Declarație privind protecția vieții private pentru platforma BCE dedicată avertizărilor de integritate
Cadrul juridic pentru protecția datelor aplicabil BCE
Toate datele cu caracter personal sunt prelucrate în conformitate cu legislația UE privind protecția datelor, respectiv Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE.
Ce date colectează BCE și în ce mod?
BCE colectează informații sensibile și date cu caracter personal referitoare la persoane care raportează o presupusă încălcare a legislației relevante a Uniunii Europene. De asemenea, BCE colectează informații sensibile și date cu caracter personal referitoare la persoane care sunt acuzate că au comis o încălcare, precum și la alte părți implicate care sunt menționate în raportările privind încălcările transmise prin intermediul platformei dedicate avertizărilor de integritate. Totodată, BCE prelucrează datele oricăror persoane care lucrează pentru aceasta sau pentru o autoritate națională competentă (autoritate națională de supraveghere), precum și datele oricăror alte persoane menționate în raportarea încălcării sau într-un dosar rezultat în urma acesteia. În cazul în care va constata că persoanele respective nu prezintă relevanță pentru caz, BCE nu va mai prelucra datele acestora.
Întrucât raportarea anonimă de încălcări ale legislației relevante a UE este posibilă prin intermediul platformei dedicate avertizărilor de integritate, persoanele care raportează o presupusă încălcare nu au în niciun caz obligația de a divulga datele lor cu caracter personal. Cu toate acestea, nu se poate exclude posibilitatea ca, pe parcursul procesului de investigare a unei raportări, BCE să primească informații conținând date de identificare (inclusiv numele și prenumele persoanei, data nașterii, locul nașterii, adresa, numărul de telefon, numărul de fax, adresa de e-mail și adresa IP), date profesionale (inclusiv profesia, angajatorul și funcția persoanei) sau date financiare (inclusiv state de plată, conturi bancare și portofolii de titluri de valoare).
Cine este responsabil de prelucrarea datelor cu caracter personal colectate prin intermediul platformei dedicate avertizărilor de integritate?
BCE este operatorul responsabil de prelucrarea datelor cu caracter personal colectate prin intermediul platformei dedicate avertizărilor de integritate, iar Serviciul executare și sancțiuni al BCE este unitatea organizațională responsabilă de prelucrarea acestor date.
De asemenea, informațiile transmise prin intermediul platformei dedicate avertizărilor de integritate sunt prelucrate extern, în numele BCE, de compania EQS Group AG, furnizor terț securizat, care nu are acces la conținutul documentelor transmise.
De ce prelucrează BCE datele cu caracter personal și care este temeiul juridic?
BCE a elaborat platforma dedicată avertizărilor de integritate în vederea utilizării de către orice persoană care acționează cu bună-credință și care are motive întemeiate să considere că o entitate supravegheată sau o autoritate competentă (o autoritate națională de supraveghere, denumită și autoritate națională competentă, sau BCE) a încălcat dispozițiile actelor juridice prevăzute la articolul 4 alineatul (3) din Regulamentul (UE) nr. 1024/2013 al Consiliului (Regulamentul privind MUS) și dorește să transmită BCE informații relevante.
Datele cu caracter personal sunt colectate și prelucrate în conformitate cu articolul 5 alineatul (1) litera (a) din Regulamentul 2018/1725 de Serviciul executare și sancțiuni și de compania EQS Group AG.
Cine are acces la informațiile transmise și cui îi sunt divulgate acestea?
Informațiile transmise prin intermediul platformei dedicate avertizărilor de integritate sunt prelucrate extern, în numele BCE, de compania EQS Group AG, un furnizor terț. Informațiile transmise prin intermediul platformei dedicate avertizărilor de integritate sunt prelucrate prin intermediul unui sistem de stocare de tip cloud cu servere în Germania. Numai utilizatorii din cadrul BCE au acces la informațiile transmise.
La nivelul BCE, Serviciul executare și sancțiuni este responsabil de tratarea raportărilor transmise prin intermediul platformei dedicate avertizărilor de integritate, iar membrii acestuia au obligația de a respecta un regim strict de confidențialitate. Serviciul executare și sancțiuni decide dacă înaintează informațiile compartimentelor competente din cadrul BCE și/sau autorităților competente (autorităților naționale de supraveghere) în conformitate cu Regulamentul privind MUS.
Prin punerea la dispoziție a platformei dedicate avertizărilor de integritate, BCE intenționează să primească numai informații privind încălcări ale legislației relevante a Uniunii Europene comise de o bancă supravegheată, de o autoritate națională de supraveghere sau chiar de BCE.
În cazul în care BCE primește raportări referitoare la încălcări ale legislației relevante a UE, informațiile vor fi înaintate compartimentelor competente din cadrul BCE și/sau autorităților naționale de supraveghere. Totuși, aceste raportări sunt tratate de BCE ca „raportări protejate”. Aceasta înseamnă că BCE nu va divulga identitatea sau datele cu caracter personal ale unei (unor) persoane responsabile de transmiterea unei raportări protejate prin intermediul platformei dedicate avertizărilor de integritate, fără obținerea în prealabil a consimțământului explicit al persoanei/persoanelor respective, cu excepția cazului în care această divulgare este impusă de o hotărâre a unei instanțe judecătorești în contextul unor investigații suplimentare sau al unor proceduri judiciare ulterioare.
Dacă BCE primește raportări care nu au legătură cu încălcări ale legislației relevante a UE, dar care privesc totuși alte atribuții ale BCE, informațiile vor fi înaintate compartimentelor competente din cadrul BCE. Se vor aplica standardele generale de protecție a datelor ale BCE.
În cazul în care BCE primește raportări care, potrivit constatărilor sale, se referă la încălcări ale unor dispoziții ale legislației nerelevante a UE (de exemplu, combaterea spălării banilor și a finanțării terorismului, protecția consumatorilor sau supravegherea serviciilor de plăți) și nu privesc alte atribuții ale BCE, aceasta va șterge datele cu caracter personal primite, fără a trimite mai departe niciun fel de informații. Se vor aplica standardele generale de protecție a datelor ale BCE.
Cu toate acestea, încălcări ale unor dispoziții ale legislației nerelevante a UE pot evidenția încălcări ale cerințelor prudențiale. De exemplu, încălcări ale unor dispoziții privind combaterea spălării banilor și a finanțării terorismului pot fi simptome ale unei guvernanțe și ale unor mecanisme de control intern defectuoase, a căror structură este prevăzută în normele referitoare la supravegherea prudențială a instituțiilor de credit. Prin urmare, aceste raportări pot fi tratate de BCE, de la caz la caz, ca „raportări protejate” referitoare la încălcări ale legislației relevante a UE, iar informațiile sunt înaintate compartimentelor competente din cadrul BCE și/sau autorităților naționale de supraveghere în conformitate cu Regulamentul privind MUS.
În plus, informațiile primite în urma raportărilor încălcărilor pot fi transmise de BCE autorităților naționale responsabile de combaterea spălării banilor dacă: (i) raportările conțin informații relevante și necesare pentru îndeplinirea atribuțiilor autorităților respective, astfel cum sunt prevăzute în acordul multilateral privind modalitățile practice de schimb de informații între BCE și autoritățile competente în domeniul combaterii spălării banilor și a finanțării terorismului și (ii) informațiile se referă la sistemul și controalele interne ale unei entități supravegheate.
Cât timp păstrează BCE datele cu caracter personal transmise prin intermediul platformei dedicate avertizărilor de integritate?
După închiderea unui dosar, toate datele cu caracter personal relevante vor fi stocate pe o perioadă de retenție stabilită, astfel cum se menționează mai jos.
În cazul în care se consideră că raportarea primită de BCE prezintă relevanță pentru atribuțiile de supraveghere ale BCE, datele vor fi stocate pe o perioadă de cinci ani. În cazul în care se consideră că raportarea nu este relevantă pentru atribuțiile de supraveghere ale BCE, dar privește totuși alte atribuții ale BCE, datele vor fi stocate pe o perioadă de douăsprezece luni. Dacă BCE decide că o raportare nu prezintă relevanță pentru niciuna dintre atribuțiile BCE, datele vor fi stocate pe o perioadă de trei luni.
Transferul de date cu caracter personal către țări din afara UE
BCE este parte la diferite acorduri de cooperare și va continua să încheie acorduri de acest tip cu alte autorități sau organizații internaționale. Aceste organizații pot solicita date cu caracter personal din dosarele aferente avertizărilor de integritate privind încălcări raportate ale legislației UE. În astfel de cazuri, BCE are obligația de a se conforma normelor specifice privind transferul de date cu caracter personal către destinatari aflați în țări din afara UE, în care legislația UE privind protecția datelor nu se aplică. Aceste norme sunt prevăzute în capitolul V din Regulamentul privind protecția datelor.
Drepturile tale
Ai dreptul de a accesa și a rectifica datele tale cu caracter personal, de a restricționa sau de a formula obiecții cu privire la prelucrarea datelor și, în anumite condiții, de a solicita ștergerea acestora. Îți poți exercita drepturile contactând adresa următoare:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Totodată, ai dreptul de a contacta în orice moment Autoritatea Europeană pentru Protecția Datelor cu privire la prelucrarea datelor tale cu caracter personal.
Informații suplimentare
Poți contacta responsabilul cu protecția datelor (Data Protection Officer) din cadrul BCE (dpo@ecb.europa.eu) în cazul în care ai întrebări legate de prelucrarea datelor tale cu caracter personal sau de drepturile tale.