Menu

Oświadczenie o ochronie prywatności dotyczące przetwarzania danych osobowych w kontekście nadzoru ostrożnościowego w ramach SSM

EBC przetwarza dane osobowe w związku ze swoimi zadaniami, obowiązkami i uprawnieniami w zakresie nadzoru ostrożnościowego. Niniejsze oświadczenie o ochronie prywatności wyjaśnia, jak EBC postępuje z danymi osobowymi w kontekście prowadzonego przez siebie nadzoru ostrożnościowego.

Ta strona zawiera również szczegółowe informacje na temat danych osobowych przetwarzanych przez EBC w związku z postępowaniami w sprawie zezwoleń. Żeby wyświetlić więcej informacji o konkretnej procedurze, należy kliknąć odpowiednią opcję (udzielanie zezwoleń, znaczne pakiety akcji, ocena kompetencji i reputacji, swoboda przedsiębiorczości lub cofanie zezwoleń) na poniższych listach.

Ramy prawne

Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. (rozporządzenie w sprawie SSM) powierza Europejskiemu Bankowi Centralnemu (EBC) szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi na podstawie art. 127 ust. 6 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

Do celów nadzoru ostrożnościowego Europejskiemu Bankowi Centralnemu powierzono szczególne zadania, o których mowa w art. 4 rozporządzenia w sprawie SSM, w ramach art. 6 tego rozporządzenia, w odniesieniu do instytucji kredytowych mających siedzibę (a) w państwach członkowskich UE, których walutą jest euro, oraz (b) w państwach członkowskich UE, których walutą nie jest euro i które nawiązały bliską współpracę z EBC na podstawie art. 7 rozporządzenia w sprawie SSM (uczestniczące państwa członkowskie). Zasady i procedury współpracy między EBC a właściwymi organami krajowymi uczestniczących państw członkowskich określono w rozporządzeniu (UE) nr 468/2014 Europejskiego Banku Centralnego z dnia 16 kwietnia 2014 r. (rozporządzenie ramowe w sprawie SSM).

Ponieważ EBC może gromadzić i dalej przetwarzać dane osobowe podczas wykonywania swoich zadań nadzorczych wynikających z rozporządzenia w sprawie SSM, podlega unijnym przepisom dotyczącym ochrony danych, tj. rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39−98).

Dlaczego przetwarzamy dane osobowe?

EBC gromadzi i dalej przetwarza dane osobowe w związku ze swoimi zadaniami, obowiązkami i uprawnieniami w zakresie nadzoru ostrożnościowego powierzonymi mu na mocy rozporządzenia w sprawie SSM (w szczególności art. 4, 5, 6, 7, 8 i 18 tego rozporządzenia). To dotyczy wielu różnych działań, takich jak:

  • postępowania w sprawie zezwoleń:
    Udzielanie zezwoleń

    Zgodnie z art. 4 ust. 1 lit. a) rozporządzenia w sprawie SSM Europejski Bank Centralny posiada wyłączną kompetencję do wydawania zezwoleń na podjęcie działalności instytucji kredytowej w uczestniczącym państwie członkowskim, z zastrzeżeniem art. 14 tego rozporządzenia. W związku z tym odpowiada za sprawdzanie, czy podmioty wchodzące na rynek bankowy są solidne i przestrzegają przepisów krajowych i unijnych. EBC koncentruje się w szczególności na poziomie kapitału, programie działalności, strukturze organizacyjnej wnioskujących banków oraz odpowiedniości osób na stanowiskach kierowniczych i stosownych akcjonariuszy. Wymagane dane osobowe są zatem niezbędne, żeby sprawdzić, czy warunki udzielenia zezwolenia na podjęcie działalności instytucji kredytowej są spełnione.

    Znaczne pakiety akcji

    Zgodnie z art. 4 ust. 1 lit. c) rozporządzenia w sprawie SSM Europejski Bank Centralny posiada wyłączną kompetencję do oceny powiadomień dotyczących nabycia znacznych pakietów akcji w instytucjach kredytowych mających siedzibę w uczestniczącym państwie członkowskim, z zastrzeżeniem art. 15 tego rozporządzenia. EBC decyduje, czy sprzeciwić się takim nabyciom, na podstawie kryteriów oceny określonych w stosownych przepisach unijnych lub krajowych, zgodnie z procedurami i z zachowaniem okresów oceny w nich przewidzianych. Wymagane dane osobowe są zatem niezbędne do sprawdzenia, czy kryteria dotyczące nabycia znacznych pakietów akcji w instytucjach kredytowych są spełnione. Zgodnie z art. 23 ust. 1 lit. a)−e) dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. podczas oceny odpowiedniości potencjalnego nabywcy oraz bezpieczeństwa finansowego planowanego nabycia bierze się pod uwagę kryteria takie jak:

    • reputacja i solidność finansowa potencjalnego nabywcy;
    • kompetencje i reputacja każdego członka organu zarządzającego i każdego kierownika wyższego szczebla, który będzie zarządzać działalnością docelowej instytucji kredytowej w wyniku planowanego nabycia;
    • czy docelowa instytucja kredytowa będzie nadal spełniać wymogi ostrożnościowe;
    • czy istnieją uzasadnione podstawy, by podejrzewać, że w związku z planowanym nabyciem dokonuje się, dokonano lub usiłowano dokonać prania pieniędzy lub finansowania terroryzmu lub że proponowane nabycie może zwiększyć takie ryzyko.

    Ocena kompetencji i reputacji

    Zgodnie z art. 4 ust. 1 lit. e) rozporządzenia w sprawie SSM Europejski Bank Centralny musi zapewniać zgodność ze stosownymi przepisami unijnymi wymagającymi od instytucji kredytowych posiadania solidnych zasad zarządzania, w tym wymogów dotyczących kompetencji i reputacji odnoszących się do osób odpowiadających za zarządzanie instytucjami kredytowymi. Zatem dane osobowe są gromadzone i przetwarzane w celu oceny, czy takie osoby spełniają te wymogi. Podczas oceny bierze się pod uwagę pięć kryteriów: (a) doświadczenie, (b) reputację, (c) konflikty interesów, niezależność osądu i (d) dyspozycyjność danej osoby oraz (e) zbiorową odpowiedniość zarządu jako całości.

    Cofanie zezwoleń

    Zgodnie z art. 4 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia w sprawie SSM Europejski Bank Centralny ma wyłączną kompetencję do cofania zezwoleń na prowadzenie działalności przez instytucję kredytową w uczestniczącym państwie członkowskim, z zastrzeżeniem art. 14 tego rozporządzenia. Ma to zagwarantować, żeby działalność prowadziły jedynie instytucje kredytowe mające: (a) solidne podstawy ekonomiczne, (b) strukturę organizacyjną umożliwiającą im zabezpieczanie się przed szczególnymi rodzajami ryzyka nieodłącznie związanymi z przyjmowaniem depozytów i udzielaniem kredytów oraz (c) dyrektorów o odpowiednich kwalifikacjach. Wymagane dane osobowe są zatem niezbędne, żeby sprawdzić, czy warunki udzielenia zezwolenia na prowadzenie działalności instytucji kredytowej są nadal spełniane.

    Swoboda przedsiębiorczości w innym uczestniczącym państwie członkowskim

    Instytucje kredytowe mające siedzibę w uczestniczącym państwie członkowskim mogą korzystać ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego. Właściwe organy krajowe są zobowiązane do powiadamiania EBC (w drodze procedur określonych w rozporządzeniu ramowym w sprawie SSM) o wszystkich informacjach dostarczanych im przez istotne instytucje kredytowe na podstawie art. 35 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. (w tym m.in. o informacjach na temat osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje). Wszystkie wymagane dane osobowe, o których mowa w formularzach zamieszczonych w rozporządzeniu wykonawczym Komisji (UE) nr 926/2014 z dnia 27 sierpnia 2014 r. ustanawiającym wykonawcze standardy techniczne w odniesieniu do standardowych formularzy, szablonów i procedur na potrzeby powiadomień związanych z korzystaniem ze swobody przedsiębiorczości i swobody świadczenia usług zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2013/36/UE, są niezbędne, żeby EBC mógł ocenić odpowiedniość osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje. Ponadto właściwe organy krajowe powiadamiają EBC o informacjach (które mogą obejmować dane osobowe) otrzymanych od (a) mniej istotnych instytucji, które korzystają ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego, oraz (b) instytucji kredytowych mających siedzibę w nieuczestniczącym państwie członkowskim, które korzystają ze swobody przedsiębiorczości w uczestniczącym państwie członkowskim.

    Swoboda przedsiębiorczości w nieuczestniczącym państwie członkowskim

    Istotne instytucje kredytowe mające siedzibę w uczestniczącym państwie członkowskim mogą korzystać ze swobody przedsiębiorczości na terytorium nieuczestniczącego państwa członkowskiego (tzw. „paszportowanie wychodzące”). W takich sytuacjach, zgodnie z procedurami określonymi w art. 17 ust. 1 rozporządzenia ramowego w sprawie SSM, EBC wykonuje uprawnienia właściwego organu państwa członkowskiego pochodzenia. Uprawnienia państwa członkowskiego pochodzenia w odniesieniu do swobody przedsiębiorczości instytucji kredytowych są określone w art. 35 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. i obejmują ocenę adekwatności struktury administracyjnej tych instytucji. W związku z tym instytucja kredytowa musi dostarczyć informacje na temat osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje. Wszystkie wymagane dane osobowe, o których mowa w formularzach zamieszczonych w rozporządzeniu wykonawczym Komisji (UE) nr 926/2014 z dnia 27 sierpnia 2014 r. ustanawiającym wykonawcze standardy techniczne w odniesieniu do standardowych formularzy, szablonów i procedur na potrzeby powiadomień związanych z korzystaniem ze swobody przedsiębiorczości i swobody świadczenia usług zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2013/36/UE, są niezbędne do oceny odpowiedniości osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje. Ponadto właściwe organy krajowe powiadamiają EBC o otrzymanych od instytucji mniej istotnych informacjach dotyczących korzystania ze swobody przedsiębiorczości na terytorium nieuczestniczącego państwa członkowskiego, które mogą zawierać dane osobowe.

  • sprawdzanie, czy instytucje kredytowe przestrzegają stosownych przepisów unijnych nakładających wymogi ostrożnościowe (np. wymogi w zakresie funduszy własnych, zasady udzielania kredytów podmiotom powiązanym oraz zasady dotyczące polityki i praktyk w zakresie wynagrodzeń);
  • prowadzenie przeglądów nadzorczych (w tym testów warunków skrajnych) i publikacja związanych z nimi informacji;
  • stosowanie wymogów dotyczących buforów kapitałowych i innych środków mających na celu przeciwdziałanie ryzykom systemowym lub makroostrożnościowym;
  • przekazywanie danych osobowych innym instytucjom, organom lub agencjom Unii, organom nadzorczym, organizacjom międzynarodowym i organom administracji z państw trzecich.

EBC może dalej przetwarzać dane osobowe:

  • w celu prowadzenia analiz i badań ilościowych oraz zbiorczej sprawozdawczości statystycznej (w tym przypadku dane osobowe będą zagregowane i wystarczająco zanonimizowane, żeby nie można było zidentyfikować osób na poziomie zbiorczym);
  • z wykorzystaniem technologii (w tym zautomatyzowane i ustandaryzowane przetwarzanie informacji oraz zautomatyzowane fazy procesów decyzyjnych) w celu usprawnienia realizacji zadań nadzorczych. W takiej sytuacji osoby, których dane dotyczą, nie będą podlegać decyzjom opierającym się wyłącznie na zautomatyzowanym przetwarzaniu i wywołującym skutki prawne (lub istotnie wpływającym na te osoby w podobny sposób). W celu zapewnienia zgodności z rozporządzeniem (UE) 2018/1725 zostaną wprowadzone wszystkie odpowiednie środki techniczne i organizacyjne.

Podstawa prawna przetwarzania danych osobowych

Przetwarzanie danych osobowych do wyżej wymienionych celów jest niezbędne w rozumieniu art. 5 ust. 1 lit. a) i b) rozporządzenia (UE) 2018/1725 w związku z rozporządzeniem w sprawie SSM.

Szczegółowe informacje dotyczące postępowań w sprawie zezwoleń znajdują się poniżej:

Udzielanie zezwoleń

Zgodnie z art. 4 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia w sprawie SSM Europejski Bank Centralny ma wyłączną kompetencję do wydawania zezwoleń na podjęcie działalności instytucji kredytowej, z zastrzeżeniem art. 14 tego rozporządzenia. Jak stanowi art. 14, wnioski o udzielenie zezwolenia na podjęcie działalności instytucji kredytowej należy składać do właściwego organu krajowego państwa członkowskiego, w którym instytucja kredytowa ma mieć siedzibę, zgodnie ze stosownymi wymogami krajowymi. Właściwy organ krajowy rozpatruje wniosek i – jeżeli wszystkie odpowiednie kryteria określone w prawie krajowym są spełnione – przedkłada EBC projekt decyzji. EBC może wyrazić sprzeciw wobec tego projektu jedynie wtedy, gdy nie zostały spełnione warunki udzielenia zezwolenia określone w stosownych przepisach unijnych. Spełnienie warunków uzyskania zezwolenia ocenia się zgodnie z art. 8−14 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. lub z mającymi zastosowanie przepisami krajowymi. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do procedury udzielania zezwoleń określono w art. 73−79 rozporządzenia ramowego w sprawie SSM.

Znaczne pakiety akcji

Zgodnie z art. 4 ust. 1 lit. c), art. 6 ust. 4 i art. 15 rozporządzenia w sprawie SSM Europejski Bank Centralny (a) ma wyłączną kompetencję do oceny powiadomień dotyczących nabycia znacznych pakietów akcji w instytucjach kredytowych oraz (b) musi zdecydować, czy wyrazić sprzeciw wobec transakcji nabycia, na podstawie kryteriów oceny określonych w stosownych przepisach unijnych (art. 23 ust. 1 lit. a)−e) dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r.) lub mających zastosowanie przepisach krajowych, zgodnie z procedurami i z zachowaniem okresów oceny w nich przewidzianych. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do transakcji nabycia znacznych pakietów akcji określono w art. 85−87 rozporządzenia ramowego w sprawie SSM.

Ocena kompetencji i reputacji

Zgodnie z art. 4 ust. 1 lit. e) rozporządzenia w sprawie SSM Europejski Bank Centralny w celu realizacji swoich zadań musi zapewniać zgodność ze stosownymi przepisami unijnym lub krajowym wymagającymi od instytucji kredytowych posiadania solidnych zasad zarządzania, w tym wymogów dotyczących kompetencji i reputacji odnoszących się do osób odpowiadających za zarządzanie instytucjami kredytowymi. Zgodnie z art. 16 ust. 2 lit. m) rozporządzenia w sprawie SSM Europejski Bank Centralny może w dowolnym momencie odwołać każdego z członków organów zarządzających instytucji kredytowych, który nie spełnia wymogów określonych w stosownych przepisach unijnych. Ponadto art. 91 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. stanowi, że członkowie organów zarządzających instytucji kredytowych muszą zawsze cieszyć się wystarczająco dobrą opinią i posiadać wystarczającą wiedzę, umiejętności i doświadczenie do wykonywania swoich obowiązków. Zasady oceny przez EBC zgodności z wymogami dotyczącymi kompetencji i reputacji osób odpowiadających za zarządzanie instytucjami kredytowymi określono w art. 93 i 94 rozporządzenia ramowego w sprawie SSM. Żeby mieć pewność, że te wymogi są spełniane przez cały czas, EBC może przeprowadzić kolejną ocenę w oparciu o nowe okoliczności lub kwestie, jeżeli dowie się o nowych okolicznościach, które mogłyby wpłynąć na wcześniejszą ocenę członka organu zarządzającego.

Cofanie zezwoleń

Zgodnie z art. 4 ust. 1 lit. a) rozporządzenia w sprawie SSM Europejski Bank Centralny podejmuje decyzje o cofnięciu zezwolenia na prowadzenie działalności przez instytucję kredytową, z zastrzeżeniem art. 14 tego rozporządzenia. Ta procedura może zostać wszczęta przez właściwy organ krajowy lub EBC; bierze w niej udział także krajowy organ odpowiedzialny za restrukturyzację i uporządkowaną likwidację instytucji kredytowych. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do cofania zezwolenia na prowadzenie działalności przez instytucję kredytową określono w art. 80−84 rozporządzenia ramowego w sprawie SSM.

Swoboda przedsiębiorczości w innym uczestniczącym państwie członkowskim

Artykuł 17 ust. 1 rozporządzenia w sprawie SSM stanowi, że określone w stosownych unijnych przepisach procedury dotyczące instytucji kredytowych zamierzających ustanowić oddział na terytorium innego państwa członkowskiego oraz związane z tym kompetencje państwa członkowskiego pochodzenia i przyjmującego państwa członkowskiego mają zastosowanie pomiędzy uczestniczącymi państwami członkowskimi wyłącznie do celów zadań, które nie zostały powierzone EBC na mocy art. 4 tego rozporządzenia. Procedury regulujące interakcje między właściwymi organami krajowymi a EBC w odniesieniu do korzystania przez istotne instytucje kredytowe ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego są określone w art. 11 ust. 1 i 3 rozporządzenia ramowego w sprawie SSM. Zgodnie z tymi przepisami EBC musi być powiadamiany o wszelkich informacjach, które istotne instytucje kredytowe przekazują właściwym organom krajowym na podstawie art. 35 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. (w tym informacjach o osobach, które mają odpowiadać za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje). Zgodnie z art. 11 ust. 4 i art. 13 ust. 1 rozporządzenia ramowego w sprawie SSM właściwe organy krajowe informują EBC o powiadomieniach złożonych przez (a) instytucje mniej istotne korzystające ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego oraz (b) instytucje kredytowe z siedzibą w nieuczestniczącym państwie członkowskim korzystające ze swobody przedsiębiorczości w uczestniczącym państwie członkowskim. W przypadku utworzenia przez instytucję kredytową z siedzibą w nieuczestniczącym państwie członkowskim istotnego oddziału w uczestniczącym państwie członkowskim Europejski Bank Centralny – zgodnie z art. 14 ust. 1 rozporządzenia ramowego w sprawie SSM – wykonuje uprawnienia właściwego organu przyjmującego państwa członkowskiego.

Swoboda przedsiębiorczości w nieuczestniczącym państwie członkowskim

Jeżeli istotna instytucja kredytowa mająca siedzibę w uczestniczącym państwie członkowskim chce utworzyć oddział w nieuczestniczącym państwie członkowskim, EBC – zgodnie z art. 4 ust. 1 lit. b) rozporządzenia w sprawie SSM – jest uprawniony do wykonywania zadań, które będą w gestii właściwego organu państwa członkowskiego pochodzenia na mocy stosownych przepisów unijnych. Uprawnienia państwa członkowskiego pochodzenia w odniesieniu do swobody przedsiębiorczości instytucji kredytowych są określone w art. 35 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. i obejmują ocenę adekwatności struktury administracyjnej tych instytucji. W związku z tym instytucja kredytowa musi dostarczyć informacje na temat osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje. Procedury regulujące interakcje między właściwymi organami krajowymi a EBC w odniesieniu do korzystania przez istotne instytucje kredytowe ze swobody przedsiębiorczości w nieuczestniczących państwach członkowskich są określone w art. 17 ust. 1 rozporządzenia ramowego w sprawie SSM. Zgodnie z art. 4 ust. 1 lit. b) rozporządzenia w sprawie SSM oraz art. 17 ust. 2 rozporządzenia ramowego w sprawie SSM właściwe organy krajowe informują EBC o przekazanych przez instytucje mniej istotne powiadomieniach dotyczących korzystania ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim.

Kto odpowiada za przetwarzanie danych osobowych?

Zgodnie z art. 3 pkt 8 rozporządzenia (UE) 2018/1725 administratorem operacji przetwarzania danych w związku z różnymi procedurami nadzorczymi w ramach nadzoru ostrożnościowego nad instytucjami istotnymi jest EBC.

EBC i właściwe organy krajowe pełnią role współadministratorów, kiedy podczas wykonywania zadań w zakresie nadzoru ostrożnościowego powierzonych im na mocy rozporządzenia w sprawie SSM i rozporządzenia ramowego w sprawie SSM wspólnie określają cel i sposób przetwarzania danych. Zgodnie z art. 28 rozporządzenia (UE) 2018/1725 (oraz art. 26 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych), które ma zastosowanie do przetwarzania danych osobowych przez właściwe organy krajowe), współadministratorzy dokonują szczegółowych ustaleń dotyczących zakresów swojej odpowiedzialności. Najważniejsze aspekty tych ustaleń zostaną podane do wiadomości publicznej.

Szczegółowe informacje na temat postępowań w sprawie zezwoleń znajdują się poniżej:

Udzielanie zezwoleń

Współadministratorami operacji przetwarzania danych w odniesieniu do udzielania zezwoleń na podjęcie działalności instytucji kredytowej (przyznawania licencji), w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Znaczne pakiety akcji

Współadministratorami operacji przetwarzania danych w odniesieniu do znacznych pakietów akcji, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Ocena kompetencji i reputacji

Administratorem operacji przetwarzania danych w odniesieniu do oceny kompetencji i reputacji, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC.

Cofanie zezwoleń

Współadministratorami operacji przetwarzania danych w odniesieniu do cofania zezwoleń na prowadzenie działalności przez instytucję kredytową, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Swoboda przedsiębiorczości w innym uczestniczącym państwie członkowskim

Administratorem operacji przetwarzania danych w odniesieniu do korzystania ze swobody przedsiębiorczości w innym uczestniczącym państwie członkowskim, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC. Ponadto właściwe organy krajowe informują EBC o powiadomieniach otrzymanych od (a) mniej istotnych instytucji korzystających ze swobody przedsiębiorczości w innym uczestniczącym państwie członkowskim oraz (b) instytucji kredytowych mających siedzibę w nieuczestniczącym państwie członkowskim, które korzystają ze swobody przedsiębiorczości w uczestniczącym państwie członkowskim.

Swoboda przedsiębiorczości w nieuczestniczącym państwie członkowskim

Administratorem operacji przetwarzania danych w odniesieniu do korzystania ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC. Ponadto właściwe organy krajowe informują EBC o powiadomieniach otrzymanych od instytucji mniej istotnych, które korzystają ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim.

Kto ma dostęp do danych osobowych?

Podczas przetwarzania przez EBC danych osobowych do wyżej wymienionych celów, dostęp do danych – ściśle na zasadzie wiedzy koniecznej – mają:

  • ograniczona liczba pracowników EBC (na potrzeby realizacji powierzonych im obowiązków, w tym związanych z nadzorem ostrożnościowym nad instytucjami kredytowymi);
  • ograniczona liczba pracowników właściwych organów krajowych (na potrzeby realizacji zadań związanych z nadzorem ostrożnościowym nad instytucjami kredytowymi);
  • członkowie Rady ds. Nadzoru i Rady Prezesów EBC;
  • zewnętrzni eksperci i wykonawcy działający w imieniu EBC, którzy wydają opinie, udzielają porad i zapewniają wsparcie w kontekście nadzoru ostrożnościowego nad instytucjami kredytowymi (np. porady prawne);
  • ograniczona liczba pracowników innych instytucji, organów i agencji Unii, organów nadzoru i organów krajowych (np. prokuratorów lub organów zajmujących się przeciwdziałaniem praniu pieniędzy).

Jakie dane osobowe przetwarzamy?

EBC prowadzi operacje przetwarzania różnych rodzajów danych osobowych. Przykładowe dane osobowe podlegające przetwarzaniu:

  • informacje dotyczące reputacji, wiedzy, umiejętności i doświadczenia obecnych i potencjalnych przyszłych członków organów zarządzających (a) nadzorowanych instytucji kredytowych oraz (b) spółek zamierzających nabyć lub zbyć znaczne pakiety akcji w nadzorowanych instytucjach kredytowych. Szczegółowe informacje dotyczące postępowań w sprawie zezwoleń znajdują się poniżej:
Udzielanie zezwoleń

Do danych osobowych przetwarzanych w związku z procedurami udzielania zezwoleń należą m.in. dane dotyczące programu działalności i zasad zarządzania instytucji kredytowej (które mogą zawierać osobiste informacje finansowe, dane dotyczące odpowiedniości posiadaczy znacznych pakietów akcji lub 20 największych akcjonariuszy oraz informacje na temat odpowiedniości członków organów zarządzających). Projekt regulacyjnych standardów technicznych dotyczących informacji wymaganych od instytucji kredytowych na potrzeby postępowania w sprawie zezwolenia, wymogów mających zastosowanie do akcjonariuszy i udziałowców posiadających znaczne pakiety akcji oraz przeszkód mogących uniemożliwić skuteczne wykonywanie uprawnień nadzorczych (EBA/RTS/2017/08), sporządzony przez EUNB na podstawie art. 8 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE, zawiera szczegóły na temat informacji, które będą wymagane w przypadku składania wniosków o udzielenie zezwolenia po wejściu w życie tych standardów. Przykłady danych osobowych dotyczących wnioskującej instytucji kredytowej, jej obecnych lub przyszłych akcjonariuszy lub udziałowców, obecnych lub przyszłych członków organów zarządzających, osób pełniących kluczowe funkcje lub funkcje kontroli wewnętrznej lub innych stron powiązanych (w wyniku ustaleń dotyczących outsourcingu, finansowania itp.) można znaleźć w sekcjach poświęconych znacznym pakietom akcji oraz ocenie kompetencji i reputacji.

Znaczne pakiety akcji

Bez uszczerbku dla prawa krajowego, w związku z transakcjami nabycia znacznego pakietu akcji przetwarzane są wymienione poniżej rodzaje danych, przy czym informacje dotyczą zarówno (a) potencjalnych bezpośrednich lub pośrednich nabywców (osób fizycznych lub – w przypadku osób prawnych – członków organów zarządzających), jak i (b) osób powiązanych z potencjalnymi nabywcami:

  • dane osobowe (pełne imię i nazwisko, numer dowodu osobistego / paszportu, obywatelstwo itp.);
  • dane kontaktowe (adres pocztowy, adres e‑mail, numer telefonu itp.);
  • szczegółowe informacje na temat wiedzy, umiejętności i doświadczenia (np. praktycznego doświadczenia zawodowego zdobytego na poprzednich stanowiskach oraz doświadczenia teoretycznego (wiedzy i umiejętności) uzyskanego w ramach kształcenia i szkoleń);
  • informacje na temat reputacji, takie jak:
    • szczegóły dotyczące uprzedniej karalności, istotnych dochodzeń lub postępowań karnych, istotnych spraw cywilnych lub administracyjnych lub postępowań dyscyplinarnych (włącznie z dyskwalifikacją jako dyrektor spółki, niewypłacalnością, upadłością lub podobnymi procedurami);
    • oświadczenie o tym, czy wobec danej osoby toczy się postępowanie karne lub czy ta osoba lub organizacja przez nią zarządzana kiedykolwiek uczestniczyła jako dłużnik w postępowaniu upadłościowym lub porównywalnym;
    • szczegółowe informacje na temat wszelkich dochodzeń i postępowań egzekucyjnych prowadzonych przez organy nadzoru lub sankcji nałożonych przez te organy;
    • informacje o każdej odmowie rejestracji, zezwolenia, członkostwa lub licencji na prowadzenie transakcji handlowych, działalności lub wykonywanie zawodu;
    • informacje na temat cofnięcia, unieważnienia lub wygaśnięcia rejestracji, zezwolenia, członkostwa lub licencji;
    • informacje o wydaleniu przez organ regulacyjny lub rządowy;
    • informacje na temat wszelkich zwolnień z pracy, stanowiska wymagającego zaufania lub stosunku powierniczego (lub podobnej sytuacji) lub zobowiązań do rezygnacji z zatrudnienia na takim stanowisku;
  • informacje finansowe, takie jak:
    • informacje dotyczące sytuacji i kondycji finansowej danej osoby, jej źródeł dochodów, aktywów i pasywów, zastawów i gwarancji itd.;
    • ratingi i dostępne publicznie sprawozdania dotyczące spółek kontrolowanych lub kierowanych przez daną osobę;
    • ratingi i dostępne publicznie sprawozdania dotyczące danej osoby;
  • informacje o tym, czy ocena reputacji danej osoby jako nabywcy lub osoby kierującej działalnością instytucji finansowej została już przeprowadzona przez inny właściwy organ nadzorczy w sektorze finansowym (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny);
  • informacje na temat tego, czy ocena reputacji danej osoby została już przeprowadzona przez inny właściwy organ w sektorze niefinansowym (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny);
  • szczegóły dotyczące wszelkich powiązań finansowych (w tym operacje kredytowe, gwarancje, zastawy itp.) lub niefinansowych (np. bliskie pokrewieństwo lub konkubinat) z:
    • obecnym akcjonariuszem docelowej instytucji;
    • osobą z prawem głosu w docelowej instytucji;
    • docelową instytucją lub grupą, do której ona należy;
  • szczegóły dotyczące wszystkich innych interesów lub działalności sprzecznych z interesem docelowej instytucji oraz możliwe sposoby rozwiązania takich konfliktów interesów.

W związku z oceną transakcji nabycia znacznego pakietu akcji należy również odnieść się do wykazu informacji zalecanych we wspólnych wytycznych dotyczących oceny ostrożnościowej przejęć i zwiększeń znacznych pakietów akcji w sektorze finansowym (JC/GL/2016/01).

Ponadto w odniesieniu do oceny transakcji nabycia znacznego pakietu akcji mogą być przetwarzane również wszystkie dane osobowe wymagane do przeprowadzenia oceny kompetencji i reputacji nowo powoływanych członków organu zarządzającego docelowej instytucji, wyszczególnione w poniższej sekcji.

Ocena kompetencji i reputacji

Wykaz informacji, które należy przekazać właściwym organom na potrzeby każdej oceny odpowiedniości, przedstawiono w załączniku III do wspólnych wytycznych ESMA i EUNB w sprawie oceny kwalifikacji członków organu zarządzającego i osób pełniących najważniejsze funkcje zgodnie z dyrektywami 2013/36/UE i 2014/65/UE (EBA/GL/2017/12).

W ramach oceny kompetencji i reputacji przetwarzane są następujące dane osobowe:

  1. dane przekazane przez powoływaną osobę (na piśmie w związku z kwestionariuszem dotyczącym oceny kompetencji i reputacji lub ustnie podczas rozmów), takie jak:
    • dane osobowe (pełne imię i nazwisko, numer dowodu osobistego / paszportu, obywatelstwo itp.);
    • dane kontaktowe (adres pocztowy, adres e‑mail, numer telefonu itp.);
    • szczegółowe informacje na temat wiedzy, umiejętności i doświadczenia (np. dotyczące praktycznego doświadczenia zawodowego zdobytego na poprzednich stanowiskach oraz doświadczenia teoretycznego (wiedzy i umiejętności) uzyskanego w ramach kształcenia i szkoleń);
    • informacje na temat reputacji, takie jak szczegóły dotyczące uprzedniej karalności, istotnych dochodzeń lub postępowań karnych, istotnych spraw cywilnych lub administracyjnych lub postępowań dyscyplinarnych (włącznie z dyskwalifikacją jako dyrektor spółki, niewypłacalnością, upadłością lub podobnymi procedurami);
    • szczegółowe informacje dotyczące wszelkich konfliktów interesów (np. bliskich relacji osobistych z członkiem organu zarządzającego, istotnych prywatnych transakcji biznesowych z daną instytucją kredytową lub zajmowania pozycji o znaczącym wpływie politycznym);
    • informacje na temat dyspozycyjności osoby powoływanej na potrzeby działalności w danej instytucji kredytowej (w tym, w stosownych przypadkach, szczegóły dotyczące czasu przeznaczanego na inną działalność zawodową lub prywatną);
    • informacje na temat zbiorowej odpowiedniości organu zarządzającego (np. wartości, jaką osoba powoływana wnosi do tego organu jako całości);
  2. dane osobowe, o których właściwy organ dowiedział się w inny sposób (np. za pośrednictwem mediów);
  3. dane osobowe dotyczące stron trzecich (a nie samej osoby powoływanej);
  4. wszelkie uwagi pracowników EBC lub właściwych organów krajowych na temat wyników oceny kompetencji i reputacji osoby powoływanej (np. uwagi odzwierciedlające ocenę lub opinię organu nadzoru dotyczące osoby powoływanej – w szczególności jej wiedzy i umiejętności w danej dziedzinie);
  5. informacje o tym, czy ocena kompetencji i reputacji została wcześniej przeprowadzona przez inny właściwy organ nadzorczy (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny).

Cofanie zezwoleń

Przy podejmowaniu decyzji w sprawie cofnięcia zezwolenia na prowadzenie działalności przez instytucję kredytową mogą być przetwarzane (m.in.) następujące rodzaje danych osobowych:

  • wszelkie dane osobowe podane na potrzeby oceny transakcji nabycia znacznego pakietu akcji, uzyskania zezwolenia lub oceny kompetencji i reputacji (zob. odpowiednie sekcje powyżej) potrzebne do rozpatrzenia przedmiotowej sprawy;
  • wszelkie dane osobowe zawarte w informacjach o działalności instytucji, oświadczeniach instytucji dotyczących jej statusu oraz innych dokumentach dostarczonych zgodnie z mającymi zastosowanie przepisami krajowymi i regulaminem instytucji;
  • wszelkie dane osobowe zawarte w informacjach o kontrolach na miejscu, procesie przeglądu i oceny nadzorczej, zgłoszeniach naruszeń, ustaleniach i środkach nadzorczych, komunikacji z instytucją kredytową oraz orzeczeniach i decyzjach sądowych.

Swoboda przedsiębiorczości

Dane osobowe przetwarzane w związku ze swobodą przedsiębiorczości są wyszczególnione w formularzach zamieszczonych w rozporządzeniu wykonawczym Komisji (UE) nr 926/2014 z dnia 27 sierpnia 2014 r. ustanawiającym wykonawcze standardy techniczne w odniesieniu do standardowych formularzy, szablonów i procedur na potrzeby powiadomień związanych z korzystaniem ze swobody przedsiębiorczości i swobody świadczenia usług zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2013/36/UE.

  • informacje dotyczące osób fizycznych powiązanych z nadzorowanymi instytucjami kredytowymi (np. jako pracownicy lub klienci) w kontekście nadzoru na miejscu i na odległość.

Ta lista nie jest jednak wyczerpująca. Więcej informacji można uzyskać drogą mejlową pod adresem info@ecb.europa.eu.

Dokąd są przesyłane i gdzie są przetwarzane oraz przechowywane dane osobowe?

W ramach współpracy nadzorczej niektóre dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy (EOG): organizacjom międzynarodowym, organom nadzorczym i organom administracji z państw trzecich.

Zgodnie z art. 47 rozporządzenia (UE) 2018/1725 przekazanie danych poza EOG może nastąpić, gdy Komisja Europejska przyjmiedecyzję stwierdzającą odpowiedni stopień ochrony.

W przypadku braku takiej decyzji, na podstawie art. 48 ust. 1 rozporządzenia (UE) 2018/1725, dane osobowe mogą zostać przekazane państwu trzeciemu lub organizacji międzynarodowej wyłącznie wtedy, gdy zapewnione są odpowiednie środki ochronne, i pod warunkiem że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

W razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub odpowiednich zabezpieczeń przekazanie danych osobowych do państw trzecich może nastąpić w drodze wyjątku jedynie w szczególnych sytuacjach przewidzianych w art. 50 rozporządzenia (UE) 2018/1725 (w szczególności art. 50 ust. 1 lit. d)).

Dane osobowe są przechowywane w bezpiecznym systemie informatycznym chronionym szyfrowaniem i uwierzytelnianiem.

Jak długo EBC przechowuje dane osobowe?

EBC przechowuje dane tak długo, jak są one potrzebne do konkretnego celu w zakresie nadzoru, zgodnie z zasadami przechowywania danych przez EBC.

Okresy przechowywania danych dla postępowań w sprawie zezwoleń

EBC przechowuje dane osobowe dotyczące postępowań w sprawie zezwoleń przez następujące maksymalne okresy:

  • 15 lat od daty złożenia wniosku lub powiadomienia, jeżeli wniosek został wycofany przed podjęciem oficjalnej decyzji;
  • 15 lat od daty wydania decyzji negatywnej;
  • w przypadku decyzji pozytywnej – 15 lat od dnia, gdy osoba, której dane dotyczą, przestała być członkiem kierownictwa instytucji kredytowej, pełnić w niej kluczową funkcję, być wspólnikiem-założycielem lub posiadaczem znacznego pakietu akcji lub przestała być kierownikiem oddziału lub pełnić w nim kluczową funkcję;
  • 15 lat od daty przyjęcia przez EBC decyzji o cofnięciu zezwolenia na prowadzenie działalności przez instytucję kredytową.
W przypadku wszczęcia postępowania administracyjnego lub sądowego powyższe okresy przechowywania danych mogą zostać przedłużone – zakończyć się rok po zamknięciu takiego postępowania ostateczną decyzją.

Informacje na temat okresów przechowywania konkretnych danych osobowych mogą być udostępniane na żądanie. Żeby uzyskać więcej informacji, należy skontaktować się z nami mejlowo pod adresem info@ecb.europa.eu.

Prawa osoby, której dane dotyczą

Osoba, której dane dotyczą, ma prawo do uzyskania dostępu do swoich danych osobowych oraz do sprostowania niedokładnych lub niekompletnych danych. Ma też prawo (pod pewnymi warunkami) do ich usunięcia, a także ograniczenia ich przetwarzania lub wniesienia sprzeciwu wobec przetwarzania tych danych, zgodnie z rozporządzeniem (UE) 2018/1725.

Rozporządzenie (UE) 2018/1725 przewiduje też wyjątki i ograniczenia tych praw w pewnych sytuacjach.

Do kogo należy kierować pytania i prośby?

Żeby skorzystać z przysługujących praw, należy przesłać wiadomość na adres info@ecb.europa.eu.

Dane kontaktowe – postępowania w sprawie zezwoleń

Osoby, których dane dotyczą, mogą skorzystać z przysługujących im praw, kontaktując się mejlowo z Działem Zezwoleń lub Działem Oceny Kompetencji i Reputacji.

Pytania dotyczące danych osobowych można też kierować bezpośrednio do inspektora ochrony danych w EBC, na adres dpo@ecb.europa.eu.

Europejski Inspektor Ochrony Danych

Jeżeli osoba, której dane dotyczą, uzna, że w trakcie przetwarzania danych osobowych naruszono jej prawa wynikające z rozporządzenia (UE) 2018/1725, może w dowolnym momencie złożyć skargę do Europejskiego Inspektora Ochrony Danych.

Europejski Inspektor Ochrony Danych

Więcej informacji

Dodatkowe informacje można znaleźć w opinii Europejskiego Inspektora Ochrony Danych z 3 listopada 2014 w sprawie przetwarzania danych osobowych w związku z procedurami nadzoru ostrożnościowego w ramach jednolitego mechanizmu nadzorczego.

Opinia Europejskiego Inspektora Ochrony Danych