Menu

Integritetspolicy för ECB:s plattform för visselblåsare

Rättslig ram för ECB:s dataskydd

Alla personuppgifter behandlas enligt EU:s dataskyddslagstiftning, dvs. Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG.

Vilken information samlar ECB in och hur görs detta?

ECB samlar in känslig information och personuppgifter för personer som anmäler en misstänkt överträdelse av relevant EU-lagstiftning, för personer som misstänks ha begått en överträdelse samt för andra berörda parter som nämns i en anmälan av överträdelser som lämnats in via plattformen för visselblåsare. ECB behandlar även uppgifter för sin egen eller nationella behöriga myndigheters (nationella tillsynsmyndigheters) personal samt för andra personer som nämns i en anmälan av överträdelser eller i en resulterande ärendeakt. Om ECB anser att dessa personer inte har något med ärendet att göra, upphör behandlingen av deras uppgifter.

Eftersom överträdelser av relevant EU-lagstiftning kan anmälas anonymt via plattformen, är anmälaren inte alls skyldig att ange sina personuppgifter. I samband med att en anmälan utreds kan ECB dock komma att ta del av information som innehåller personuppgifter (t.ex. personens för- och efternamn, födelsedatum, födelseort, adress ,telefonnummer, faxnummer, e-postadress och IP-adress), arbetsrelaterade uppgifter (t.ex. en persons yrke, arbetsgivare och funktion) eller finansiella uppgifter (t.ex. lönebesked, bankkonton och värdepappersportföljer).

Vem ansvarar för behandlingen av personuppgifter som samlats in via plattformen?

ECB är personuppgiftsansvarig för de uppgifter som samlats in via plattformen och sektionen inom ECB:s avdelning för verkställighet och sanktioner är den enhet som ansvarar för behandlingen av dessa uppgifter.

Information som lämnas in via denna plattform behandlas också externt på ECB:s vägnar av den säkra tredjepartsleverantören EQS Group AG. EQS Group AG har inte tillgång till anmälningarnas innehåll.

Varför och på vilka rättsliga grunder behandlar ECB personuppgifter?

ECB har utvecklat sin plattform för visselblåsare för personer som agerar i god tro och har rimliga grunder att misstänka att en enhet under tillsyn eller en behörig myndighet (en nationell tillsynsmyndighet, dvs. en nationell behörig myndighet, eller ECB) har åsidosatt de rättsakter som anges i artikel 4.3 i rådets förordning (EU) nr 1024/2013 (SSM-förordningen) och vill lämna in relevant information till ECB.

Personuppgifter samlas in och behandlas av ECB:s avdelning för verkställighet och sanktioner och EQS Group AG i enlighet med artikel 5.1 a i förordning 2018/1725.

Vem har tillgång till informationen som lämnas in?

Information som lämnats in via plattformen behandlas externt på ECB:s vägnar av tredjepartsleverantören EQS Group AG. Information som lämnats in via plattformen behandlas genom ett molnlagringssystem med servrar belägna i Tyskland. Endast ECB:s användare har tillgång till den inlämnade informationen.

ECB:s verkställighetsorgan ansvarar för behandlingen av anmälningar som lämnats in via plattformen, och dess medarbetare omfattas av strikta konfidentialitetsregler. Verkställighetsorganet beslutar om informationen ska skickas vidare till behöriga verksamhetsområden inom ECB och/eller behöriga myndigheter (nationella tillsynsmyndigheter) i enlighet med SSM-förordningen.

Syftet med plattformen för visselblåsare är endast att ta emot information om överträdelser av relevant EU-lagstiftning vilka begåtts av en bank under tillsyn, en nationell tillsynsmyndighet eller ECB.

Om ECB får sådana anmälningar kommer informationen att skickas vidare till det behöriga verksamhetsområdet inom ECB och/eller till nationella tillsynsmyndigheter. Anmälningar av detta slag behandlas dock av ECB som ”skyddade anmälningar”. Detta innebär att ECB inte röjer identiteten eller personuppgifterna för en eller flera uppgiftslämnare som lämnat in en skyddad anmälan via plattformen utan att först få deras samtycke, förutom om detta krävs enligt domstolsbeslut för vidare utredning eller efterföljande rättsliga förfaranden.

Om ECB får anmälningar som inte gäller överträdelser av relevant EU-lagstiftning men som berör andra av ECB:s arbetsuppgifter kommer informationen att skickas vidare till behörigt verksamhetsområde inom ECB. ECB:s allmänna dataskyddsstandarder gäller fortfarande.

Om ECB får anmälningar som bedöms avse överträdelser av icke-relevant EU-lagstiftning (t.ex. frågor om penningtvätt och bekämpning av terrorismfinansiering, konsumentskydd eller betaltjänster) och som inte berör andra av ECB:s arbetsuppgifter, raderas personuppgifterna utan att skickas vidare. ECB:s allmänna dataskyddsstandarder gäller fortfarande.

Ibland kan dock överträdelser av icke-relevant EU-lagstiftning indikera att det har förekommit överträdelser av tillsynskrav. Om det t.ex. förekommer överträdelser av tillsynskraven för bekämpning av penningtvätt och terrorismfinansiering kan detta tyda på en osund styrning och bristfälliga mekanismer för intern kontroll. Hur detta ska vara organiserat anges i regelverket för tillsyn av kreditinstitut. Mot denna bakgrund kan ECB beroende på ärende behandla sådana anmälningar som ”skyddade anmälningar” avseende överträdelser av relevant EU-lagstiftning. Informationen skickas då vidare till behöriga verksamhetsområden inom ECB och/eller nationella tillsynsmyndigheter i enlighet med SSM-förordningen.

Dessutom kan ECB skicka vidare information som erhållits från anmälningar av överträdelser till nationella myndigheter som ansvarar för bekämpning av penningtvätt om i) anmälningarna innehåller information som är relevant och nödvändig för dessa myndigheters utförande av sina uppgifter enligt det multilaterala avtalet om de praktiska villkoren för informationsutbyte mellan ECB och behöriga myndigheter som bekämpar penningtvätt och finansiering av terrorism, och ii) informationen berör den interna styrningen och kontrollen av en enhet under tillsyn.

Hur länge lagrar ECB personuppgifter som har lämnats in via plattformen?

När ett ärende är färdigbehandlat lagras alla relevanta personuppgifter under en viss lagringsperiod (se nedan).

Om ECB fått in en anmälan som anses relevant för ECB:s tillsynsuppgifter lagras uppgifterna i fem år. Om en anmälan inte anses vara relevant för ECB:s tillsynsuppgifter men berör ECB:s andra uppgifter lagras uppgifterna i tolv månader. Om ECB anser att en anmälan inte är relevant för ECB:s uppgifter lagras uppgifterna i tre månader.

Överföring av personuppgifter till länder utanför EU

ECB är avtalspart till olika samarbetsavtal och kommer att fortsätta att ingå denna typ av avtal med andra myndigheter och internationella organisationer. Dessa organisationer kan begära personuppgifter från visselblåsningsärenden om rapporterade överträdelser av EU-lagstiftning. I sådana fall måste ECB följa specifika regler för överföring av personuppgifter till mottagare i länder utanför EU, där EU:s dataskyddslagstiftning inte gäller. Dessa regler fastställs i kapitel V i dataskyddsförordningen.

Dina rättigheter

Du har rätt att få tillgång till och korrigera dina personuppgifter, inskränka eller förbjuda behandlingen av dessa samt att, under vissa förutsättningar, begära att de lagrade personuppgifterna raderas. Du kan åberopa dina rättigheter genom att kontakta verkställighetsorganet på följande adress:

European Central Bank
DG/SSB/ESA/EN – Enforcement Section
Breach reporting/whistleblowing mechanism
60640 Frankfurt

Du kan när som helst kontakta Europeiska datatillsynsmannen, European Data Protection Supervisor avseende behandlingen av dina personuppgifter.

Ytterligare information

Du kan kontakta ECB:s personuppgiftsombud (dpo@ecb.europa.eu) vid frågor om behandlingen av dina personuppgifter eller dina rättigheter.