Databeskyttelseserklæring vedrørende behandlingen af personoplysninger i forbindelse med banktilsyn inden for Den Fælles Tilsynsmekanisme
ECB behandler personoplysninger i forbindelse med sine opgaver, ansvarsområder og beføjelser med hensyn til banktilsyn. Denne databeskyttelseserklæring redegør for, hvordan ECB håndterer personoplysninger inden for den generelle ramme for tilsynsaktiviteterne.
Denne side indeholder også nærmere oplysninger om de personoplysninger, som ECB behandler i forbindelse med tilladelsesprocedurer. Oplysningerne kan findes ved at klikke på den relevante procedure (licensudstedelse, kvalificerede andele, fit & proper-vurderinger, etableringsret eller inddragelse af tilladelse) i nedenstående lister.
Hvad er ECB's retlige ramme?
Rådets forordning (EU) nr. 1024/2013 overdrager specifikke opgaver til Den Europæiske Centralbank (ECB) i forbindelse med politikker vedrørende tilsyn med kreditinstitutter på grundlag af artikel 127, stk. 6, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Med henblik på banktilsynet er ECB, inden for rammerne af SSM-forordningens artikel 6, betroet de specifikke opgaver, der er omhandlet i denne forordnings artikel 4, som vedrører kreditinstitutter, der er etableret i i) EU-medlemsstater, der har euroen som valuta, og ii) EU-medlemsstater, der ikke har euroen som valuta, og som har indledt et tæt samarbejde med ECB i overensstemmelse med SSM-forordningens artikel 7 (de deltagende medlemsstater). Forordning (EU) nr. 468/2014 (SSM-rammeforordningen) fastsætter de regler og procedurer, der gælder for samarbejdet mellem ECB og de deltagende medlemsstaters kompetente nationale myndigheder.
Da ECB må indsamle og viderebehandle personoplysninger under udførelsen af sine tilsynsopgaver i henhold til SSM-forordningen, er ECB underlagt EU's databeskyttelseslovgivning, dvs. Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og ‑agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39-98).
Hvorfor behandler vi personoplysninger?
ECB indsamler og viderebehandler personoplysninger med henblik på at udføre og udøve de tilsynsmæssige opgaver, ansvarsområder og beføjelser, som er betroet ECB i SSM-forordningen (navnlig denne forordnings artikel 4, 5, 6, 7, 8 og 18). Heri indgår en lang række aktiviteter, der omfatter:
- tilladelsesprocedurer:Udstedelser af licens
I henhold til SSM-forordningens artikel 4, stk. 1, litra a), har ECB enekompetence til at meddele tilladelse til at påbegynde virksomhed som kreditinstitut i en deltagende medlemsstat, med forbehold af denne forordnings artikel 14. I denne sammenhæng er det ECB's opgave at sikre sig, at nye aktører på bankmarkedet er robuste og overholder national ret og EU-ret. ECB fokuserer navnlig på de ansøgende bankers kapitalniveau, deres driftsplan, organisationsstruktur samt deres lederes og relevante aktionærers egnethed. De personoplysninger, der anmodes om, er således nødvendige for at kunne vurdere, om kriterierne for udstedelse af tilladelse til at påbegynde virksomhed som kreditinstitut er opfyldt.
Kvalificerede andeleI henhold til SSM-forordningens artikel 4, stk. 1, litra c), har ECB enekompetence til at vurdere underretninger om erhvervelser af kvalificerede andele i kreditinstitutter i deltagende medlemsstater, med forbehold af denne forordnings artikel 15. ECB beslutter, om den skal modsætte sig sådanne erhvervelser, på grundlag af de vurderingskriterier, der er fastsat i den relevante EU-ret, og/eller nationale ret, i overensstemmelse med de procedurer og vurderingsperioder, der er fastsat heri. De personoplysninger, der anmodes om, er således nødvendige for at kunne vurdere, om kriterierne for at give tilladelse til erhvervelse af kvalificerede kapitalandele i kreditinstitutter er opfyldt. I henhold til artikel 23, stk. 1, litra a) – e), i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 skal følgende kriterier vurderes ved fastlæggelsen af den påtænkte erhververs egnethed og den påtænkte erhvervelses finansielle soliditet:
- den påtænkte erhververs omdømme og finansielle soliditet
- egnethed og hæderlighed, hvad angår de medlemmer af ledelsesorganet og de medlemmer af den daglige ledelse, som kommer til at lede det pågældende kreditinstituts virksomhed som følge af den påtænkte erhvervelse
- hvorvidt det pågældende kreditinstitut vil fortsætte med at overholde tilsynskravene
- om der er rimelige grunde til i forbindelse med den påtænkte erhvervelse at formode, at hvidvaskning af penge eller finansiering af terrorisme forekommer eller forsøges eller er forekommet eller er blevet forsøgt, eller at den påtænkte erhvervelse vil kunne øge risikoen for en sådan adfærd.
Fit & proper-vurderingerI henhold til SSM-forordningens artikel 4, stk. 1, litra e), skal ECB sikre overholdelse af den relevante EU-ret, der pålægger kreditinstitutterne at have solide styringsordninger, herunder fit & proper-krav vedrørende de personer, som er ansvarlige for forvaltningen af kreditinstitutter. Der indsamles og behandles således personoplysninger for at vurdere, hvorvidt de personer, som er ansvarlige for forvaltningen af signifikante kreditinstitutter, opfylder disse fit & proper-krav. De fem kriterier, der vurderes i denne forbindelse, vedrører følgende: i) den pågældende persons erfaring, ii) den pågældendes omdømme, iii) interessekonflikter og uafhængighed, iv) afsættelse af tilstrækkelig tid til det pågældende kreditinstitut, v) bestyrelsens kollektive egnethed.
Inddragelse af tilladelseI henhold til SSM-forordningens artikel 4, stk. 1, litra a), og artikel 6, stk. 4, har ECB enekompetence til at inddrage tilladelser til at drive virksomhed som kreditinstitut i en deltagende medlemsstat, med forbehold af denne forordnings artikel 14. Herved sikres det, at det kun er kreditinstitutter med i) et forsvarligt økonomisk grundlag, ii) organisatoriske ordninger, som er i stand til at håndtere de særlige risici ved indlån og kreditgivning, og iii) egnede direktører, der udøver aktiviteterne i kreditinstitutter. De personoplysninger, der anmodes om, er således nødvendige for at kunne vurdere, om kriterierne for udstedelse af tilladelse til at drive virksomhed som kreditinstitut fortsat er opfyldt.
Udøvelse af etableringsretten i en anden deltagende medlemsstatKreditinstitutter, der er etableret i de deltagende medlemsstater, må udøve etableringsretten på en anden deltagende medlemsstats område. Det kræves, at de kompetente nationale myndigheder informerer ECB (ved brug af de procedurer, der er fastsat i SSM-rammeforordningen) om alle de oplysninger, som signifikante kreditinstitutter indgiver til dem i henhold til artikel 35, stk. 2, i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (herunder bl.a. oplysninger om de personer, der skal være ansvarlige for ledelsen af den foreslåede filial og dens nøglefunktioner). Alle de krævede personoplysninger – som anført i de formularer, der indgår i Kommissionens gennemførelsesforordning (EU) nr. 926/2014 af 27. august 2014 om gennemførelsesmæssige tekniske standarder for standardformularer, -modeller og -procedurer for underretning om udøvelsen af etableringsretten og den frie udveksling af tjenesteydelser i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2013/36/EU – er nødvendige for, at ECB kan vurdere egnetheden af de personer, som skal være ansvarlige for ledelsen af den foreslåede filial eller dens nøglefunktioner. Desuden underretter de kompetente nationale myndigheder også ECB om oplysninger (der kan omfatte personoplysninger), som de modtager fra i) mindre signifikante institutter, der udøver deres etableringsret på en anden deltagende medlemsstats område, og ii) kreditinstitutter, der er etableret i ikke-deltagende medlemsstater, som udøver deres etableringsret i en deltagende medlemsstat.
Udøvelse af etableringsretten i en ikke-deltagende medlemsstatSignifikante kreditinstitutter, der er etableret i deltagende medlemsstater, kan udøve deres etableringsret på en ikke-deltagende medlemsstats område (kaldet "udgående pasordning"). I disse situationer skal ECB udøve hjemmedlemsstatens kompetente myndigheds beføjelser i overensstemmelse med de procedurer, der er fastsat i SSM-rammeforordningens artikel 17, stk. 1. Hjemmedlemsstatens beføjelser vedrørende kreditinstitutters etableringsret er fastsat i artikel 35 i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 og omfatter en vurdering af, om kreditinstituttets administrative struktur er tilstrækkelig. I denne forbindelse skal kreditinstituttet indgive oplysninger om de personer, der skal være ansvarlige for ledelsen af den foreslåede filial og dens nøglefunktioner. Alle de krævede personoplysninger – som anført i de formularer, der indgår i Kommissionens gennemførelsesforordning (EU) nr. 926/2014 af 27. august 2014 om gennemførelsesmæssige tekniske standarder for standardformularer, -modeller og -procedurer for underretning om udøvelsen af etableringsretten og den frie udveksling af tjenesteydelser i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2013/36/EU – er nødvendige for at kunne vurdere egnetheden af de personer, som skal være ansvarlige for den foreslåede filial eller dens nøglefunktioner. Desuden underretter de kompetente nationale myndigheder også ECB om oplysninger, der er modtaget fra mindre signifikante institutter, vedrørende etableringsretten på en ikke-deltagende medlemsstats område, som kan omfatte personoplysninger.
- tilsyn med kreditinstitutters overholdelse af relevant EU-ret, der pålægger tilsynsmæssige krav (fx kapitalgrundlagskrav, regler om kredit til nærtstående parter og regler om aflønningspolitik og -praksis)
- tilsynskontrol (herunder stresstest) og offentliggørelse heraf
- anvendelsen af krav vedrørende kapitalbuffere og andre foranstaltninger med henblik på at adressere systemiske eller makroprudentielle risici
- videregivelse af personoplysninger til andre EU-institutioner, -organer eller ‑agenturer, tilsynsmyndigheder, internationale organisationer og tredjelandes myndigheder.
- med henblik på at foretage kvantitative undersøgelser og analyser samt statistisk rapportering på aggregeret plan (hvor personoplysningerne aggregeres og anonymiseres i tilstrækkelig grad, således at enkeltpersoner ikke kan identificeres på det aggregerede plan)
- ved at anvende teknologi (herunder automatisk og standardiseret databehandling, og som automatiserede faser af beslutningsprocesser) for at forbedre resultaterne af ECB's tilsynsopgaver. I dette tilfælde vil registrerede ikke være genstand for afgørelser, som alene er baseret på automatisk behandling, der har retsvirkninger (eller andre tilsvarende betydelige virkninger) for dem. Der vil blive truffet alle passende tekniske og organisatoriske foranstaltninger for at sikre overholdelsen af forordning (EU) 2018/1725.
Konsekvenserne af ikke at udlevere de ønskede oplysninger fastsættes i de konkrete tilfælde. Ved manglende udlevering af oplysninger, vil væsentligheden af de manglende oplysninger blive vurderet, og hvis ECB ikke foretage sin vurdering uden disse oplysninger, er ECB muligvis ikke i stand til at træffe en positiv afgørelse.
Hvilket retsgrundlag er der for at behandle dine personoplysninger?
Behandlingen af personoplysninger til de ovennævnte formål er nødvendig i henhold til artikel 5, stk. 1, litra a), og b), i forordning (EU) 2018/1725, sammenholdt med SSM-forordningen.
Nærmere oplysninger om tilladelsesprocedurer:
I henhold til SSM-forordningens artikel 4, stk. 1, litra a), og artikel 6, stk. 4, har ECB enekompetence til at meddele kreditinstitutter tilladelse til at påbegynde virksomhed som kreditinstitut, med forbehold af denne forordnings artikel 14. I henhold til SSM-forordningens artikel 14 skal ansøgninger om at påbegynde virksomhed som kreditinstitut forelægges den kompetente nationale myndighed i den medlemsstat, hvor kreditinstituttet påtænkes etableret i overensstemmelse med de relevante krav i den nationale ret. Den relevante kompetente nationale myndighed skal vurdere ansøgningen og forelægge ECB et udkast til afgørelse, hvis alle relevante kriterier i den nationale ret er opfyldt. ECB kan kun gøre indsigelse mod udkastet til afgørelse, hvis betingelserne for tilladelse i den relevante EU-ret ikke er opfyldt. Betingelserne for, at der kan gives tilladelse, vurderes i overensstemmelse med artikel 8-14 i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 og/eller gældende national ret. I SSM-rammeforordningens artikel 73-79 opstilles reglerne for samarbejdet mellem de kompetente nationale myndigheder og ECB, hvad angår licensudstedelsesproceduren.
I henhold til SSM-forordningens artikel 4, stk. 1, litra c), artikel 6, stk. 4, og artikel 15 i) har ECB enekompetence til at vurdere underretninger om erhvervelser af kvalificerede andele i kreditinstitutter, og ii) skal ECB beslutte, om den skal modsætte sig disse erhvervelser på grundlag af de vurderingskriterier, der er fastsat i den relevante EU-ret (artikel 23, stk. 1, litra a) – e), i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013) og/eller gældende national ret, og i overensstemmelse med de procedurer og vurderingsperioder, der er fastsat heri. I SSM-rammeforordningens artikel 85-87 opstilles reglerne for samarbejdet mellem de kompetente nationale myndigheder og ECB, hvad angår erhvervelse af kvalificerede kapitalandele.
I henhold til SSM-forordningens artikel 4, stk. 1, litra e), skal ECB med henblik på udførelsen af sine opgaver sikre overholdelse af den relevante EU-ret og/eller nationale ret, der pålægger kreditinstitutterne at have solide styringsordninger, herunder fit & proper-krav vedrørende de personer, som er ansvarlige for forvaltningen af kreditinstitutter. I henhold til SSM-forordningens artikel 16, stk. 2, litra m), har ECB beføjelse til til enhver tid at afsætte medlemmer af ledelsesorganer i kreditinstitutter, der ikke opfylder kravene i den relevante EU-ret. Desuden fremgår det af artikel 91, stk. 1, i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013, at medlemmerne af et kreditinstituts ledelsesorgan til enhver tid skal have et tilstrækkeligt godt omdømme og tilstrækkelig viden, faglig kompetence og erfaring til at kunne udføre deres opgaver. SSM-rammeforordningens artikel 93 og 94 fastsætter reglerne for ECB's vurdering af opfyldelsen af fit & proper-kravene vedrørende de personer, som er ansvarlige for forvaltningen af kreditinstitutter. For at sikre, at fit & proper-kravene til enhver tid er opfyldt, kan ECB iværksætte en ny vurdering baseret på nye faktiske forhold eller anliggender, hvis ECB bliver bekendt med nye faktiske forhold, der kunne påvirke en tidligere vurdering af et medlem af et ledelsesorgan.
I henhold til SSM-forordningens artikel 4, stk. 1, litra a), har ECB til opgave at beslutte at inddrage kreditinstitutters tilladelse til at drive virksomhed som kreditinstitut, med forbehold af denne forordnings artikel 14. Proceduren kan indledes af enten den relevante kompetente nationale myndighed eller ECB, og den nationale myndighed, der er ansvarlig for afvikling af kreditinstitutter, skal også inddrages. I SSM-rammeforordningens artikel 80-84 opstilles reglerne for samarbejdet mellem de kompetente nationale myndigheder og ECB, hvad angår inddragelse af tilladelse til at drive virksomhed som kreditinstitut.
I henhold til SSM-forordningens artikel 17, stk. 1, vedrørende forholdet mellem de deltagende medlemsstater finder de procedurer, der er fastsat i den relevante EU-ret for kreditinstitutter, der ønsker at oprette en filial på en anden medlemsstats område, og de dermed forbundne beføjelser i hjem- og værtsmedlemsstaterne kun anvendelse i forbindelse med de opgaver, som ikke overdrages til ECB ved denne forordnings artikel 4. Procedurerne vedrørende samarbejdet mellem de kompetente nationale myndigheder og ECB, hvad angår signifikante kreditinstitutters udøvelse af etableringsretten på en anden deltagende medlemsstats område, er fastsat i SSM-rammeforordningens artikel 11, stk. 1 og 3. I henhold til disse bestemmelser skal ECB underrettes om alle oplysninger, som signifikante kreditinstitutter indgiver til de kompetente nationale myndigheder i overensstemmelse med artikel 35, stk. 2, i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (herunder oplysninger om de personer, der skal være ansvarlige for ledelsen af den foreslåede filial og dens nøglefunktioner). I overensstemmelse med SSM-rammeforordningens artikel 11, stk. 4, og artikel 13, stk. 1, underretter de kompetente nationale myndigheder ECB om meddelelser indgivet af i) mindre signifikante institutter, der udøver deres etableringsret på en anden deltagende medlemsstats område, og ii) kreditinstitutter, der er etableret i ikke-deltagende medlemsstater, som udøver deres etableringsret i en deltagende medlemsstat. Når et kreditinstitut, der er etableret i en ikke-deltagende medlemsstat, opretter en signifikant filial i en deltagende medlemsstat, udøver ECB de beføjelser, som henhører under den kompetente myndighed i værtsmedlemsstaten, jf. SSM-rammeforordningens artikel 14, stk. 1.
I henhold til SSM-forordningens artikel 4, stk. 1, litra b), har ECB kompetence til at udføre de opgaver, som den kompetente myndighed i hjemmedlemsstaten skal udføre i henhold til den relevante EU-ret, når et signifikant kreditinstitut, der er etableret i en deltagende medlemsstat, ønsker at oprette en filial i en ikke-deltagende medlemsstat. Hjemmedlemsstatens beføjelser vedrørende kreditinstitutters etableringsret er fastsat i artikel 35 i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 og omfatter en vurdering af, om kreditinstituttets administrative struktur er tilstrækkelig. I denne forbindelse skal kreditinstituttet indgive oplysninger om de personer, der skal være ansvarlige for ledelsen af den foreslåede filial og dens nøglefunktioner. Procedurerne vedrørende samarbejdet mellem de kompetente nationale myndigheder og ECB, hvad angår signifikante kreditinstitutters udøvelse af etableringsretten på en ikke-deltagende medlemsstats område, er fastsat i SSM-rammeforordningens artikel 17, stk. 1. I henhold til SSM-forordningens artikel 4, stk. 1, litra b), og SSM-rammeforordningens artikel 17, stk. 2, underretter kompetente nationale myndigheder ECB om meddelelser indgivet af mindre signifikante institutter vedrørende udøvelsen af etableringsretten i en ikke-deltagende medlemsstat.
Hvem er ansvarlig for behandlingen af dine personoplysninger?
I henhold til artikel 3, stk. 8, i forordning (EU) 2018/1725 er ECB registeransvarlig for databehandlingen i forbindelse med forskellige typer af tilsynsprocedurer i sammenhæng med tilsynet med signifikante institutter.
ECB og de kompetente nationale myndigheder er fælles registeransvarlige – under udførelsen af de tilsynsopgaver, som de er overdraget ved SSM-forordningen og SSM-rammeforordningen – når de i fællesskab afgør, til hvilket formål og med hvilke midler der må foretages behandling af personoplysninger. I overensstemmelse med artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (samt artikel 26 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (den generelle forordning om databeskyttelse), som finder anvendelse på de kompetente nationale myndigheders behandling af personoplysninger), aftaler de fælles registeransvarlige en særlig ordning, der fastlægger deres ansvar. Det væsentligste indhold af ordningen offentliggøres.
Nærmere oplysninger om tilladelsesprocedurer:
ECB og de kompetente nationale myndigheder er fælles registeransvarlige for databehandlingen i tilknytning til udstedelse af tilladelser til at påbegynde virksomhed som kreditinstitut (også kaldet "licensudstedelse") i forbindelse med tilsynet med signifikante og mindre signifikante institutter.
ECB og de kompetente nationale myndigheder er fælles registeransvarlige for databehandlingen i tilknytning til kvalificerede kapitalandele i sammenhæng med tilsynet med signifikante og mindre signifikante institutter.
ECB er registeransvarlig for databehandlingen i tilknytning til fit & proper-vurderinger i forbindelse med tilsynet med signifikante institutter.
ECB og de kompetente nationale myndigheder er fælles registeransvarlige for databehandlingen i tilknytning til inddragelse af tilladelser til at drive virksomhed som kreditinstitut i sammenhæng med tilsynet med signifikante og mindre signifikante institutter.
ECB er registeransvarlig for databehandlingen i tilknytning til udøvelse af etableringsretten i en anden deltagende medlemsstat i sammenhæng med tilsynet med signifikante institutter. Desuden meddeler de kompetente nationale myndigheder ECB, når de modtager meddelelser fra i) mindre signifikante institutter, der udøver deres etableringsret i en anden deltagende medlemsstat, og ii) kreditinstitutter, der er etableret i ikke-deltagende medlemsstater og udøver deres etableringsret i en deltagende medlemsstat.
ECB er registeransvarlig for databehandlingen i tilknytning til retten til etablering i en ikke-deltagende medlemsstat i sammenhæng med tilsynet med signifikante institutter. De kompetente nationale myndigheder informerer ECB, når de modtager meddelelser fra mindre signifikante institutter, der udøver deres etableringsret i en ikke-deltagende medlemsstat.
Hvem modtager dine personoplysninger?
Når ECB behandler personoplysninger til ovennævnte formål, får følgende personer adgang til personoplysningerne efter et "need to know"-princip, som overholdes strengt:
- et begrænset antal medarbejdere i ECB (når det er nødvendigt for udøvelsen af deres opgaver, herunder opgaver i forbindelse med tilsynet med kreditinstitutter)
- et begrænset antal medarbejdere i de kompetente nationale myndigheder (når det er nødvendigt for udøvelsen af deres opgaver i forbindelse med tilsynet med kreditinstitutter)
- medlemmer af ECB's tilsynsråd og styrelsesråd
- eksterne eksperter og leverandører, som arbejder på vegne af ECB, og som bistår ECB ved at udarbejde udtalelser og yde rådgivning og støtte i sammenhæng med tilsynet med kreditinstitutter (fx advokatbistand)
- et begrænset antal medarbejdere i andre EU-institutioner, -organer og ‑agenturer samt tilsynsmyndigheder og nationale myndigheder (fx anklagemyndigheder eller myndigheder med ansvar for bekæmpelse af hvidvask af penge).
Hvilken type personoplysninger bliver behandlet?
ECB behandler forskellige typer personoplysninger, alt efter hvilken form for databehandlingsaktivitet der er tale om: Det drejer sig fx om følgende data:
- information om omdømme, viden, faglig kompetence og erfaring hos nuværende og potentielle fremtidige bestyrelsesmedlemmer i i) kreditinstitutter under tilsyn og ii) virksomheder, som har til hensigt at erhverve eller afhænde kvalificerede kapitalandele i kreditinstitutter under tilsyn. Nærmere oplysninger om tilladelsesprocedurer findes her:
Personoplysninger, som behandles i forbindelse med licensudstedelsesprocedurer, omfatter bl.a. data med tilknytning til kreditinstituttets driftsplan og governanceordninger (som kan omfatte personlige finansielle oplysninger, data om kvalificerede aktionærer eller de 20 største aktionærer og information om egnetheden af medlemmerne af ledelsesorganer). I EBA's udkast til reguleringsmæssige tekniske standarder i henhold til artikel 8, stk. 2, i Europa-Parlamentets og Rådets direktiv 2013/36/EU om de oplysninger, der skal forelægges med henblik på tilladelse til at udøve virksomhed som kreditinstitut, de krav, som finder anvendelse på aktionærer og selskabsdeltagere med kvalificerede kapitalandele, samt forhold, der kan hindre en effektiv varetagelse af tilsynsbeføjelser (EBA/RTS/2017/08) findes de fuldstændige oplysninger om de data, som vil blive krævet i forbindelse med en licensansøgning, når de reguleringsmæssige tekniske standarder træder i kraft. Eksempler på personoplysninger med forbindelse til det ansøgende kreditinstitut, dets nuværende eller fremtidige aktionærer eller selskabsdeltagere, nuværende eller fremtidige medlemmer af ledelsesorganerne, personer med nøglefunktioner eller interne kontrolfunktioner eller eventuelle andre tilknyttede parter (som følge af outsourcing- og finansieringsordninger, osv.) findes i afsnittene om kvalificerede kapitalandele og fit & proper-vurderinger.
Uden at det berører den nationale ret, behandles følgende typer personoplysninger i forbindelse med erhvervelse af kvalificerede andele, som dækker både i) påtænkte direkte og indirekte erhververe (fysiske personer eller, i tilfælde af juridiske personer, medlemmer af deres ledelsesorganer) og ii) personer, som er forbundet til disse påtænkte erhververe:
- personoplysninger (fulde navn, id-kort-/pasnummer, nationalitet osv.)
- kontaktoplysninger (postadresse, e-mailadresse, telefonnummer osv.)
- nærmere oplysninger om viden, faglig kompetence og erfaring (fx information om praktisk erhvervserfaring fra tidligere stillinger og teoretisk erfaring (viden og faglig kompetence), som er opnået gennem uddannelse og undervisning
- omdømmemæssige oplysninger, som fx:
- nærmere oplysninger om eventuelle straffeattester, relevante strafferetlige efterforskninger eller straffesager, relevante civilretlige og administrative sager eller disciplinære foranstaltninger (herunder frakendelse af retten til at være leder af et selskab, konkurs, insolvens eller lignende procedurer)
- en erklæring om, hvorvidt der er verserende straffesager, eller hvorvidt personen eller eventuelle virksomheder, der har været under vedkommendes ledelse, på noget tidspunkt har været involveret som skyldner i insolvensprocedurer eller tilsvarende procedurer
- nærmere oplysninger om eventuelle efterforskninger, fuldbyrdelsesprocedurer eller sanktioner fra en tilsynsmyndighed
- oplysninger om eventuelle afvisninger af registrering, tilladelse, medlemskab eller licens til at udøve et fag, en virksomhed eller et erhverv
- oplysninger om eventuelle tilbagekaldelser, inddragelser eller ophævelser af en sådan registrering, tilladelse, licens eller af et sådant medlemskab
- oplysninger om eventuelle udelukkelser foretaget af en tilsynsmyndighed eller offentlig myndighed
- oplysninger om eventuelle afskedigelser fra en stilling eller en tillidspost, et betroet forhold (eller en tilsvarende situation), eller om at vedkommende er blevet anmodet om at fratræde en sådan post
- finansielle oplysninger, som fx
- oplysninger om personens finansielle position og styrke, kilder til indkomst, aktiver og passiver, pant og sikkerhed
- kreditvurderinger og offentlige rapporter om virksomheder, som kontrolleres eller ledes af den pågældende person
- kreditvurderinger og offentlige rapporter om den pågældende person
- oplysninger om, hvorvidt en vurdering af personens omdømme enten som erhverver eller leder af en finansiel institutions virksomhed allerede er blevet foretaget af en anden tilsynsmyndighed i den finansielle sektor (herunder nærmere oplysninger om denne myndigheds identitet og dokumentation for resultatet af vurderingen)
- oplysninger om, hvorvidt en vurdering af personens omdømme allerede er blevet foretaget af en anden kompetent myndighed i en ikke-finansiel sektor (herunder nærmere oplysninger om denne myndigheds identitet og dokumentation for resultatet af vurderingen)
- nærmere oplysninger om eventuelle finansielle forbindelser (som indebærer kreditoperationer, pant og sikkerhed osv. (eller ikke-finansielle forbindelser) (fx nære familiære bånd eller papirløse parforhold) med:
- nuværende aktionærer i det institut, som er målet for erhvervelsen
- personer, som kan udøve stemmerettigheder i det institut, som er målet for erhvervelsen
- det institut, som er målet for erhvervelsen, eller den koncern, som det indgår i
- nærmere oplysninger om eventuelle andre interesser eller aktiviteter, som kan være i konflikt med det institut, som er målet for erhvervelsen, og mulige løsninger til at håndtere disse interessekonflikter.
Der henvises endvidere til den liste over oplysninger, som anbefales i fælles retningslinjer for tilsynsmæssig vurdering af erhvervelser og forøgelser af kvalificerede kapitalandele i den finansielle sektor (JC/GL/2016/01) med hensyn til vurdering af erhvervelsen af kvalificerede kapitalandele.
Ydermere kan personoplysninger, som kræves til fit & proper-vurderingen af medlemmer af det pågældende instituts ledelsesorgan, som er valgt til at blive udnævnt, og som fremgår af listen i det pågældende afsnit, også behandles i forbindelse med vurderingen af de kvalificerede kapitalandele
Bilag III til ESMA's og EBA's fælles retningslinjer om vurdering af egnetheden af medlemmer af ledelsesorganet og personer med nøglefunktioner i henhold til direktiv 2013/36/EU og direktiv 2014/65/EU (EBA/GL/2017/12) indeholder en liste over oplysninger, som skal forelægges de kompetente myndigheder i forbindelse med hver enkelt egnethedsvurdering.
Følgende personoplysninger behandles i forbindelse med fit & proper-vurderinger:
- personoplysninger, som de udpegede skal forelægge (enten skriftligt i et fit & proper-spørgeskema eller mundtligt under samtaler) såsom:
- personoplysninger (fulde navn, id-kort-/pasnummer, nationalitet osv.)
- kontaktoplysninger (postadresse, e-mailadresse, telefonnummer osv.)
- nærmere oplysninger om viden, faglig kompetence og erfaring (fx information om praktisk erhvervserfaring fra tidligere stillinger og teoretisk erfaring (viden og faglig kompetence), som er opnået gennem uddannelse og undervisning
- omdømmemæssige oplysninger, fx om eventuelle straffeattester eller relevante strafferetlige efterforskninger eller straffesager, relevante civilretlige og administrative sager samt disciplinære foranstaltninger (herunder frakendelse af retten til at være leder af et selskab eller konkurs, insolvens eller lignende procedurer)
- nærmere oplysninger om eventuelle interessekonflikter (fx en tæt personlig relation til et medlem af et ledelsesorgan, en betydelig privat forretningstransaktion med det pågældende kreditinstitut eller en stilling med stor politisk indflydelse)
- oplysninger om den udpegedes afsættelse af tilstrækkelig tid til det pågældende kreditinstitut (herunder i påkommende tilfælde nærmere oplysninger om afsættelsen af tid til andre professionelle eller personlige aktiviteter)
- oplysninger om bestyrelsens kollektive egnethed (fx med hensyn til den merværdi, som den udpegede tilføjer til bestyrelsens samlede sammensætning)
- personoplysninger, som den kompetente myndighed bliver opmærksom på på anden måde (fx via medierne)
- tredjeparters personoplysninger (ikke den udpegedes)
- bemærkninger fra medarbejdere i ECB eller de kompetente nationale myndigheder om, hvordan den udpegede klarede sig under fit & proper vurderingen (fx bemærkninger, som afspejler tilsynsmyndighedens mening om eller vurdering af den udpegede – især hvad angår dennes viden og faglige kompetence på det pågældende område)
- oplysninger om, hvorvidt en fit & proper-vurdering, der allerede er blevet foretaget af en anden kompetent tilsynsmyndighed (herunder nærmere oplysninger om denne myndigheds identitet og dokumentation for resultatet af vurderingen).
Følgende typer personoplysninger kan (bl.a.) blive behandlet, når der træffes beslutning om, hvorvidt en tilladelse til at drive virksomhed som kreditinstitut skal inddrages.
- alle personoplysninger, der forelægges i sammenhæng med en vurdering af kvalificerede kapitalandele, meddelelse af tilladelse eller en fit & proper-vurdering (se de relevante afsnit ovenfor), og som kræves for at vurdere en eventuel inddragelse af en tilladelse
- alle personoplysninger, som indgår i informationen om instituttets aktiviteter, instituttets erklæringer vedrørende dets status og andre dokumenter, som forelægges i henhold til gældende national ret og instituttets vedtægter
- alle personoplysninger, som indgår i informationen om inspektioner på stedet, tilsynskontrol- og vurderingsprocessen, whistleblowing, tilsynskonklusioner og -foranstaltninger, kommunikation med kreditinstituttet og i retskendelser og -afgørelser.
Personoplysningerne, der behandles i forbindelse med etableringsretten, er som anført i de formularer, der indgår i Kommissionens gennemførelsesforordning (EU) nr. 926/2014 af 27. august 2014 om gennemførelsesmæssige tekniske standarder for standardformularer, -modeller og -procedurer for underretning om udøvelsen af etableringsretten og den frie udveksling af tjenesteydelser i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2013/36/EU.
- oplysninger i relation til fysiske personer med tilknytning til kreditinstitutter under tilsyn (fx medarbejdere eller kunder) i sammenhæng med tilsyn på stedet og eksternt tilsyn.
Listen er imidlertid ikke udtømmende. Yderligere oplysninger fås ved at kontakte ECB via formularen til anmodning om oplysninger.
Hvor sendes dine personoplysninger hen, og hvor behandles og opbevares de?
Som led i tilsynssamarbejdet er det muligt, at nogle personoplysninger bliver sendt ud af Det Europæiske Økonomiske Samarbejdsområde (EØS) til internationale organisationer, tilsynsmyndigheder og administrationer i tredjelande.
Sådanne overførsler kan i henhold til artikel 47 i forordning (EU) 2018/1725 finde sted på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fra Europa-Kommissionen.
Hvis Europa-Kommissionen ikke har vedtaget en sådan afgørelse, kan personoplysninger – i henhold til artikel 48, stk. 1, i forordning (EU) 2018/1725 – kun overføres til et tredjeland eller en international organisation, hvis der er givet de fornødne garantier, og hvis rettigheder for den registrerede, som kan håndhæves, og effektive retsmidler for registrerede er tilgængelige.
Er der ikke truffet en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, må overførsler af personoplysninger til tredjelande kun finde sted ekstraordinært på baggrund af særlige undtagelser, der fremgår af artikel 50 i forordning (EU) 2018/1725 (navnlig artikel 50, stk. 1, litra d)).
Personoplysninger lagres i et sikkert IT-system, som er beskyttet ved kryptering, og som kræver autentifikation.
Hvor længe opbevarer ECB personoplysninger?
ECB opbevarer personoplysninger, så længe de skal bruges til det pågældende specifikke tilsynsformål, som det fremgår af ECB's regler for opbevaring.
Opbevaringsperioder i tilknytning til tilladelsesprocedurer
ECB lagrer personoplysninger i tilknytning til tilladelsesprocedurer maksimalt:
- 15 år fra ansøgnings- eller underretningstidspunktet (i de tilfælde, hvor en ansøgning er trukket tilbage, inden der er truffet en formel afgørelse)
- 15 år fra datoen, hvor der blev truffet en negativ afgørelse
- i tilfælde af en positiv afgørelse lagres personoplysninger 15 år fra den dato, hvor den registrerede ophører med at være medlem af kreditinstituttets ledelse, en person med en nøglefunktion, stifter eller kvalificeret aktionær eller filialbestyrer eller en person med en nøglefunktion i en filial
- 15 år fra den dato, hvor ECB beslutter at inddrage tilladelsen til at drive virksomhed som kreditinstitut.
Hvis der indledes administrative eller retslige procedurer, kan ovennævnte opbevaringsperioder forlænges, så de slutter, et år efter disse procedurer er afsluttet med en endelig afgørelse.
Opbevaringsperioder for personoplysninger i forbindelse med fit & proper-vurderinger
ECB opbevare personoplysninger i forbindelse med fit & proper-vurderinger maksimalt:
- En generel opbevaringsperiode på syv år fra den dato, hvor ECB meddeler sin afgørelse til enheden under tilsyn. Denne generelle opbevaringsperiode gælder for de fleste fit & proper-vurderinger. I tilfælde, hvor ansøgningen trækkes tilbage, før ECB har truffet en afgørelse, begynder opbevaringsperioden på ansøgningsdatoen eller datoen for meddelelsen til ECB.
- En længere opbevaringsperiode kan undtagelsesvis gælde i tilfælde, hvor der foreligger et konkret grundlag: a) der verserer en verserende relateret retssag, b) en administrativ revision er i gang, eller c) enten national lovgivning eller enheden under tilsyns statutter muliggør en forlængelse af embedsperioden for personer, der er genstand for en fit & proper-vurdering, og dataene vedrørende den oprindelige fit & proper-vurdering er afgørende for ECB's vurdering af forlængelsen. I tilfælde af a) og b) udløber opbevaringsperioden to år efter henholdsvis rettens endelige afgørelse eller resultatet af den administrative revision, og i tilfælde af c) udløber den syv år efter forlængelsen.
- I meget specifikke tilfælde gælder en opbevaringsperiode på 10 år fra den dato, hvor ECB meddeler afgørelsen til enheden under tilsyn. Det er fx tilfældet ved negative afgørelser og afgørelser med vilkår, der ikke tidligere er aftalt med den pågældende enhed under tilsyn.
Efter anmodning kan oplysninger om opbevaringsperioder for specifikke personoplysninger gøres tilgængelige. Yderligere oplysninger fås ved at kontakte ECB på info@ecb.europa.eu.
Hvilke rettigheder har du?
Du har ret til at få adgang til dine personoplysninger og til at ændre oplysninger, som er urigtige eller ufuldstændige. Du har også (med visse begrænsninger) ret til at få dine personoplysninger slettet eller til at begrænse eller gøre indsigelse mod behandlingen af dine personoplysninger i overensstemmelse med forordning (EU) 2018/1725.
Der kan gælde undtagelser og begrænsninger i forbindelse med disse rettigheder i henhold til forordning (EU) 2018/1725.
ECB kan begrænse din ret til at beskytte de interesser og formål, der er omhandlet i artikel 25, stk. 1, i forordning (EU) 2018/1725.
Hvem kan du kontakte i tilfælde af forespørgsler eller anmodninger?
Du kan gøre brug af dine rettigheder ved at kontakte ECB på info@ecb.europa.eu.
Kontaktoplysninger til specifikke tilladelsesprocedurer
Registrerede kan udøve deres rettigheder ved at sende en e-mail til ECB's Afdeling for Tilladelser eller Fit & Proper-afdelingen.
I overensstemmelse med artikel 14, stk. 3, i forordning (EU) 2018/1725 skal ECB som dataansvarlig uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen oplyse den registrerede om foranstaltninger, der træffes på baggrund af den registreredes anmodning. Denne periode kan om nødvendigt forlænges med yderligere to måneder under hensyntagen til anmodningernes kompleksitet og antal. Den ECB skal underrette den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen.
I overensstemmelse med artikel 14, stk. 4, i forordning (EU) 2018/1725 skal ECB, hvis ECB ikke træffer foranstaltninger i anledning af den registreredes anmodning, straks og senest en måned efter modtagelsen af anmodningen underrette den registrerede om årsagen hertil og om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse og indbringe sagen for en retsinstans.
I tilfælde af konflikt kan du også kontakte ECB's databeskyttelsesansvarlige på dpo@ecb.europa.eu vedrørende alle spørgsmål om personoplysninger.
Henvendelser til Den Europæiske Tilsynsførende for Databeskyttelse
Hvis du mener, at dine rettigheder som registreret i henhold til forordning (EU) 2018/1725 er blevet overtrådt i forbindelse med behandlingen af dine personoplysninger, har du ret til at indgive en klage når som helst til Den Europæiske Tilsynsførende for Databeskyttelse.
Yderligere oplysninger
Yderligere oplysninger findes i Den Europæiske Tilsynsførende for Databeskyttelses udtalelse af 3. november 2014 om behandlingen af personoplysninger i forbindelse med banktilsyn inden for Den Fælles Tilsynsmekanisme.
EDPS' udtalelse