Izjava o varstvu zasebnosti na platformi ECB za žvižgače
Pravni okvir za varstvo podatkov, ki velja za ECB
Vsi osebni podatki se obdelujejo v skladu z zakonodajo EU o varstvu podatkov, tj. v skladu z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES.
Katere podatke zbira ECB in kako jih zbira?
ECB zbira občutljive informacije in osebne podatke v zvezi s posamezniki, ki prijavljajo sum kršitve relevantne zakonodaje Evropske unije. ECB zbira tudi občutljive informacije in osebne podatke v zvezi s posamezniki, ki so domnevno storili kršitev, ter v zvezi z drugimi vpletenimi, ki so omenjeni v prijavi kršitve, predloženi preko platforme za žvižgače. ECB obdeluje tudi podatke posameznikov, ki delajo v ECB ali v pristojnem nacionalnem organu (nacionalnem nadzorniku), ter podatke drugih posameznikov, ki so omenjeni v prijavi kršitve ali nato v spisu zadeve. Če ECB ugotovi, da ti posamezniki niso povezani s primerom, njihovih podatkov ne obdeluje več.
Ker je mogoče preko platforme za žvižgače anonimno prijaviti kršitev relevantne zakonodaje EU, posamezniki, ki prijavljajo sum kršitve, nikakor niso obvezani, da razkrijejo svoje osebne podatke. Vseeno pa ni mogoče izključiti možnosti, da ECB med preiskovanjem prijave prejme informacije, ki vsebujejo podatke o identiteti (med drugim posameznikovo ime in priimek, datum rojstva, kraj rojstva, naslov, telefonsko številko, številko faksa, e-poštni naslov ali IP-naslov), podatke o poklicnem udejstvovanju (med drugim posameznikov poklic, ime delodajalca in položaj) ali finančne podatke (med drugim pisne obračune plač, bančne račune in portfelje vrednostnih papirjev).
Kdo je odgovoren za obdelavo osebnih podatkov, ki se zbirajo preko platforme za žvižgače?
ECB je upravljavec pri obdelavi osebnih podatkov, zbranih preko platforme za žvižgače, medtem ko je oddelek ECB Uveljavljanje pravil in sankcije organizacijska enota, ki je odgovorna za obdelavo teh podatkov.
Informacije, vnesene na platformi za žvižgače, v imenu ECB eksterno obdeluje tudi varni zunanji ponudnik EQS Group AG. Organizacija EQS Group AG nima dostopa do vsebine predloženih dokumentov.
Zakaj in na kakšni pravni podlagi ECB obdeluje osebne podatke?
ECB je platformo za žvižgače razvila tako, da jo lahko uporablja kdorkoli, ki v dobri veri in iz utemeljenih razlogov verjame, da je nadzorovani subjekt ali pristojni organ (nacionalni nadzornik oziroma t. i. pristojni nacionalni organ ali ECB) kršil pravne akte iz člena 4(3) Uredbe Sveta (EU) št. 1024/2013 (uredbe o enotnem mehanizmu nadzora) ter želi Evropski centralni banki predložiti relevantne informacije.
Osebne podatke v skladu s členom 5(1)(a) Uredbe 2018/1725 zbirata in obdelujeta oddelek Uveljavljanje pravil in sankcije ter organizacija EQS Group AG.
Kdo ima dostop do predloženih informacij in komu se razkrijejo?
Informacije, predložene preko platforme za žvižgače, v imenu ECB eksterno obdeluje zunanji ponudnik EQS Group AG. Informacije, predložene preko platforme za žvižgače, se obdelujejo v sistemu za shranjevanje v oblaku, strežniki pa se nahajajo v Nemčiji. Do predloženih informacij imajo dostop samo uporabniki v ECB.
Znotraj ECB je za obravnavo prijav kršitev, predloženih preko platforme za žvižgače, odgovoren oddelek Uveljavljanje pravil in sankcije, njegove zaposlene pa zavezujejo stroga pravila o zaupnosti. Oddelek Uveljavljanje pravil in sankcije se odloči, ali bo informacije posredoval pristojnim poslovnim področjem znotraj ECB oziroma pristojnim organom (nacionalnim nadzornikom) v skladu z uredbo o enotnem mehanizmu nadzora.
ECB je vzpostavila platformo za žvižgače zgolj z namenom pridobivati informacije v zvezi s kršitvijo relevantne zakonodaje Evropske unije s strani nadzorovane banke, nacionalnega nadzornika ali same ECB.
Če ECB prejme prijavo, povezano s kršitvijo relevantne zakonodaje EU, informacije posreduje pristojnemu poslovnemu področju znotraj ECB oziroma nacionalnim nadzornikom. ECB takšne prijave obravnava kot »varovano poročilo«. To pomeni, da ECB ne bo razkrila identitete ali osebnih podatkov osebe ali oseb, ki so odgovorne za predložitev varovanega poročila preko platforme za žvižgače, ne da bi prej pridobila njihovo izrecno soglasje, razen če tako razkritje zahteva sodna odločba v okviru nadaljnjih preiskav ali poznejših sodnih postopkov.
Če ECB prejme prijavo, ki ni povezana s kršitvijo relevantne zakonodaje EU, vendar vseeno zadeva druge naloge ECB, bo informacije posredovala pristojnemu poslovnemu področju znotraj ECB. Veljajo splošni standardi ECB glede varstva podatkov.
Če ECB prejme prijavo, pri kateri ugotovi, da je povezana s kršitvijo zakonodaje, ki ni relevantna zakonodaja EU (npr. preprečevanje pranja denarja in boj proti financiranju terorizma, varstvo potrošnikov ali nadzor plačilnih storitev), oziroma prijavo, ki ne zadeva drugih nalog ECB, bo prejete osebne podatke izbrisala brez nadaljnjega posredovanja informacij. Veljajo splošni standardi ECB glede varstva podatkov.
Kršitev določil zakonodaje, ki ni relevantna zakonodaja EU, pa lahko vseeno razkrije kršitev bonitetnih zahtev. Kršitev določb o preprečevanju pranja denarja in boju proti financiranju terorizma je lahko na primer simptom nezanesljivih mehanizmov upravljanja in internih kontrol, katerih strukturo določajo pravila v zvezi z bonitetnim nadzorom kreditnih institucij. Takšne prijave lahko torej ECB obravnava kot »varovano poročilo«, povezano s kršitvijo relevantne zakonodaje EU – odvisno od vsakega primera posebej – ter informacije posreduje pristojnemu poslovnemu področju znotraj ECB oziroma nacionalnim nadzornikom v skladu z uredbo o enotnemu mehanizmu nadzora.
Poleg tega lahko ECB informacije, ki jih je prejela v prijavi kršitve, posreduje nacionalnim organom, odgovornim za preprečevanje pranja denarja, če (i) prijava vsebuje informacije, ki so relevantne in potrebne za izvajanje nalog takšnih organov, kot predvideva večstranski dogovor o praktičnih vidikih izmenjave informacij med ECB in pristojnimi organi za preprečevanje pranja denarja in boj proti financiranju terorizma, in (ii) se informacije nanašajo na interne sisteme in kontrole nadzorovanega subjekta.
Kako dolgo ECB hrani osebne podatke, predložene preko platforme za žvižgače?
Potem ko je zadeva zaključena, se bodo relevantni osebni podatki hranili še določeno obdobje, kot je opisano spodaj.
Če je prijava, ki jo je prejela ECB, relevantna za nadzorniške naloge ECB, se bodo podatki hranili pet let. Če prijava ni relevantna za nadzorniške naloge ECB, vendar vseeno zadeva druge naloge ECB, se bodo podatki hranili dvanajst mesecev. Če ECB ugotovi, da prijava ni relevantna za nobeno od nalog ECB, se bodo podatki hranili tri mesece.
Prenos osebnih podatkov v države zunaj EU
ECB je stranka v več sporazumih o sodelovanju ter bo še naprej sklepala takšne vrste dogovorov z drugimi organi ali mednarodnimi organizacijami. Te organizacije lahko zahtevajo osebne podatke iz spisov zadev v zvezi s prijavljenimi kršitvami zakonodaje EU. V takšnih primerih mora ECB ravnati v skladu s posebnimi pravili o prenosu osebnih podatkov prejemnikom v državah zunaj EU, kjer zakonodaja EU o varstvu podatkov ne velja. Ta pravila so opisana v poglavju V uredbe o varstvu podatkov.
Vaše pravice
Imate pravico, da dostopate do svojih osebnih podatkov, jih popravite, omejite njihovo obdelavo ali ji nasprotujete in da pod določenimi pogoji zaprosite, da se izbrišejo. Svoje pravice lahko uveljavljate tako, da nam pišete na naslednji naslov:
Evropska centralna banka
Oddelek Uveljavljanje pravil in sankcije
Mehanizem za prijavo kršitev
60640 Frankfurt na Majni
Imate tudi pravico, da se glede obdelave vaših osebnih podatkov kadarkoli obrnete na evropskega nadzornika za varstvo podatkov.
Dodatne informacije
Če imate kakšno vprašanje o obdelavi vaših osebnih podatkov ali o vaših pravicah, lahko kontaktirate Uradno osebo za varstvo podatkov v ECB (dpo@ecb.europa.eu).