Privacyverklaring voor het klokkenluidersplatform van de ECB

Juridisch kader voor gegevensbescherming dat van toepassing is op de ECB

Alle persoonsgegevens worden verwerkt in overeenstemming met Verordening (EU) nr. 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EU) nr. 45/2001 en van Besluit nr. 1247/2002/EG.

Welke gegevens verzamelt de ECB en hoe doet ze dat?

De ECB verzamelt gevoelige informatie en persoonsgegevens over personen die een vermeende inbreuk op toepasselijk EU-recht melden. De ECB verzamelt eveneens gevoelige informatie en persoonsgegevens over personen die een vermeende inbreuk hebben begaan, alsook over andere partijen die worden genoemd in meldingen van inbreuken via het klokkenluidersplatform. De ECB verwerkt eveneens gegevens van personen die werken voor de ECB of voor een nationale bevoegde autoriteit (nationale toezichthouder), evenals de gegevens van andere personen die in een melding of in een daaruit voortvloeiend dossier worden genoemd. Als de ECB van oordeel is dat deze personen niet bij het dossier betrokken zijn, zal ze hun gegevens niet langer verwerken.

Aangezien inbreuken op toepasselijk EU-recht anoniem via het klokkenluidersplatform kunnen worden gemeld, zijn personen die een vermeende inbreuk melden niet verplicht hun persoonsgegevens mee te delen. Het valt evenwel niet uit te sluiten dat de ECB tijdens het onderzoek van een melding informatie ontvangt die identificatiegegevens bevat (zoals naam en voornaam, geboortedatum, geboorteplaats, adres, telefoonnummer, faxnummer, e-mailadres en IP-adres), professionele gegevens (zoals beroep, werkgever en functie) of financiële gegevens (zoals loonstrookjes, bankrekeningen en effectenportefeuilles).

Wie is verantwoordelijk voor de verwerking van persoonsgegevens die via het klokkenluidersplatform worden verzameld?

De ECB verwerkt de persoonsgegevens die via het klokkenluidersplatform worden verzameld. De afdeling Handhaving en Sancties van de ECB is het verantwoordelijke organisatieonderdeel voor de verwerking van deze gegevens.

Informatie die via het klokkenluidersplatform binnenkomt, wordt namens de ECB ook verwerkt door de veilige externe provider EQS Group AG. EQS Group AG heeft geen toegang tot de inhoud van de meldingen.

Waarom, en op welke juridische basis verwerkt de ECB persoonsgegevens?

De ECB heeft het klokkenluidersplatform opgezet voor iedereen die te goeder trouw is en die op basis van redelijke gronden meent dat een onder toezicht staande entiteit of een bevoegde autoriteit (de ECB of een nationale toezichthouder, ook nationale bevoegde autoriteit genoemd) inbreuk heeft gepleegd op de in artikel 4, lid 3, van Verordening (EU) nr. 1024/2013 van de Raad (de GTM-verordening) bedoelde rechtshandelingen en informatie daarover wil verstrekken aan de ECB. Persoonsgegevens worden door de afdeling Handhaving en Sancties en EQS Group AG verzameld en verwerkt in overeenstemming met artikel 5, lid 1, onder a), van Verordening (EU) 2018/1725.

Wie heeft toegang tot de informatie in de meldingen en aan wie wordt deze informatie verstrekt?

Informatie die via het klokkenluidersplatform binnenkomt, wordt namens de ECB verwerkt door de externe provider EQS Group AG. Deze informatie wordt verwerkt via een systeem voor cloudopslag, met servers die zich in Duitsland bevinden. Alleen gebruikers van de ECB hebben toegang tot de informatie in de meldingen.

In de ECB is de afdeling Handhaving en Sancties verantwoordelijk voor de behandeling van meldingen die binnenkomen via het klokkenluidersplatform. Voor de medewerkers van deze sectie geldt een strikte geheimhoudingsplicht. De afdeling Handhaving en Sancties beslist of informatie wordt doorgestuurd naar de bevoegde diensten binnen de ECB en/of naar de bevoegde autoriteiten (nationale toezichthouders) volgens de GTM-verordening.

De ECB heeft het klokkenluidersplatform uitsluitend opgezet met het doel informatie te ontvangen over inbreuken op toepasselijk EU-recht door een onder toezicht staande bank, een nationale toezichthouder of de ECB zelf.

Bij meldingen van inbreuken op toepasselijk EU-recht wordt de informatie door de ECB doorgegeven aan de bevoegde dienst binnen de ECB en/of aan nationale toezichthouders. Deze meldingen worden door de ECB echter als ‘beschermde meldingen’ behandeld. Dit houdt in dat de ECB de identiteit of de persoonsgegevens van de persoon of personen die via het klokkenluidersplatform een beschermde melding doen niet bekendmaakt zonder hun voorafgaande uitdrukkelijke toestemming, tenzij op grond van een gerechtelijk besluit bekendmaking vereist is ten behoeve van nader onderzoek of verdere juridische procedures.

Bij meldingen die geen betrekking hebben op toepasselijk EU-recht maar die wel andere taken van de ECB betreffen wordt de informatie doorgegeven aan de bevoegde dienst binnen de ECB. De algemene normen voor gegevensbescherming van de ECB zijn van toepassing.

Bij meldingen die naar het oordeel van de ECB betrekking hebben op inbreuken op niet-toepasselijk EU-recht (zoals de bestrijding van witwassen en terrorismefinanciering, consumentenbescherming of het toezicht op betalingsdiensten), en die geen andere taken van de ECB betreffen, worden de ontvangen persoonsgegevens gewist en wordt er geen informatie doorgestuurd. De algemene normen voor gegevensbescherming van de ECB zijn van toepassing.

Inbreuken op niet-toepasselijk EU-recht kunnen evenwel schendingen van prudentiële vereisten aan het licht brengen. Inbreuken op de bepalingen voor de bestrijding van witwassen en/of terrorismefinanciering kunnen bijvoorbeeld wijzen op ondeugdelijke governance- en internecontrolemechanismen, waarvan de structuur is voorgeschreven in de regels inzake prudentieel toezicht op kredietinstellingen. De ECB kan per geval besluiten zulke meldingen als beschermde meldingen te behandelen op grond van inbreuken op toepasselijk EU-recht en de informatie wordt dan doorgegeven aan de dienst binnen de ECB en/of aan de nationale toezichthouders die op grond van de GTM-verordening bevoegd zijn.

Daarnaast kan de ECB in de volgende twee gevallen informatie uit meldingen doorgeven aan de nationale autoriteiten die bevoegd zijn inzake de bestrijding van witwassen: i) de melding bevat informatie die relevant en nodig is voor de taakuitoefening van deze autoriteiten, zoals bedoeld in de multilaterale overeenkomst inzake informatie-uitwisseling tussen de ECB en de autoriteiten van de EER-landen die met de bestrijding van witwassen zijn belast; en ii) de informatie heeft betrekking op de interne systemen en beheersingsmaatregelen van een onder toezicht staande entiteit.

Hoe lang bewaart de ECB persoonsgegevens die ze via het klokkenluidersplatform ontvangt?

Na sluiting van het dossier worden alle relevante persoonsgegevens gedurende een vaste termijn bewaard. Zie hieronder.

Persoonsgegevens uit een melding die volgens de ECB relevant is voor haar taken als toezichthouder worden vijf jaar bewaard. Persoonsgegevens uit een melding die volgens de ECB niet relevant is voor haar taken als toezichthouder maar wel voor haar andere taken worden één jaar bewaard. Persoonsgegevens uit een melding die volgens de ECB voor geen van haar taken relevant is, worden drie maanden bewaard.

Overdracht van persoonsgegevens naar landen buiten de EU

De ECB heeft verschillende samenwerkingsovereenkomsten getekend en zal ook in de toekomst dergelijke overeenkomsten aangaan met andere autoriteiten of internationale organisaties. Deze organisaties kunnen persoonsgegevens opvragen uit klokkenluidersdossiers inzake inbreuken op EU-recht. De ECB dient zich in dat geval te houden aan speciale regels voor de overdracht van persoonsgegevens aan ontvangers buiten de EU, waar de gegevensbeschermingswetgeving van de EU niet van toepassing is. Deze regels staan beschreven in Hoofdstuk V van de verordening gegevensbescherming.

Uw rechten

U hebt het recht uw persoonsgegevens in te zien en te corrigeren, de verwerking van uw gegevens te beperken of er bezwaar tegen te maken en, onder bepaalde voorwaarden, om verwijdering van uw gegevens te vragen. Als u uw rechten wil uitoefenen, neem dan contact met ons op via onderstaand adres:

European Central Bank
Directorate General SSM Governance and Operations
Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Germany

Verder kunt u over de verwerking van uw persoonsgegevens altijd contact opnemen met de Europese Toezichthouder voor gegevensbescherming.

Nadere informatie

Vragen over de verwerking van uw persoonsgegevens of uw rechten kunt u stellen aan de functionaris voor gegevensbescherming van de ECB op dpo@ecb.europa.eu.