Adatvédelmi nyilatkozat az EKB visszaélés-bejelentő oldalához
Az EKB-ra vonatkozó adatvédelmi jogi keretek
Minden személyes adatot az uniós adatvédelmi jogszabály, nevezetesen a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló (EU) 2018/1725 európai parlamenti és tanácsi rendelet (2018. október 23.) előírásainak megfelelően kezelünk.
Milyen adatokat és hogyan gyűjt az EKB?
Az EKB a releváns európai uniós jogszabály megsértésének gyanúját bejelentő személyekről szenzitív információkat és személyes adatokat gyűjt. Ilyen adatokat gyűjt még azokról az állítólagos jogsértőkről, valamint más érintettekről, akik a visszaélés-bejelentő oldalon benyújtott bejelentésekben szerepelnek. Ezenfelül kezeli a saját vagy az illetékes nemzeti hatóság (országos felügyelet) alkalmazottainak, valamint a jogsértés-bejelentésben vagy abból származó ügyiratban említett más személyeknek az adatait is. Ha megállapítja, hogy a szóban forgó személyeknek nincs közük az ügyhöz, megszünteti adataik kezelését.
Mivel a bejelentő oldalon névtelenül is bejelenthető valamely releváns európai uniós jogszabály megsértése, a bejelentők nem kötelesek megadni személyes adataikat. Nem zárható ki azonban, hogy az EKB a bejelentés kivizsgálása során olyan információkhoz jut, amelyek személyi azonosításra alkalmas (úgymint a vezeték- és utónév, születési idő, születési hely, lakcím, telefonszám, faxszám, e-mail- és IP-cím), foglalkozással kapcsolatos (például az érintett szakmája, munkáltatója és beosztása) vagy pénzügyi (beleértve az illetményelszámolást, bankszámlát és értékpapír-portfóliót) adatot tartalmaznak.
Ki a felelős a visszaélés-bejelentő oldalon gyűjtött személyes adatok kezeléséért?
A platformon gyűjtött személyes adatok kezelője az EKB, feldolgozásukért pedig az EKB végrehajtási és szankcionálási osztálya felelős.
A benyújtott információkat az EKB megbízásából az intézményen kívül is feldolgozza egy biztonságos külső szolgáltató, az EQS Group AG, amely azonban nem kap betekintést a beadványok tartalmába.
Miért és milyen jogalapon kezel az EKB személyes adatot?
Az EKB azért állított fel visszaélés-bejelentő platformot, hogy azon bárki bejelentést tehessen, aki jóhiszeműen eljárva, megalapozottan feltételezi, hogy egy felügyelt szervezet vagy illetékes hatóság (országos felügyelet – más néven illetékes nemzeti hatóság – vagy az EKB) megsértette az 1024/2013/EU tanácsi rendelet (az SSM-rendelet) 4. cikkének (3) bekezdésében megnevezett jogi aktusokat, és aki erre vonatkozó információt kíván az EKB tudomására hozni.
A személyes adatok gyűjtését és kezelését a végrehajtási és szankcionálási osztály és az EQS Group AG végzi, az (EU) 2018/1725 rendelet 5. cikke (1) bekezdésének a) pontjával összhangban.
Ki tekinthet bele a kapott információkba, és kivel közlik őket?
A visszaélés-bejelentő oldalon benyújtott információkat az EKB megbízásából külső szolgáltató, az EQS Group AG dolgozza fel az intézményen kívül, Németországban elhelyezett szerverekkel, felhőalapú tároló rendszeren. Kizárólag az EKB felhasználói tekinthetnek bele az információkba.
A visszaélés-bejelentő platformon tett bejelentések kezelése az EKB-n belül a végrehajtási és szankcionálási osztály feladata, amelynek tagjait szigorú titoktartási szabályok kötik. Ők döntenek arról, hogy továbbítanak-e az EKB-n belüli illetékes szervezeti egységhez, vagy az illetékes hatósághoz (országos felügyelethez) információkat az SSM-rendelet értelmében.
Az EKB-nak a visszaélés-bejelentő platform fenntartásával csak annyi a célja, hogy értesüljön valamely hatályos európai uniós jogszabálynak a felügyelt bankok, a nemzeti felügyeletek vagy maga az EKB általi megsértéséről.
Amennyiben releváns EU-jogszabály megsértéséről szóló bejelentés érkezik, az információt elküldi az EKB-n belül illetékes szervezeti egységnek, illetve az országos felügyeletnek. Az ilyen anyagokat azonban „védett bejelentésként” kezeli. Ennek megfelelően csak akkor fedi fel a visszaélés-bejelentő oldalon védett bejelentést benyújtó(k) kilétét vagy személyes adatait, ha erre megkapta azok kifejezett hozzájárulását – kivéve, ha az adatok kiadását olyan bírósági végzés írja elő, amely további nyomozással vagy az azt követő igazságszolgáltatási eljárással függ össze.
Ha az EKB-hoz olyan bejelentés érkezik, amely nem kötődik releváns uniós jogszabály megsértéséhez, de a jegybank más feladatait érinti, az információkat elküldi az illetékes szervezeti egységnek. Ebben az esetben az EKB általános adatvédelmi normái érvényesek.
Amennyiben az EKB olyan bejelentést kap, amely a megítélése szerint nem releváns (például pénzmosás és terrorizmusfinanszírozás elleni küzdelemre, fogyasztóvédelemre és a fizetési szolgáltatások felügyeletére vonatkozó) EU-jogszabályi rendelkezések megsértésével kapcsolatos, és nem érinti az EKB egyéb feladatait, az információ továbbítása nélkül törli a kapott személyes adatokat. Erre az EKB általános adatvédelmi normái érvényesek.
Azonban a nem releváns uniós jogszabályok rendelkezéseinek megsértése prudenciális követelmények megszegésére is fényt vethet. Például a pénzmosás és a terrorizmusfinanszírozás elleni (pm-tfe) küzdelemre vonatkozó rendelkezések megsértése intő jel lehet arra, hogy a hitelintézetek prudenciális felügyeletéről szóló szabályokban meghatározott szervezetirányítási és belső kontrollmechanizmusok nem megfelelőek. Az EKB ezért az ilyen bejelentést eseti alapon úgy kezelheti, mint a releváns EU-jogszabály megsértéséről szóló „védett bejelentést”, azaz az információkat megküldi az illetékes szervezeti egységének, illetve az SSM-rendelet szerinti országos felügyeletnek.
A fentiek mellett az EKB a jogsértés-bejelentésből származó információkat a pénzmosás elleni küzdelemért felelős országos szervek tudomására is hozhatja, (i) ha a bejelentés olyan információkat tartalmaz, amelyek az EKB és az illetékes pm-tfe hatóságok közötti információcsere gyakorlati módozatairól szóló többoldalú megállapodásban előírtak szerint az ilyen hatóság feladatainak ellátásához szükségesek és relevánsak, és (ii) ha az információk valamely felügyelt szervezet belső rendszeréhez és kontrolljához kapcsolódnak.
Mennyi ideig őrzi meg az EKB a visszaélés-bejelentő oldalon benyújtott személyes adatokat?
Az ügyirat lezárása után minden releváns személyes adatot az alábbiakban ismertetett, meghatározott megőrzési időszakon át tárolunk.
Az adatokat öt évig tároljuk, ha a kapott bejelentés az EKB felügyeleti feladataihoz relevánsnak minősül. Ha olyan adatokról van szó, amelyek az EKB más feladatait érintik, a tárolás időtartama tizenkét hónap. Ha az EKB úgy dönt, hogy a bejelentés semmilyen feladata szempontjából sem érdekes, akkor az adatokat három hónapig tároljuk.
A személyes adatok EU-n kívüli országba továbbítása
Az EKB a jelenben és a jövőben is különféle együttműködési megállapodásokban vesz részt más szervekkel és nemzetközi szervezetekkel. Megtörténhet, hogy ezek személyes adatokat kérnek ki az EU-jogszabályok megsértéséről szóló, visszaélés-bejelentési ügyiratokból. Ilyen esetben a jegybank köteles megfelelni azoknak a konkrét szabályoknak, amelyek a személyes adatoknak az Európai Unión kívüli olyan országban található címzettek részére való továbbítására vonatkoznak, ahol az uniós adatvédelmi jogszabály nem hatályos. Ezeket a szabályokat az adatvédelmi rendelet V. fejezete tartalmazza.
Az érintettek jogai
Az érintetteknek jogukban áll a személyes adataik megtekintése, helyesbítése, az adatkezelés korlátozása vagy kifogásolása, valamint – bizonyos feltételek mellett – az adataik törlésének kérése. Az említett jogok gyakorlásához keressen meg bennünket az alábbi címen:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Emellett az érintetteknek jogukban áll, hogy személyes adataik kezelésével kapcsolatban bármikor az európai adatvédelmi biztoshoz forduljanak.
További információk
A személyes adatok kezelésére és a kapcsolódó jogokra vonatkozó kérdés esetén az EKB adatvédelmi tisztviselőjével lehet felvenni a kapcsolatot (dpo@ecb.europa.eu).