Oświadczenie o ochronie prywatności na portalu dla demaskatorów
Ramy prawne ochrony danych mające zastosowanie do EBC
Wszystkie dane osobowe są przetwarzane zgodnie z przepisami UE o ochronie danych, mianowicie rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE.
Jakie dane zbiera EBC i w jaki sposób?
EBC zbiera informacje wrażliwe i dane osobowe dotyczące osób, które zgłaszają podejrzenie naruszenia odnośnych przepisów Unii Europejskiej. Zbiera też informacje wrażliwe i dane osobowe dotyczące osób, w odniesieniu do których zgłoszono takie podejrzenia, oraz innych zaangażowanych, o których mowa w zgłoszeniu złożonym na portalu dla demaskatorów. Ponadto przetwarza dane wszystkich osób pracujących dla niego lub dla właściwych organów krajowych (krajowych organów nadzoru), a także innych osób wspomnianych w zgłoszeniu lub aktach sprawy otwartej w jego wyniku. Jeżeli EBC uzna, że te osoby nie są istotne dla sprawy, przestanie przetwarzać ich dane.
Jako że naruszenie odnośnych przepisów UE można na portalu dla demaskatorów zgłosić anonimowo, osoby zgłaszające nie muszą podawać swoich danych osobowych. Nie można jednak wykluczyć, że podczas sprawdzania zgłoszenia EBC uzyska informacje zawierające dane umożliwiające identyfikację tych osób (np. imię i nazwisko, datę lub miejsce urodzenia, adres, numer telefonu, numer faksu, adres e‑mail, adres IP), ich dane zawodowe (np. wykonywany zawód, dane pracodawcy, stanowisko) lub dane finansowe (np. potwierdzenia wypłat wynagrodzenia, konta bankowe i portfele papierów wartościowych).
Kto jest odpowiedzialny za przetwarzanie danych osobowych zbieranych na portalu dla demaskatorów?
Administratorem tych danych osobowych na potrzeby ich przetwarzania jest EBC, a za proces przetwarzania odpowiada jego wewnętrzna jednostka organizacyjna – Dział Egzekwowania Prawa i Sankcji.
Informacje zgłoszone na portalu dla demaskatorów są także przetwarzane przez EQS Group AG – bezpieczny niezależny podmiot zewnętrzny działający na zlecenie EBC. Podmiot przetwarzający nie ma dostępu do treści zgłoszeń.
Jaki jest cel i podstawa prawna przetwarzania danych osobowych przez EBC?
EBC stworzył portal dla demaskatorów, z którego może skorzystać każdy, kto działa w dobrej wierze i ma uzasadnione podstawy, by przypuszczać, że nadzorowany podmiot lub właściwy organ (krajowy organ nadzoru, nazywany także właściwym organem krajowym, lub sam EBC) dopuścił się naruszenia aktów prawnych określonych w art. 4 ust. 3 rozporządzenia Rady (UE) nr 1024/2013 (rozporządzenie SSM), oraz chce przekazać EBC stosowne informacje.
Dane osobowe są zbierane i przetwarzane przez Dział Egzekwowania Prawa i Sankcji oraz EQS Group AG zgodnie z art. 5 ust. 1 lit. a) rozporządzenia 2018/1725.
Kto ma dostęp do zgłoszonych informacji i komu są one ujawniane?
Informacje zgłoszone na portalu dla demaskatorów są przetwarzane w imieniu EBC przez EQS Group AG – niezależny podmiot zewnętrzny. Przetwarzanie odbywa się w systemie przechowywania danych w chmurze, którego serwery znajdują się w Niemczech. Dostęp do zgłoszonych informacji mają wyłącznie użytkownicy z EBC.
Zgłoszeniami dokonanymi na portalu dla demaskatorów zajmuje się w EBC Dział Egzekwowania Prawa i Sankcji. Jego członków obowiązują zasady ścisłej poufności. Ten dział decyduje, czy przekazać otrzymane informacje odpowiednim jednostkom organizacyjnym EBC lub właściwym organom (krajowym organom nadzoru), zgodnie z rozporządzeniem SSM.
EBC stworzył portal dla demaskatorów wyłącznie po to, żeby zbierać informacje dotyczące naruszeń odnośnych przepisów Unii Europejskiej przez nadzorowane banki, krajowe organy nadzoru oraz sam EBC.
Gdy do EBC wpływa zgłoszenie naruszenia odnośnych przepisów UE, otrzymane informacje są przekazywane jego odpowiednim jednostkom organizacyjnym lub krajowym organom nadzoru. Takim zgłoszeniom EBC nadaje status „zgłoszeń chronionych”. To oznacza, że nie wyjawi danych osobowych ani tożsamości osób, które złożyły takie zgłoszenie na portalu dla demaskatorów, bez uprzedniego uzyskania ich wyraźnej zgody, chyba że ujawnienia danych zażąda sąd w związku z prowadzeniem dalszego dochodzenia lub późniejszego postępowania sądowego.
Otrzymane zgłoszenia, które nie dotyczą naruszenia odnośnych przepisów UE, ale odnoszą się do innych zadań EBC, są przekazywane jego odpowiednim jednostkom organizacyjnym. W takich przypadkach mają zastosowanie ogólne zasady EBC dotyczące ochrony danych.
Jeżeli EBC uzna, że otrzymane zgłoszenie dotyczy naruszenia przepisów UE innych niż odnośne (np. przeciwdziałania praniu pieniędzy, zwalczania finansowania terroryzmu, ochrony konsumentów czy nadzoru nad usługami płatniczymi) i nie odnosi się do innych jego zadań, nie przekazuje żadnych informacji dalej i usuwa otrzymane dane osobowe. W takich przypadkach mają zastosowanie ogólne zasady EBC dotyczące ochrony danych.
Jednak nawet kiedy chodzi o naruszenie przepisów UE innych niż odnośne, w rezultacie może zostać wykryte naruszenie wymogów ostrożnościowych. Przykładowo złamanie przepisów dotyczących przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu może być objawem nieodpowiednich mechanizmów zarządzania i kontroli wewnętrznej, których strukturę określono w przepisach dotyczących nadzoru ostrożnościowego nad instytucjami kredytowymi. W związku z tym EBC może w konkretnych przypadkach uznać te zgłoszenia za „zgłoszenia chronione” dotyczące naruszenia odnośnych przepisów UE i przekazać stosowne informacje swoim właściwym jednostkom organizacyjnym lub krajowym organom nadzoru, zgodnie z rozporządzeniem SSM.
Ponadto EBC może udostępnić informacje otrzymane w zgłoszeniach krajowym organom ds. przeciwdziałania praniu pieniędzy, jeżeli (a) zgłoszenie zawiera informacje, które są istotne i potrzebne w kontekście wykonywania przez te organy zadań określonych w wielostronnym porozumieniu w sprawie praktycznych zasad wymiany informacji między EBC a organami odpowiedzialnymi za przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, oraz jeżeli (b) te informacje dotyczą wewnętrznego systemu i mechanizmów kontroli nadzorowanego podmiotu.
Jak długo EBC przechowuje dane osobowe przekazane na portalu dla demaskatorów?
Po zamknięciu akt sprawy wszystkie odnośne dane osobowe są przechowywane przez wyznaczony okres, zgodnie z poniższymi zasadami.
Jeżeli zgłoszenie otrzymane przez EBC uznano za istotne dla jego zadań nadzorczych, ten okres wynosi pięć lat. Natomiast w przypadku zgłoszeń uznanych za nieistotne dla zadań nadzorczych, ale dotyczących innych zadań EBC, dane przechowuje się przez dwanaście miesięcy. Jeżeli EBC uzna, że zgłoszenie nie jest istotne dla żadnych jego zadań, dane są przechowywane przez trzy miesiące.
Przekazywanie danych osobowych państwom spoza UE
EBC jest stroną wielu porozumień o współpracy i będzie nadal zawierać takie porozumienia z innymi organami lub organizacjami międzynarodowymi. Te organizacje mogą wystąpić o dane osobowe zawarte w aktach spraw dotyczących zdemaskowanych naruszeń odnośnych przepisów UE. W takich przypadkach EBC musi przestrzegać szczegółowych zasad dotyczących przekazywania danych osobowych odbiorcom w krajach nienależących do UE, ponieważ nie obowiązują tam unijne przepisy w zakresie ochrony danych. Te zasady są określone w rozdziale V rozporządzenia o ochronie danych.
Prawa osoby, której dane dotyczą
Użytkownicy mają prawo do: dostępu do swoich danych osobowych, sprostowania ich lub ograniczenia ich przetwarzania oraz do wniesienia sprzeciwu wobec ich przetwarzania, a także, pod pewnymi warunkami, do wnioskowania o usunięcie danych. Żeby skorzystać z tego prawa, należy kontaktować się z Działem Egzekwowania Prawa i Sankcji pod adresem:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
We wszelkich sprawach związanych z przetwarzaniem danych osbowych można też zwracać się do Europejskiego Inspektora Ochrony Danych.
Dalsze informacje
Pytania na temat przetwarzania danych osobowych i praw osoby, której dane dotyczą, można także zgłaszać do inspektora ochrony danych w EBC (dpo@ecb.europa.eu).