Zoekopties
Home Media Explainers Onderzoek & publicaties Statistieken Monetair beleid De euro Betalingsverkeer & markten Werken bij de ECB
Suggesties
Sorteren op

Privacyverklaring verwerking persoonsgegevens uit hoofde van het prudentieel toezicht in het kader van het gemeenschappelijk toezichtsmechanisme

De ECB verwerkt persoonsgegevens uit hoofde van haar prudentiële toezichtstaken, -verantwoordelijkheden en -bevoegdheden. In deze privacyverklaring wordt toegelicht hoe de ECB in het algemene kader van de prudentiële toezichtsactiviteiten persoonsgegevens verwerkt.

Deze pagina bevat tevens nadere informatie over de persoonsgegevens die de ECB in het kader van autorisatieprocedures verwerkt. De informatie vindt u bij de desbetreffende procedure (vergunningverlening, gekwalificeerde deelnemingen, deskundigheids- en betrouwbaarheidsbeoordelingen, recht van vestiging of intrekking vergunning) in de onderstaande lijsten.

Wat is het wettelijk kader?

Bij Verordening (EU) nr. 1024/2013 van 15 oktober 2013 (GTM-verordening) zijn aan de Europese Centrale Bank (ECB) specifieke taken opgedragen betreffende het prudentieel toezicht op kredietinstellingen op grond van artikel 127, lid 6, van het Verdrag betreffende de werking van de Europese Unie (VwEU).

De ECB is voor de doeleinden van het prudentieel toezicht belast met de specifieke taken bedoeld in artikel 4 van de GTM-verordening, in het kader van artikel 6 van die verordening, met betrekking tot kredietinstellingen gevestigd in i) EU-lidstaten die de euro als munt hebben en ii) EU-lidstaten die niet de euro als munt hebben en die overeenkomstig artikel 7 van de GTM-verordening een nauw samenwerkingsverband met de ECB zijn aangegaan (de deelnemende lidstaten). In Verordening (EU) nr. 468/2014 van de Europese Centrale Bank van 16 april 2014 (GTM-kaderverordening) worden regels en procedures vastgesteld voor de samenwerking tussen de ECB en de nationale bevoegde autoriteiten (national competent authorities – NCA's) van de deelnemende lidstaten.

De ECB kan bij de uitvoering van haar toezichtstaken in het kader van de GTM-verordening persoonsgegevens verzamelen en verder verwerken. Dat valt onder de EU-wetgeving voor gegevensbescherming, dat wil zeggen Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EU) nr. 45/2001 en van Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39-98).

Waarom verwerken we persoonsgegevens?

De ECB verzamelt en verwerkt persoonsgegevens met het oog op de uitvoering en de uitoefening van de prudentiële toezichtstaken, verantwoordelijkheden en bevoegdheden die haar bij de GTM-verordening zijn verleend (met name de artikelen 4, 5, 6, 7, 8 en 18 van die verordening). Dit omvat een breed scala aan activiteiten, waaronder:

  • autorisatieprocedures:
    Vergunningverlening

    Krachtens artikel 4, lid 1, onder a), van de GTM-verordening is de ECB als enige bevoegd een vergunning te verlenen om de werkzaamheden van een kredietinstelling uit te oefenen in een deelnemende lidstaat, met inachtneming van artikel 14 van die verordening. De ECB heeft in dit verband de taak na te gaan of een nieuwkomer in de bankmarkt robuust is en voldoet aan de nationale en EU-wetgeving. De nadruk wordt daarbij vooral gelegd op het kapitaalniveau van de aanvragende bank, het programma van werkzaamheden, de structurele organisatie en de geschiktheid van de bestuurders en de relevante aandeelhouders. De gevraagde persoonsgegevens zijn derhalve nodig om te beoordelen of de aanvrager een vergunning wordt verleend om de werkzaamheden van een kredietinstelling uit te oefenen.

    Gekwalificeerde deelnemingen

    Krachtens artikel 4, lid 1, onder c), van de GTM-verordening is de ECB als enige bevoegd kennisgevingen te beoordelen over de verwerving van gekwalificeerde deelnemingen in een kredietinstelling in een deelnemende lidstaat, met inachtneming van artikel 15 van die verordening. Op grond van de in EU- en/of nationale wetgeving vastgelegde beoordelingscriteria besluit de ECB of er al dan niet tegen de verwerving bezwaar wordt gemaakt conform de in die wetgeving bepaalde procedures en beoordelingstermijnen. De gevraagde persoonsgegevens zijn dus noodzakelijk om te beoordelen of wordt voldaan aan de criteria voor de verwerving van gekwalificeerde deelnemingen in kredietinstellingen. Overeenkomstig artikel 23, lid 1, onder a) tot en met e),van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 moeten de volgende criteria worden beoordeeld om de geschiktheid van de kandidaat-verwerver en de financiële soliditeit van de voorgenomen verwerving te bepalen:

    • de reputatie en de financiële soliditeit van de kandidaat-verwerver;
    • de deskundigheid en betrouwbaarheid van de leden van het leidinggevend orgaan en van de leden van de directie die als gevolg van de voorgenomen verwerving het bedrijf van de kredietinstelling gaan leiden;
    • of de te verwerven kredietinstelling de prudentiële vereisten blijft naleven;
    • of er redelijkerwijs kan worden vermoed dat in verband met de voorgenomen verwerving geld wordt/werd witgewassen of terrorisme wordt/werd gefinancierd, of dat gepoogd wordt/werd geld wit te wassen of terrorisme te financieren, of dat de voorgenomen verwerving het risico daarop zou kunnen vergroten.
    Deskundigheids- en betrouwbaarheidsbeoordelingen

    Volgens artikel 4, lid 1, onder e), van de GTM-verordening ziet de ECB toe op de naleving van de toepasselijke EU-wetgeving, op grond waarvan kredietinstellingen moeten beschikken over solide governanceregelingen, met inbegrip van de betrouwbaarheids- en deskundigheidseisen die gesteld worden aan de personen die verantwoordelijk zijn voor het bestuur van kredietinstellingen. Derhalve worden persoonsgegevens verzameld en verwerkt om te kunnen beoordelen of de personen die verantwoordelijk zijn voor het bestuur van belangrijke kredietinstellingen voldoen aan die vereisten. De vijf criteria die in dit verband worden beoordeeld: (i) de ervaring van de desbetreffende persoon; (ii) diens reputatie; (iii) belangenconflicten en onafhankelijkheid van geest; (iv) de tijd die de persoon aan de instelling in kwestie kan/moet besteden en (v) de collectieve geschiktheid van het bestuur als geheel.

    Intrekking vergunning

    Krachtens artikel 4, lid 1, onder a) en artikel 6, lid 4 van de GTM-verordening is de ECB als enige bevoegd om de vergunning van een kredietinstelling in een deelnemende lidstaat in te trekken, met inachtneming van artikel 14 van die verordening. Dit moet ervoor zorgen dat alleen instellingen met i) een solide economische basis, ii) organisatorische regelingen voor de specifieke risico’s die inherent zijn aan het aantrekken van deposito’s en het verstrekken van krediet en iii) geschikte bestuurders als kredietinstelling actief kunnen zijn. De gevraagde persoonsgegevens zijn derhalve nodig om te beoordelen of nog altijd wordt voldaan aan de criteria voor de uitoefening van de werkzaamheden van een kredietinstelling.

    Recht van vestiging in een andere deelnemende lidstaat

    In deelnemende lidstaten gevestigde kredietinstellingen kunnen het recht uitoefenen zich op het grondgebied van een andere deelnemende lidstaat te vestigen. De NCA's moeten de ECB (via in de GTM-kaderverordening vastgelegde procedures) op de hoogte stellen van alle belangrijke informatie die ze van belangrijke kredietinstellingen ontvangen krachtens artikel 35, lid 2 van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 (met inbegrip van onder meer informatie over de personen die verantwoordelijk worden voor het bestuur van het voorgenomen bijkantoor en de sleutelfuncties daarvan). Alle vereiste persoonsgegevens, zoals bedoeld in de formulieren van Uitvoeringsverordening (EU) nr. 926/2014 van de Commissie van 27 augustus 2014 tot vaststelling van technische uitvoeringsnormen ten aanzien van standaardformulieren, templates en procedures voor kennisgevingen met betrekking tot de uitoefening van het recht van vestiging en de vrijheid van dienstverrichting overeenkomstig Richtlijn 2013/36/EU van het Europees Parlement en de Raad, zijn noodzakelijk om de ECB in staat te stellen de geschiktheid te beoordelen van de personen die verantwoordelijk worden voor het bestuur of de sleutelfuncties van het voorgenomen bijkantoor. Daarnaast stellen de NCA’s de ECB ook in kennis van informatie (waaronder eventueel persoonsgegevens) die wordt ontvangen van i) minder belangrijke instellingen die gebruik maken van het recht van vestiging op het grondgebied van een andere deelnemende lidstaat en ii) kredietinstellingen die gevestigd zijn in niet-deelnemende lidstaten die gebruik maken van het recht van vestiging in een deelnemende lidstaat.

    Recht van vestiging in een niet-deelnemende lidstaat

    Belangrijke kredietinstellingen die gevestigd zijn in deelnemende lidstaten kunnen het recht uitoefenen om zich te vestigen op het grondgebied van een niet-deelnemende lidstaat (hierna ‘uitgaand paspoort’ genoemd). In dergelijke situaties oefent de ECB de bevoegdheden uit van de bevoegde autoriteit van de lidstaat van herkomst overeenkomstig de procedures van artikel 17, lid 1, van de GTM-kaderverordening. De bevoegdheden van de lidstaat van herkomst met betrekking tot het recht van vestiging van kredietinstellingen zijn vastgelegd in artikel 35 van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013. Daarin is onder andere een beoordeling opgenomen van de toereikendheid van de administratieve structuur van de kredietinstelling. De kredietinstelling verstrekt daartoe informatie over de personen die verantwoordelijk zijn voor het bestuur van het voorgenomen bijkantoor en de sleutelfuncties daarvan. Alle vereiste persoonsgegevens, zoals bedoeld in de formulieren van Uitvoeringsverordening (EU) nr. 926/2014 van de Commissie van 27 augustus 2014 tot vaststelling van technische uitvoeringsnormen ten aanzien van standaardformulieren, templates en procedures voor kennisgevingen met betrekking tot de uitoefening van het recht van vestiging en de vrijheid van dienstverrichting overeenkomstig Richtlijn 2013/36/EU van het Europees Parlement en de Raad, zijn noodzakelijk om de geschiktheid te beoordelen van de personen die verantwoordelijk worden voor het bestuur of de sleutelfuncties van het voorgenomen bijkantoor. De NCA’s stellen de ECB tevens in kennis van informatie die ze van minder belangrijke instellingen ontvangen over de uitoefening van het recht van vestiging op het grondgebied van een niet-deelnemende lidstaat. Die kennisgeving kan persoonsgegevens bevatten.

  • toezicht op de naleving door kredietinstellingen van de toepasselijke EU-wetgeving aangaande prudentiële vereisten (bijv. eigenvermogensvereisten, regels over kredietverlening aan verbonden partijen en regels over beloningsbeleid en -praktijken);
  • toetsingen door de toezichthouder (inclusief stresstests) en de publicatie daarvan;
  • de toepassing van vereisten voor kapitaalbuffers en andere maatregelen ter bestrijding van systeemrisico’s of macroprudentiële risico’s;
  • de overdracht van persoonsgegevens aan andere instellingen, organen of instanties van de EU, toezichthouders, internationale organisaties en overheden van derde landen.

De ECB kan persoonsgegevens verder verwerken:

  • om kwantitatief onderzoek, analyse en statistische rapportage op geaggregeerd niveau uit te voeren (in dat geval worden persoonsgegevens geaggregeerd en voldoende geanonimiseerd, zodat personen niet op geaggregeerd niveau kunnen worden geïdentificeerd);
  • door met behulp van technologie (met inbegrip van geautomatiseerde en gestandaardiseerde informatieverwerking, evenals de geautomatiseerde fasen van besluitvormingsprocessen) de uitvoering van de toezichtstaken te verbeteren. Betrokkenen worden in dat geval niet onderworpen aan besluiten die uitsluitend op geautomatiseerde verwerking gebaseerd zijn en die rechtsgevolgen (of andere soortgelijke significante gevolgen) voor hen hebben. Alle passende technische en organisatorische maatregelen worden getroffen om de naleving van Verordening (EU) 2018/1725 te waarborgen.

Wat is de rechtsgrondslag voor de verwerking van uw persoonsgegevens?

De verwerking van persoonsgegevens voor bovengenoemde doeleinden is noodzakelijk op grond van artikel 5, lid 1, onder a) en b), van Verordening (EU) 2018/1725, in samenhang met de GTM-verordening.

Zie hier voor nadere bijzonderheden over de autorisatieprocedures:

Vergunningverlening

Krachtens artikel 4, lid 1, onder a), en artikel 6, lid 4, van de GTM-verordening is de ECB als enige bevoegd een vergunning te verlenen om de werkzaamheden van een kredietinstelling uit te oefenen, met inachtneming van artikel 14 van die verordening. In overeenstemming met artikel 14 van de GTM-verordening moet een aanvraag daartoe worden ingediend bij de NCA van de lidstaat waar de kredietinstelling wordt gevestigd, conform de voorschriften van de nationale wetgeving. De bewuste NCA moet de aanvraag beoordelen en de ECB een ontwerpbesluit voorleggen indien aan alle relevante criteria van de nationale wetgeving is voldaan. De ECB kan alleen bezwaar aantekenen tegen het ontwerpbesluit indien niet aan de in de toepasselijke EU-wetgeving gestelde voorwaarden is voldaan. De voorwaarden voor het verlenen van een vergunning worden beoordeeld op basis van de artikelen 8 tot en met 14 van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 en/of de toepasselijke nationale wetgeving. In de artikelen 73 tot en met 79 van de GTM-kaderverordening staan de regels voor de samenwerking tussen de NCA’s en de ECB met betrekking tot de vergunningsprocedure.

Gekwalificeerde deelnemingen

Krachtens artikel 4, lid 1, onder c), artikel 6, lid 4, en artikel 15 van de GTM-verordening is de ECB i) als enige bevoegd om kennisgevingen over de verwerving van een gekwalificeerde deelneming in een kredietinstelling te beoordelen en ii) moet de ECB besluiten of ze tegen zo'n verwerving bezwaar maakt aan de hand van de beoordelingscriteria die zijn vastgelegd in de desbetreffende EU-wetgeving (artikel 23, lid 1, onder a) tot en met e), van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013) en/of de toepasselijke nationale wetgeving, conform de in die wetgeving bepaalde procedures en beoordelingstermijnen. In de artikelen 85 tot en met 87 van de GTM-kaderverordening staan de regels voor de samenwerking tussen de NCA’s en de ECB met betrekking tot de verwerving van gekwalificeerde deelnemingen.

Deskundigheids- en betrouwbaarheidsbeoordelingen

Voor de uitvoering van haar in artikel 4, lid 1, onder e), van de GTM-verordening bedoelde taken ziet de ECB toe op de naleving van de toepasselijk EU-wetgeving en/of de nationale wetgeving, op grond waarvan kredietinstellingen moeten beschikken over solide governanceregelingen, met inbegrip van de betrouwbaarheids- en deskundigheidseisen die gesteld worden aan de personen die verantwoordelijk zijn voor het bestuur van die kredietinstellingen. Krachtens artikel 16, lid 2, onder m), van de GTM-verordening is de ECB bevoegd om op ieder gewenst moment leden van het leidinggevend orgaan van een kredietinstelling te ontslaan die niet voldoen aan de vereisten van de toepasselijke EU-wetgeving. Bovendien bepaalt artikel 91, lid 1, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 dat de leden van het leidinggevend orgaan van een kredietinstelling te allen tijde als voldoende betrouwbaar bekend moeten staan en over voldoende kennis, vaardigheden en ervaring moeten beschikken om hun taken uit te voeren. In de artikelen 93 en 94 van de GTM-kaderverordening worden de regels beschreven voor de beoordeling door de ECB van de naleving van de betrouwbaarheids- en deskundigheidseisen voor degenen die leidinggeven aan kredietinstellingen. De ECB kan ervoor zorgen dat te allen tijde aan de betrouwbaarheids- en deskundigheidseisen wordt voldaan door bij nieuwe feiten of problemen het initiatief te nemen tot een nieuwe beoordeling als duidelijk wordt dat er nieuwe feiten zijn die een eerdere beoordeling van een lid van een leidinggevend orgaan kunnen beïnvloeden.

Intrekking vergunning

Krachtens artikel 4, lid 1, onder a), van de GTM-verordening heeft de ECB de taak om te beslissen de vergunning voor het uitvoeren van de activiteiten van een kredietinstelling in te trekken, met inachtneming van artikel 14 van die verordening. De desbetreffende NCA of de ECB kan het initiatief voor deze procedure nemen. De nationale autoriteit voor de afwikkeling van kredietinstellingen wordt er eveneens bij betrokken. In artikel 80 tot en met 84 van de GTM-kaderverordening staan de regels voor de samenwerking tussen de NCA’s en de ECB met betrekking tot de intrekking van de vergunning om de werkzaamheden van een kredietinstelling uit te oefenen.

Recht van vestiging in een andere deelnemende lidstaat

Artikel 17, lid 1, van de GTM-verordening bepaalt dat, tussen deelnemende lidstaten, de in de desbetreffende EU-wetgeving vastgelegde procedures voor kredietinstellingen die een bijkantoor op het grondgebied van een andere lidstaat willen vestigen en de daarmee verband houdende bevoegdheden van de lidstaat van herkomst en de lidstaat van ontvangst alleen van toepassing zijn voor taken die niet bij aan de ECB zijn opgedragen op grond van artikel 4 van die verordening. De procedures voor de interactie tussen de NCA’s en de ECB met betrekking tot het recht van vestiging van belangrijke kredietinstellingen op het grondgebied van een andere deelnemende lidstaat zijn vastgelegd in artikel 11, lid 1 en 3, van de GTM-kaderverordening. De ECB moet krachtens deze bepalingen op de hoogte worden gesteld van alle informatie die belangrijke kredietinstellingen aan de NCA verstrekken overeenkomstig artikel 35, lid 2, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 (met inbegrip van informatie over de personen die verantwoordelijk worden voor het bestuur van het voorgenomen bijkantoor en de sleutelfuncties daarvan). In overeenstemming met artikel 11, lid 4, en artikel 13, lid 1, van de GTM-kaderverordening informeert de NCA de ECB over ontvangen kennisgevingen van i) minder belangrijke instellingen die gebruik maken van het recht van vestiging op het grondgebied van een andere deelnemende lidstaat en ii) kredietinstellingen die gevestigd zijn in niet-deelnemende lidstaten die gebruik maken van het recht van vestiging in een deelnemende lidstaat. Bij de vestiging van een belangrijk bijkantoor in een deelnemende lidstaat door een in een niet-deelnemende lidstaat gevestigde kredietinstelling oefent de ECB overeenkomstig artikel 14, lid 1, van de GTM-kaderverordening de bevoegdheden uit van de bevoegde autoriteit van de lidstaat van ontvangst.

Recht van vestiging in een niet-deelnemende lidstaat

Krachtens artikel 4, lid 1, onder b), van de GTM-verordening is de ECB bevoegd om de taken uit te voeren die de bevoegde autoriteit van de lidstaat van herkomst krachtens de toepasselijke EU-wetgeving moet uitvoeren wanneer een in een deelnemende lidstaat gevestigde belangrijke kredietinstelling een bijkantoor in een niet-deelnemende lidstaat wil vestigen. De bevoegdheden van de lidstaat van herkomst met betrekking tot het recht van vestiging van kredietinstellingen zijn vastgelegd in artikel 35 van Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013. Daarin is onder andere een beoordeling opgenomen van de toereikendheid van de administratieve structuur van de kredietinstelling. De kredietinstelling verstrekt daartoe informatie over de personen die verantwoordelijk zijn voor het bestuur van het voorgenomen bijkantoor en de sleutelfuncties daarvan. De procedures voor de interactie tussen de NCA’s en de ECB met betrekking tot het recht van vestiging van belangrijke kredietinstellingen in niet-deelnemende lidstaten zijn vastgelegd in artikel 17, lid 1, van de GTM-kaderverordening. Overeenkomstig artikel 4, lid 1, onder b), van de GTM-verordening en artikel 17, lid 2, van de GTM-kaderverordening informeren NCA’s de ECB over kennisgevingen van minder belangrijke instellingen betreffende de uitoefening van het recht van vestiging in een niet-deelnemende lidstaat.

Wie is er verantwoordelijk voor de verwerking van uw persoonsgegevens?

Krachtens artikel 3, lid 8, van Verordening (EU) 2018/1725 is de ECB de beheerder van de gegevensverwerkingstransacties voor verschillende soorten toezichtsprocedures in het kader van het prudentieel toezicht op belangrijke instellingen.

De ECB en de NCA’s zijn gezamenlijk verwerkingsverantwoordelijken (bij de uitvoering van de prudentiële toezichtstaken uit hoofde van de GTM-verordening en de GTM-kaderverordening) wanneer ze samen het doel en de middelen van gegevensverwerkingstransacties bepalen. Overeenkomstig artikel 28 van Verordening (EU) 2018/1725 (en artikel 26 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (de algemene verordening gegevensbescherming – AVG, ook wel bekend als GDPR), die van toepassing is op de verwerking van persoonsgegevens door de NCA's) komen de gezamenlijke verwerkingsverantwoordelijken een specifieke regeling overeen waarin de verantwoordelijkheden worden bepaald. De essentie van die regeling wordt openbaar gemaakt.

Zie hier voor nadere bijzonderheden over de autorisatieprocedures:

Vergunningverlening

De ECB en de NCA’s zijn gezamenlijk verwerkingsverantwoordelijken voor de gegevensverwerkingstransacties met betrekking tot het verlenen van een vergunning voor het uitoefenen van de werkzaamheden van kredietinstellingen (ook wel ‘vergunningverlening’) in het kader van het prudentieel toezicht op belangrijke en minder belangrijke instellingen.

Gekwalificeerde deelnemingen

De ECB en de NCA’s zijn gezamenlijk verwerkingsverantwoordelijken voor de gegevensverwerkingstransacties met betrekking tot gekwalificeerde deelnemingen in het kader van het prudentieel toezicht op belangrijke en minder belangrijke instellingen.

Deskundigheids- en betrouwbaarheidsbeoordelingen

De ECB is de verantwoordelijke voor de gegevensverwerkingstransacties met betrekking tot deskundigheids- en betrouwbaarheidsbeoordelingen in het kader van het prudentieel toezicht op belangrijke instellingen.

Intrekking vergunning

De ECB en de NCA’s zijn gezamenlijk verwerkingsverantwoordelijken voor de gegevensverwerkingstransacties met betrekking tot de intrekking van een vergunning voor de uitoefening van de werkzaamheden van een kredietinstelling in het kader van het prudentieel toezicht op belangrijke en minder belangrijke instellingen.

Recht van vestiging in een andere deelnemende lidstaat

De ECB is de verantwoordelijke voor de gegevensverwerkingstransacties met betrekking tot het recht van vestiging in een andere deelnemende lidstaat in het kader van het prudentieel toezicht op belangrijke instellingen. Daarnaast informeren de NCA’s de ECB over kennisgevingen van (i) minder belangrijke instellingen die gebruik maken van het recht van vestiging op het grondgebied van een andere deelnemende lidstaat en ii) kredietinstellingen die gevestigd zijn in niet-deelnemende lidstaten die gebruik maken van het recht van vestiging in een deelnemende lidstaat.

Recht van vestiging in een niet-deelnemende lidstaat

De ECB is de verantwoordelijke voor de gegevensverwerkingstransacties met betrekking tot het recht van vestiging in een niet-deelnemende lidstaat in het kader van het prudentieel toezicht op belangrijke instellingen. Bovendien informeren NCA’s de ECB over kennisgevingen van minder belangrijke instellingen die gebruik maken van het recht van vestiging in een niet-deelnemende lidstaat.

Aan wie worden uw persoonsgegevens verstrekt?

Als de ECB voor bovengenoemde doeleinden persoonsgegevens verwerkt, hebben de volgende personen daar toegang toe, mits dit strikt noodzakelijk is:

  • een beperkt aantal ECB-medewerkers (voor de uitvoering van hun taken, met inbegrip van taken die verband houden met het prudentieel toezicht op kredietinstellingen);
  • een beperkt aantal NCA-medewerkers (voor de uitvoering van hun taken, met inbegrip van taken die verband houden met het prudentieel toezicht op kredietinstellingen);
  • leden van de Raad van Toezicht en de Raad van Bestuur van de ECB;
  • externe deskundigen en contractanten die namens de ECB werkzaam zijn en meningen, adviezen en ondersteuning bieden in het kader van het prudentieel toezicht op kredietinstellingen (bijv. juridisch advies);
  • een beperkt aantal medewerkers van andere EU-instellingen, -organen en -instanties, toezichthouders en nationale autoriteiten (bijv. openbare aanklagers of autoriteiten die het witwassen van geld aanpakken).

Wat voor soort persoonsgegevens wordt verwerkt?

De ECB verwerkt diverse soorten persoonsgegevens, afhankelijk van de verwerkingsactiviteit. Voorbeelden van dergelijke gegevens zijn:

  • informatie over de reputatie, kennis, vaardigheden en ervaring van huidige en potentiële toekomstige bestuursleden van i) onder toezicht staande kredietinstellingen en ii) ondernemingen die van plan zijn gekwalificeerde deelnemingen in onder toezicht staande kredietinstellingen te verwerven of af te stoten. Zie hier voor nadere bijzonderheden over de vergunningsprocedures:
Vergunningverlening

De persoonsgegevens die in verband met vergunningsprocedures worden verwerkt, bestaan onder andere uit gegevens over het programma van werkzaamheden en de governanceregelingen van de kredietinstelling (waaronder eventuele persoonlijke financiële informatie, gegevens over de geschiktheid van gekwalificeerde aandeelhouders of de 20 grootste aandeelhouders, naast informatie over de geschiktheid van leden van de leidinggevende organen). In de ontwerpen van technische reguleringsnormen van de EBA uit hoofde van artikel 8, lid 2, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad betreffende de informatie die moet worden verstrekt voor de vergunningverlening aan kredietinstellingen, de vereisten die gelden voor aandeelhouders en leden met gekwalificeerde deelnemingen en de factoren die de effectieve uitoefening van toezichtsbevoegdheden kunnen belemmeren (EBA/RTS/2017/08) worden de volledige details gegeven van de benodigde informatie voor vergunningsaanvragen wanneer deze normen in werking treden. Voorbeelden van persoonsgegevens met betrekking tot de aanvragende kredietinstelling, de huidige of toekomstige aandeelhouders of leden, huidige of toekomstige leden van de leidinggevende organen, medewerkers met een sleutelfunctie of interne controlefuncties, dan wel andere gelieerde partijen (als gevolg van uitbestedingsafspraken, financieringsregelingen, enz.) zijn te vinden in de paragrafen over gekwalificeerde deelnemingen en deskundigheids- en betrouwbaarheidsbeoordelingen.

Gekwalificeerde deelnemingen

Zonder afbreuk te doen aan de nationale wetgeving worden de volgende soorten persoonsgegevens verwerkt met betrekking tot de verwerving van gekwalificeerde deelnemingen, met informatie over zowel i) directe of indirecte kandidaat-verwervers (natuurlijke personen of, in het geval van rechtspersonen, leden van het leidinggevend orgaan) als ii) personen die met deze kandidaat-verwervers verbonden zijn:

  • persoonsgegevens (volledige naam, identiteitskaart/paspoortnummer, nationaliteit, enz.);
  • contactgegevens (postadres, e-mailadres, telefoonnummer, enz.);
  • bijzonderheden over kennis, vaardigheden en ervaring (bijv. informatie over praktische beroepservaring die in eerdere functies is opgedaan naast theoretische ervaring (kennis en vaardigheden) die door onderwijs en opleiding is verworven);
  • informatie over reputatie, zoals:
    • bijzonderheden over strafblad, relevante strafrechtelijke onderzoeken/procedures, relevante civiele/administratieve rechtszaken of disciplinaire maatregelen (met inbegrip van diskwalificatie als bestuurder, faillissement, insolventie of soortgelijke procedures);
    • een verklaring of er een strafrechtelijke procedure loopt of dat de persoon of organisatie die door hem of haar wordt bestuurd, ooit als schuldenaar betrokken is geweest bij een insolventie- of vergelijkbare procedure;
    • bijzonderheden over eventuele onderzoeken, handhavingsprocedures of sancties die door een toezichthouder zijn uitgevoerd of opgelegd;
    • informatie over een eventuele weigering van inschrijving, machtiging, lidmaatschap of vergunning om een vak, bedrijf of beroep uit te oefenen;
    • informatie over een eventuele intrekking, herroeping of beëindiging van registratie, machtiging, lidmaatschap of vergunning;
    • informatie over een eventuele uitzetting door een toezichts- of overheidsinstantie;
    • informatie over eventueel ontslag uit arbeid, een vertrouwenspositie of een fiduciaire relatie (of een soortgelijke situatie), of eventueel verzoek om af te treden uit een dergelijke positie;
  • financiële informatie, zoals
    • informatie over de financiële positie en slagkracht van de persoon, bronnen van inkomsten, activa en passiva, panden en zekerheden, enz.;
    • ratings en openbare rapporten over ondernemingen die door de betrokken persoon onder zeggenschap staan of door hem of haar worden geleid;
    • ratings en openbare rapporten over de persoon zelf;
  • informatie over een eventuele eerdere beoordeling van de reputatie van de persoon als verwerver of iemand die leiding geeft aan de werkzaamheden van een financiële instelling door een andere bevoegde toezichthoudende autoriteit in de financiële sector (onder andere de naam van die autoriteit en de uitkomsten van die beoordeling);
  • informatie over een eventuele eerdere beoordeling van de reputatie van de persoon door een andere bevoegde toezichthoudende autoriteit in een niet-financiële sector (onder andere de naam van die autoriteit en de uitkomsten van die beoordeling);
  • bijzonderheden over eventuele financiële relaties (via krediettransacties, zekerheden, pandrechten, enz.) of niet-financiële relaties (bijv. een nauwe familieband of samenlevingspartner) met:
    • een huidige aandeelhouder van de te verwerven instelling;
    • iemand die in de te verwerven instelling stemrecht kan uitoefenen;
    • de te verwerven instelling zelf dan wel de groep waartoe deze behoort;
  • bijzonderheden over andere belangen of activiteiten die in strijd zijn met de te verwerven instelling en mogelijke oplossingen voor dergelijke belangenconflicten.

Verder moet worden verwezen naar de lijst met informatie die wordt aanbevolen in de Gemeenschappelijke richtsnoeren inzake de prudentiële beoordeling van verwervingen en vergrotingen van gekwalificeerde deelnemingen in de financiële sector (JC/GL/2016/01) .

Eventuele persoonsgegevens zoals vermeld in de betreffende paragraaf voor de toetsing van de deskundigheid en betrouwbaarheid van kandidaat-leden van het leidinggevend orgaan van de doelinstelling kunnen eveneens worden verwerkt in de beoordeling van de gekwalificeerde deelneming.

Deskundigheids- en betrouwbaarheidsbeoordelingen

In bijlage III bij de gezamenlijk door ESMA en EBA uitgebrachte Richtsnoeren voor het beoordelen van de geschiktheid van leden van het leidinggevend orgaan en medewerkers met een sleutelfunctie ingevolge Richtlijn 2013/36/EU en Richtlijn 2014/65/EU (EBA/GL/2017/12) is een informatielijst opgenomen die bij iedere geschiktheidsbeoordeling aan de bevoegde autoriteiten moet worden overlegd.

Voor deskundigheids- en betrouwbaarheidsbeoordelingen worden de volgende persoonsgegevens verwerkt:

  1. door kandidaten verstrekte persoonsgegevens (schriftelijk in de vragenlijst over deskundigheid en betrouwbaarheid of mondeling tijdens een interview), zoals:
    • persoonsgegevens (volledige naam, identiteitskaart/paspoortnummer, nationaliteit, enz.);
    • contactgegevens (postadres, e-mailadres, telefoonnummer, enz.);
    • bijzonderheden over kennis, vaardigheden en ervaring (bijv. informatie over praktische beroepservaring die in eerdere functies is opgedaan naast theoretische ervaring (kennis en vaardigheden) die door onderwijs en opleiding is verworven);
    • informatie over reputatie zoals bijzonderheden over strafblad, relevante strafrechtelijke onderzoeken/procedures, relevante civiele/administratieve rechtszaken of disciplinaire maatregelen (met inbegrip van diskwalificatie als bestuurder, faillissement, insolventie of soortgelijke procedures);
    • bijzonderheden over belangenconflicten (bijv. een nauwe persoonlijke relatie met een lid van een leidinggevend orgaan, een belangrijke particuliere transactie met de betrokken kredietinstelling of een positie van aanzienlijke politieke invloed);
    • informatie over de tijd die de kandidaat aan de kredietinstelling in kwestie kan/moet besteden (met inbegrip van, waar relevant, de tijd die aan andere beroeps- of persoonlijke activiteiten wordt besteed);
    • informatie over de collectieve geschiktheid van het bestuur (bijv. de waarde die de kandidaat toevoegt aan de algemene samenstelling van het bestuur);
  2. persoonsgegevens die op een andere manier onder de aandacht van de bevoegde autoriteit komen (bijv. via de media);
  3. persoonsgegevens over derden (in plaats van de kandidaat);
  4. eventuele opmerkingen van medewerkers van de ECB of NCA over de prestaties in de deskundigheids- en betrouwbaarheidstoetsing (bijv. opmerkingen die de mening van de toezichthouder of de beoordeling van de kandidaat weergeven, vooral voor wat betreft de kennis en vaardigheden op het relevante gebied);
  5. informatie over een eventuele eerdere beoordeling van de deskundigheid en betrouwbaarheid door een andere bevoegde toezichthoudende autoriteit (onder andere de naam van die autoriteit en de uitkomsten van die beoordeling).
Intrekking vergunning

De volgende soorten persoonsgegevens kunnen onder meer worden verwerkt wanneer wordt besloten de vergunning van een kredietinstelling in te trekken:

  • eventuele voor de beoordeling van de mogelijke intrekking van de vergunning benodigde persoonsgegevens die zijn verstrekt in het kader van een beoordeling van gekwalificeerde deelnemingen, het verlenen van een vergunning of een deskundigheids- en betrouwbaarheidsbeoordeling (zie de betreffende paragrafen hierboven);
  • eventuele persoonsgegevens die deel uitmaken van informatie over de activiteiten van de instelling, statusverklaringen van de instelling, en andere documenten die zijn verstrekt krachtens toepasselijke nationale wetgeving en de statuten van de instelling;
  • eventuele persoonsgegevens die deel uitmaken van informatie over inspecties ter plaatse, de procedure voor prudentiële toetsing en evaluatie (Supervisory Review and Evaluation Process – SREP), klokkenluiden, toezichtsbevindingen en -maatregelen, communicatie met de kredietinstelling, alsmede rechterlijke bevelen en beslissingen.
Recht van vestiging

De met betrekking tot het recht van vestiging verwerkte persoonsgegevens zijn zoals bedoeld in de formulieren van Uitvoeringsverordening (EU) nr. 926/2014 van de Commissie van 27 augustus 2014 tot vaststelling van technische uitvoeringsnormen ten aanzien van standaardformulieren, modellen en kennisgevingsprocedures betreffende de uitoefening van het recht van vestiging en het vrij verrichten van diensten overeenkomstig Richtlijn 2013/36/EU van het Europees Parlement en de Raad.

  • informatie betreffende natuurlijke personen die banden hebben met onder toezicht staande kredietinstellingen (bijv. als medewerker of klant) in het kader van het toezicht ter plaatse en off site.

Deze lijst is echter niet uitputtend. Neem voor meer informatie contact met ons op. Gebruik hiervoor het aanvraagformulier informatie.

Waar gaan uw gegevens heen, waar worden ze verwerkt en opgeslagen?

Voor samenwerkingsdoeleinden in het toezicht kunnen persoonsgegevens buiten de Europese Economische Ruimte (EER) worden gedeeld met internationale organisaties, toezichthouders en overheidsinstanties van derde landen.

Een dergelijke overdracht kan plaatsvinden op basis van een adequaatheidsbesluit van de Europese Commissie overeenkomstig artikel 47 van Verordening (EU) 2018/1725.

Bij ontstentenis van een adequaatheidsbesluit van de Europese Commissie kunnen persoonsgegevens krachtens artikel 48, lid 1, van Verordening (EU) 2018/1725 alleen aan een derde land of een internationale organisatie worden doorgegeven indien passende waarborgen worden geboden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

Bij ontstentenis van een adequaatheidsbesluit of passende waarborgen mogen persoonsgegevens alleen bij wijze van uitzondering aan derde landen worden doorgegeven op basis van de specifieke voorwaarden zoals bedoeld in artikel 50 van Verordening (EU) 2018/1725 (met name artikel 50, lid 1, onder d)).

Persoonsgegevens worden opgeslagen in een beveiligd IT-systeem dat wordt beschermd door encryptie en authenticatiefuncties.

Hoe lang bewaart de ECB persoonsgegevens?

De ECB bewaart persoonsgegevens zolang dat nodig is voor het specifieke toezichtsdoel in kwestie, zoals omschreven in de bewaarregels van de ECB.

Bewaartermijnen voor autorisatieprocedures

De ECB bewaart bij autorisatieprocedures persoonsgegevens maximaal:

  • 15 jaar na de aanvraag dan wel kennisgeving indien een verzoek wordt ingetrokken voordat een formeel besluit is genomen;
  • 15 jaar na een negatief besluit;
  • in het geval van een positief besluit, 15 jaar nadat de betrokkene niet langer lid van het bestuur van de kredietinstelling, sleutelfunctionaris, oprichtend of gekwalificeerd aandeelhouder, of bestuurder of sleutelfunctionaris van een bijkantoor is;
  • 15 jaar nadat de ECB besluit de vergunning van een kredietinstelling in te trekken.

Bij een administratieve of gerechtelijke procedure kan de bewaartermijn worden verlengd. Die eindigt dan een jaar nadat een dergelijke procedure met een definitieve beslissing is afgesloten.

Informatie over bewaartermijnen voor specifieke persoonsgegevens kunnen we op verzoek beschikbaar stellen. Neem voor meer informatie contact met ons op. Gebruik hiervoor het aanvraagformulier informatie.

Wat zijn uw rechten?

U heeft het recht uw persoonsgegevens in te zien en onjuiste of onvolledige informatie te verbeteren. U heeft eveneens (met enige beperkingen) het recht om uw persoonsgegevens te laten wissen of de verwerking van uw persoonsgegevens te beperken of daartegen bezwaar aan te tekenen, in overeenstemming met Verordening (EU) 2018/1725.

Uitzonderingen en beperkingen op deze rechten kunnen van toepassing zijn overeenkomstig Verordening (EU) 2018/1725.

Met wie kunt u contact opnemen in geval van vragen of verzoeken?

U kunt uw rechten uitoefenen door contact met ons op te nemen. Gebruik hiervoor het aanvraagformulier informatie.

Contactgegevens voor specifieke autorisatieprocedure

Betrokkenen kunnen hun rechten uitoefenen door een e-mail te sturen naar de afdeling Autorisatie of de afdeling Deskundigheid & Betrouwbaarheid van de ECB.

U kunt met al uw vragen over persoonsgegevens ook direct contact opnemen met de functionaris voor gegevensbescherming van de ECB via dpo@ecb.europa.eu.

Contact opnemen met de Europese Toezichthouder voor gegevensbescherming

Als u meent dat uw rechten als betrokkene krachtens Verordening (EU) 2018/1725 zijn geschonden als gevolg van de verwerking van uw persoonsgegevens heeft u te allen tijde het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor – EDPS).

Europese Toezichthouder voor gegevensbescherming

Nadere informatie

Aanvullende informatie is te vinden in het advies van de Europese Toezichthouder voor gegevensbescherming van 3 november 2014 over de verwerking van persoonsgegevens in prudentiële toezichtsprocedures in het kader van het gemeenschappelijk toezichtmechanisme.

Advies EDPS
Klokkenluiders