bonitetnim nadzorom kreditnih institucija. Stoga ESB, ovisno o pojedinačnom predmetu, prema takvim prijavama postupa kao prema »zaštićenim prijavama« koje se odnose na povrede mjerodavnog prava EU-a i dostavljene informacije prosljeđuje nadležnim poslovnim područjima unutar ESB-a i/ili nacionalnim nadzornim tijelima u skladu s uredbom o SSM-u.

Informacije iz prijava povreda ESB također može proslijediti nacionalnim tijelima odgovornima za sprječavanje pranja novca, (1) ako prijave sadržavaju informacije koje su relevantne i potrebne za izvršavanje zadaća takvih tijela kako je predviđeno višestranim sporazumom o praktičnim modalitetima razmjene informacija između ESB-a i tijela nadležnih za sprječavanje pranja novca i borbu protiv financiranja terorizma, te (2) ako se informacije odnose na interni sustav i interne kontrole nadziranog subjekta.

Koliko dugo ESB drži osobne podatke dostavljene na platformi za prijavu povreda?

Nakon zaključenja spisa predmeta svi relevantni osobni podatci bit će pohranjeni na određeno razdoblje, što je ukratko objašnjeno u nastavku.

Ako je prijava koju je ESB primio važna za njegove nadzorne zadaće, podatci će biti pohranjeni na razdoblje od pet godina. Ako se prijava ne smatra važnom za ESB-ove nadzorne zadaće, ali se tiče njegovih drugih zadaća, podatci će biti pohranjeni na razdoblje od 12 mjeseci. Ako ESB odluči da prijava nije važna za njegove zadaće, podatci će biti pohranjeni na razdoblje od tri mjeseca.

Prijenos osobnih podataka u države izvan EU-a

ESB je potpisnik različitih sporazuma o suradnji i nastavit će sklapati slične sporazume s drugim tijelima ili međunarodnim organizacijama. Te organizacije mogu zatražiti osobne podatke iz spisa predmeta koji sadržava prijavu povrede prava EU-a. ESB je u takvim slučajevima dužan poštovati određena pravila o prijenosu osobnih podataka primateljima u državama izvan EU-a, u kojima se ne primjenjuje pravo EU-a povezano sa zaštitom podataka. Ta su pravila navedena u poglavlju V. uredbe o zaštiti podataka.

Vaša prava

Imate pravo pristupiti svojim osobnim podatcima i ispraviti ih te uložiti prigovor na njihovu obradu ili je ograničiti. Pod određenim uvjetima možete zatražiti brisanje svojih podataka. Kako biste ostvarili svoja prava, obratite se odsjeku Provedba na sljedeću adresu:

European Central Bank
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt

Nadalje, imate se pravo u svakom trenutku obratiti Europskom nadzorniku za zaštitu podataka u vezi s obradom vaših osobnih podataka.

Dodatne informacije

Imate li pitanja o svojim pravima ili obradi osobnih podataka, možete se obratiti ESB-ovu službeniku za zaštitu podataka (dpo@ecb.europa.eu).