Tietosuojaseloste henkilötietojen käsittelystä yhteisen valvontamekanismin vakavaraisuusvalvonnassa
Euroopan keskuspankki (EKP) käsittelee henkilötietoja valvontatehtäviensä, -vastuidensa ja -valtuuksiensa yhteydessä. Tietosuojaselosteessa kerrotaan yleisesti henkilötietojen käsittelystä valvontatoimien yhteydessä.
Lisäksi kerrotaan tarkemmin henkilötietojen käsittelystä eri lupamenettelyissä. Eri lupamenettelyjä koskevat tiedot löytyvät alla olevista luetteloista (toimiluvat, huomattavat omistusosuudet, sopivuuden ja luotettavuuden arviointi, toimiluvan peruuttaminen ja sijoittautumisoikeus).
Mihin lainsäädäntöön EKP:n pankkivalvontatehtävät perustuvat?
Neuvoston asetuksessa (EU) N:o 1024/2013 (YVM-asetus) EKP:lle annetaan luottolaitosten vakavaraisuusvalvontaan liittyviä erityistehtäviä Euroopan unionin toiminnasta tehdyn sopimuksen (perussopimuksen) artiklan 127 kohdan 6 nojalla.
YVM-asetuksen artiklassa 4 annetut erityistehtävät koskevat mainitun artiklan 6 nojalla perustettuun yhteiseen valvontamekanismiin osallistuviin jäsenvaltioihin sijoittautuneiden luottolaitosten valvontaa. Valvontamekanismiin osallistuvat ne EU:n jäsenvaltiot, jotka ovat ottaneet euron käyttöön, sekä ne EU:n jäsenvaltiot, jotka ovat aloittaneet YVM-asetuksen artiklan 7 mukaisen tiiviin yhteistyön EKP:n kanssa. Asetuksessa (EU) N:o 468/2014 (YVM-kehysasetus) annetaan säännöt ja menettelyt, joita sovelletaan EKP:n ja yhteiseen valvontamekanismiin osallistuvien jäsenvaltioiden toimivaltaisten kansallisten viranomaisten välisessä yhteistyössä.
Koska EKP voi YVM-asetuksen mukaisia tehtäviä hoitaessaan kerätä henkilötietoja ja käsitellä niitä, siihen sovelletaan EU:n tietosuojalainsäädäntöä eli 23.10.2018 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 (asetus luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta, EUVL L 295, 21.11.2018, s. 39–98).
Miksi EKP käsittelee henkilötietoja?
EKP kerää ja käsittelee henkilötietoja YVM-asetuksen (ja etenkin sen artiklojen 4, 5, 6, 7, 8 ja 18) mukaisten vakavaraisuusvalvontatehtäviensä, ‑vastuidensa ja ‑valtuuksiensa yhteydessä muun muassa seuraavissa tarkoituksissa:
- LupamenettelytToimiluvat
YVM-asetuksen artiklan 4 kohdan 1 alakohdan a mukaan EKP:llä on yksinomainen toimivalta myöntää toimiluvat valvontamekanismiin osallistuviin jäsenvaltioihin sijoittautuneille luottolaitoksille, jollei saman asetuksen artiklasta 14 muuta johdu. Lupia myöntäessään EKP varmistaa, että pankkimarkkinoille tulevat laitokset ovat vakavaraisia ja noudattavat unionin ja jäsenvaltionsa lainsäädäntöä. EKP tarkastelee erityisesti luvanhakijapankkien pääoman määrää, toimintasuunnitelmaa, organisaatiorakennetta sekä johdon ja merkittävien osakkaiden sopivuutta. EKP tarvitsee siis henkilötietoja arvioidessaan, täyttävätkö hakijalaitokset toimiluvan myöntämiskriteerit.
Huomattavat omistusosuudetYVM-asetuksen artiklan 4 kohdan 1 alakohdan c mukaan EKP:llä on yksinomainen toimivalta arvioida ilmoituksia, jotka koskevat huomattavien omistusosuuksien hankintaa valvontamekanismiin osallistuviin jäsenvaltioihin sijoittautuneista luottolaitoksista, jollei saman asetuksen artiklasta 15 muuta johdu. EKP päättää unionin ja/tai jäsenvaltion lainsäädännössä asetettujen arviointikriteerien perusteella ja samaisen lainsäädännön mukaisia menettelyjä ja arviointiaikoja noudattaen, vastustaako se omistusosuuden hankintaa. EKP siis tarvitsee henkilötietoja arvioidessaan, täyttääkö hankkijaehdokas huomattavan omistusosuuden hankintaedellytykset. Hankkijaehdokkaan sopivuuden ja ehdotetun hankinnan taloudellisen järkevyyden arviointikriteerit asetetaan 26.6.2013 annetun Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU artiklan 23 kohdan 1 alakohdissa a–e. Kriteereillä arvioidaan,
- onko hankkijaehdokas hyvämaineinen ja vakavarainen
- ovatko luottolaitoksen ylimpään hallintoelimeen tai toimivaan johtoon kaavaillut henkilöt tehtäviinsä sopivia ja luotettavia
- kykeneekö hankinnan kohteena oleva luottolaitos täyttämään vakavaraisuusvaatimukset hankinnan jälkeenkin
- onko perusteltua syytä epäillä, että ehdotetun hankinnan yhteydessä harjoitetaan tai yritetään harjoittaa, on harjoitettu tai on yritetty harjoittaa rahanpesua tai terrorismin rahoitusta tai että ehdotettu hankinta saattaisi lisätä sen vaaraa.
Sopivuuden ja luotettavuuden arviointiYVM-asetuksen artiklan 4 kohdan 1 alakohdan e mukaan EKP:n tulee varmistaa, että luottolaitoksilla on EU:n lainsäädännön mukaiset vankat hallinto- ja ohjausjärjestelyt, kuten johtamisesta vastaavia henkilöitä koskevat sopivuusvaatimukset. EKP kerää ja käsittelee henkilötietoja arvioidakseen, täyttävätkö merkittävien luottolaitosten johtajat sopivuusvaatimukset. Arvioinnissa käytetään viittä kriteeriä: 1) kokemus, 2) maine, 3) eturistiriidat ja riippumattomuus, 4) tehtävien hoitamiseen käytettävän ajan riittävyys ja 5) ylimmän hallintoelimen sopivuus kokonaisuutena.
Toimiluvan peruuttaminenYVM-asetuksen artiklan 4 kohdan 1 alakohdan a ja artiklan 6 kohdan 4 nojalla EKP:llä on yksinomainen toimivalta peruuttaa valvontamekanismiin osallistuvaan jäsenvaltioon sijoittautuneen luottolaitoksen toimilupa saman asetuksen artiklassa 14 säädetyin edellytyksin varmistaakseen, että luottolaitostoimintaa harjoittavat ainoastaan luottolaitokset, joiden 1) talous on vakaalla pohjalla, 2) organisaatio kykenee selviytymään talletusten vastaanottoon ja luotonantoon sisältyvistä riskeistä ja 3) johtajat soveltuvat tehtäviinsä. EKP tarvitsee siis henkilötietoja arvioidessaan, täyttävätkö luottolaitokset jatkuvasti toimiluvan myöntämiskriteerit.
Oikeus sijoittautua valvontamekanismiin osallistuvaan toiseen jäsenvaltioonValvontamekanismiin osallistuvaan jäsenvaltioon sijoittautuneet luottolaitokset voivat käyttää sijoittautumisoikeuttaan myös jonkin toisen osallistuvan jäsenvaltion alueella. Tällöin toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle (YVM-kehysasetuksessa asetetun menettelyn mukaisesti) kaikki tiedot, jotka ne ovat saaneet merkittäviltä luottolaitoksilta direktiivin 2013/36/EU artiklan 35 kohdan 2 nojalla. Tiedot ilmoitetaan muun muassa henkilöistä, joiden on määrä vastata ehdotetun sivuliikkeen johtamisesta ja keskeisistä toiminnoista. Jotta EKP voi arvioida, soveltuvatko he tehtäviinsä, se tarvitsee kaikki komission täytäntöönpanoasetukseen (EU) N:o 926/2014 sisältyvissä lomakkeissa vaadittavat henkilötiedot (ks. 27.8.2014 annettu täytäntöönpanoasetus Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU mukaisista sijoittautumisoikeuden ja palvelujen tarjoamisen vapauden käyttöön liittyviin ilmoituksiin käytettävien vakiomuotoisten lomakkeiden, mallien ja menettelyjen teknisistä täytäntöönpanostandardeista). Lisäksi toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle tiedot (myös mahdolliset henkilötiedot), jotka ne ovat saaneet 1) sijoittautumisoikeuttaan jonkin toisen valvontamekanismiin osallistuvan jäsenvaltion alueella käyttäviltä vähemmän merkittäviltä luottolaitoksilta ja 2) sijoittautumisoikeuttaan jossakin mekanismiin osallistuvassa jäsenvaltiossa käyttäviltä osallistumattomiin jäsenvaltioihin sijoittautuneilta luottolaitoksilta.
Oikeus sijoittautua valvontamekanismiin osallistumattomaan jäsenvaltioonValvontamekanismiin osallistuvaan jäsenvaltioon sijoittautunut merkittävä luottolaitos voi käyttää sijoittautumisoikeuttaan myös jonkin osallistumattoman jäsenvaltion alueella. Tällöin EKP on velvollinen käyttämään kotijäsenvaltion toimivaltaisen viranomaisen valtuuksia YVM-kehysasetuksen artiklan 17 kohdan 1 nojalla. Luottolaitosten sijoittautumisoikeutta koskevat kotijäsenvaltion valtuudet luetellaan direktiivin 2013/36/EU artiklassa 35, johon sisältyy myös valtuus arvioida luottolaitoksen hallinnollisten rakenteiden tarkoituksenmukaisuus. Tätä varten luottolaitoksen on toimitettava tiedot henkilöistä, joiden on määrä vastata ehdotetun sivuliikkeen johtamisesta ja keskeisistä toiminnoista. Jotta EKP voi arvioida, soveltuvatko ehdotetun sivuliikkeen johtamisesta tai sen keskeisistä toiminnoista vastaavat henkilöt tehtäviinsä, se tarvitsee kaikki komission täytäntöönpanoasetukseen (EU) N:o 926/2014 sisältyvissä lomakkeissa vaadittavat henkilötiedot (ks. 27.8.2014 annettu täytäntöönpanoasetus Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU mukaisista sijoittautumisoikeuden ja palvelujen tarjoamisen vapauden käyttöön liittyviin ilmoituksiin käytettävien vakiomuotoisten lomakkeiden, mallien ja menettelyjen teknisistä täytäntöönpanostandardeista). Lisäksi toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle vähemmän merkittäviltä laitoksilta saadut tiedot (myös mahdolliset henkilötiedot) siitä, miten ne ovat käyttäneet sijoittautumisoikeuttaan jonkin valvontamekanismiin osallistumattoman jäsenvaltion alueella.
- Luottolaitosten mukautuminen unionin vakavaraisuuslainsäädännön vaatimuksiin (esim. omat varat, luottojen myöntäminen lähipiirille sekä palkitsemisperiaatteet ja ‑käytännöt)
- Valvojan arvioinnit (myös stressitestit) ja niiden julkaiseminen
- Pääomapuskureita sekä muita järjestelmä- tai makrovakausriskien vähentämistoimenpiteitä koskevien vaatimusten soveltaminen
- Henkilötietojen siirtäminen EU:n muille toimielimille, laitoksille tai virastoille, valvontaviranomaisille, kansainvälisille organisaatioille ja EU:n ulkopuolisten maiden viranomaisille
- Määrällinen tutkimus- ja selvitystyö sekä yhteenlaskettujen tilastojen laatiminen (tällöin henkilötiedot kootaan yhteen ja anonymisoidaan)
- Teknologian käyttö valvontatehtävien tuloksellisuuden parantamiseksi (esim. automaattisessa ja tavanomaisessa tietojenkäsittelyssä sekä päätöksentekoprosessien automatisoiduissa vaiheissa). Päätöksiä, joilla on rekisteröityihin oikeudellisia vaikutuksia (tai muita vastaavia huomattavia vaikutuksia), ei tehdä yksinomaan automaattisen tietojenkäsittelyn perusteella. EKP ottaa käyttöön toimenpiteet, joilla varmistetaan asetuksen (EU) 2018/1725 noudattaminen.
Pyydettyjen tietojen toimittamatta jättämisestä aiheutuvat seuraamukset määrätään tapauskohtaisesti. Jos pyydettyjä tietoja ei toimiteta, EKP arvioi puuttuvien tietojen olennaisuuden, ja jos arviointia ei voi saattaa valmiiksi ilman puuttuvia tietoja, EKP ei välttämättä voi tehdä myönteistä päätöstä.
Mihin lainsäädäntöön henkilötietojen käsittely perustuu?
Henkilötietoja käsitellään asetuksen (EU) 2018/1725 artiklan 5 kohdan 1 alakohtien a ja b nojalla YVM-asetuksessa mainittuihin tarkoituksiin.
Eri lupamenettelyjä koskevat lainkohdat:
YVM-asetuksen artiklan 4 kohdan 1 alakohdan a ja artiklan 6 kohdan 4 mukaan EKP:llä on yksinomainen toimivalta myöntää luottolaitoksille toimilupia, jollei saman asetuksen artiklasta 14 muuta johdu. YVM-asetuksen artiklan 14 mukaan hakemus luottolaitoksen toiminnan aloittamiseksi on toimitettava sen jäsenvaltion kansalliselle toimivaltaiselle viranomaiselle, johon luottolaitos aikoo sijoittautua, kansallisen lainsäädännön vaatimusten mukaisesti. Kyseisen viranomaisen on arvioitava hakemus ja toimitettava EKP:lle päätösluonnos, jos kansallisen lainsäädännön mukaiset kriteerit täyttyvät. EKP voi vastustaa päätösluonnosta vain, jos luottolaitos ei täytä unionin lainsäädännössä asetettuja toimiluvan myöntämisedellytyksiä. Ne arvioidaan direktiivin 2013/36/EU artiklojen 8–14 ja/tai kansallisen lainsäädännön mukaisesti. Säännökset toimilupamenettelyn aikana tehtävästä toimivaltaisten kansallisten viranomaisten ja EKP:n välisestä yhteistyöstä ovat YVM-kehysasetuksen artikloissa°73–79.
YVM-asetuksen artiklan 4 kohdan 1 alakohdan c, artiklan 6 kohdan 4 ja artiklan 15 mukaan EKP:llä on yksinomainen toimivalta arvioida ilmoituksia, jotka koskevat määräosuuksien hankintaa luottolaitoksista. EKP:n on päätettävä, vastustaako se hankintaa direktiivin 2013/36/EU artiklan 23 kohdan 1 alakohdissa a–e ja/tai sovellettavassa kansallisessa lainsäädännössä asetettujen arviointikriteerien perusteella ja lainsäädännön mukaisia menettelyjä ja arviointiaikoja noudattaen. Säännökset huomattavien omistusosuuksien hankintaa koskevasta toimivaltaisten kansallisten viranomaisten ja EKP:n välisestä yhteistyöstä ovat YVM-kehysasetuksen artikloissa 85–87.
YVM-asetuksen artiklan 4 kohdan 1 alakohdan e mukaan EKP:n tulee tehtäviensä suorittamiseksi varmistaa, että luottolaitoksilla on EU:n ja/tai jäsenvaltioiden lainsäädännön mukaiset vankat hallinto- ja ohjausjärjestelyt, kuten luottolaitosten johtamisesta vastaavia henkilöitä koskevia sopivuusvaatimuksia. YVM-asetuksen artiklan 16 kohdan 2 alakohdan m mukaan EKP:llä on valtuus erottaa milloin tahansa sellaiset luottolaitoksen ylimmän hallintoelimen jäsenet, jotka eivät täytä EU:n lainsäädännössä asetettuja vaatimuksia. Direktiivin 2013/36/EU artiklan 91 kohdassa 1 säädetään lisäksi, että luottolaitoksen ylimmän hallintoelimen jäsenten on oltava aina riittävän hyvämaineisia ja heillä on oltava tehtäviensä suorittamiseen riittävä tietämys, taidot ja kokemus. EKP arvioi YVM-kehysasetuksen artiklojen 93 ja 94 mukaisesti , täyttävätkö luottolaitosten johtamisesta vastaavat henkilöt sopivuus- ja luotettavuusvaatimukset. EKP myös varmistaa, että vaatimukset täyttyvät kaikissa olosuhteissa, eli jos EKP saa tietoonsa uusia seikkoja, jotka voivat vaikuttaa ylimmän hallintoelimen jäsentä koskevaan aiempaan arvioon, se voi aloittaa uuden arvioinnin.
YVM-asetuksen artiklan 4 kohdan 1 alakohdan a mukaan EKP:n tehtävänä on päättää luottolaitoksen toimiluvan peruuttamisesta, jollei saman asetuksen artiklasta 14 muuta johdu. Menettelyn voi panna vireille joko toimivaltainen kansallinen viranomainen tai EKP, ja luottolaitosten kriisinratkaisusta vastaava viranomainen on otettava siihen mukaan. Säännökset luottolaitoksen toimiluvan peruuttamista koskevasta toimivaltaisten kansallisten viranomaisten ja EKP:n välisestä yhteistyöstä ovat YVM-kehysasetuksen artikloissa 80–84.
YVM-asetuksen artiklan 17 kohdan 1 mukaan luottolaitoksiin, jotka haluavat perustaa sivuliikkeen jonkin toisen jäsenvaltion alueelle, sovelletaan unionin lainsäädännön mukaisia menettelyjä. Kotijäsenvaltion ja vastaanottavan jäsenvaltion toimivaltuuksia käytetään ainoastaan tehtävissä, joita ei ole annettu EKP:lle saman asetuksen artiklalla 4. YVM-kehysasetuksen artiklan 11 kohdissa 1 ja 3 asetetaan toimivaltaisten kansallisten viranomaisten ja EKP:n keskinäiset menettelyt, jotka koskevat merkittävän luottolaitoksen oikeutta sijoittautua toiseen osallistuvaan jäsenvaltioon. Kyseisten säännösten mukaan EKP:lle on ilmoitettava kaikki direktiivin 2013/36/EU artiklan 35 kohdassa 2 tarkoitetut tiedot, jotka merkittävät luottolaitokset antavat toimivaltaisille kansallisille viranomaisille (myös tiedot henkilöistä, joiden on määrä vastata ehdotetun sivuliikkeen johtamisesta ja keskeisistä toiminnoista). YVM-kehysasetuksen artiklan 11 kohdan 4 ja artiklan 13 kohdan 1 mukaan toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle tiedoksiannoista, joissa 1) vähemmän merkittävät luottolaitokset ilmoittavat aikeistaan käyttää sijoittautumisoikeutta toisessa valvontamekanismiin osallistuvassa jäsenvaltiossa ja 2) osallistumattomiin jäsenvaltioihin sijoittautuneet luottolaitokset ilmoittavat aikeistaan käyttää sijoittautumisoikeuttaan osallistuvassa jäsenvaltiossa. YVM-kehysasetuksen artiklan 14 kohdan 1 nojalla EKP käyttää vastaanottavan jäsenvaltion toimivaltaisen viranomaisen valtuuksia silloin, kun valvontamekanismiin osallistumattomaan jäsenvaltioon sijoittautunut luottolaitos perustaa mekanismiin osallistuvaan jäsenvaltioon merkittävän sivuliikkeen.
YVM-asetuksen artiklan 4 kohdan 1 alakohdan b mukaan EKP on toimivaltainen hoitamaan tehtäviä, jotka ovat unionin lainsäädännön nojalla kotijäsenvaltion toimivaltaisen viranomaisen vastuulla, silloin kun valvontamekanismiin osallistuvaan jäsenvaltioon sijoittautunut merkittävä luottolaitos haluaa perustaa sivuliikkeen osallistumattomaan jäsenvaltioon. Luottolaitosten sijoittautumisoikeutta koskevat kotijäsenvaltion valtuudet luetellaan direktiivin 2013/36/EU artiklassa 35, johon sisältyy myös valtuus arvioida luottolaitoksen hallinnollisten rakenteiden tarkoituksenmukaisuus. Tätä varten luottolaitoksen on toimitettava tiedot henkilöistä, joiden on määrä vastata ehdotetun sivuliikkeen johtamisesta ja keskeisistä toiminnoista. YVM-kehysasetuksen artiklan 17 kohdassa 1 asetetaan toimivaltaisten kansallisten viranomaisten ja EKP:n keskinäiset menettelyt, jotka koskevat merkittävän luottolaitoksen oikeutta sijoittautua valvontamekanismiin osallistumattomaan jäsenvaltioon. Kun kansalliset toimivaltaiset kansalliset viranomaiset saavat vähemmän merkittävältä luottolaitokselta ilmoituksen aikeista käyttää sijoittautumisoikeutta valvontamekanismiin osallistumattomassa jäsenvaltiossa, niiden on YVM-asetuksen artiklan 4 kohdan 1 alakohdan b ja YVM-kehysasetuksen artiklan 17 kohdan 2 mukaan ilmoitettava siitä EKP:lle.
Kuka vastaa henkilötietojen käsittelystä?
EKP on asetuksen (EU) 2018/1725 artiklan 3 kohdassa 8 tarkoitettu rekisterinpitäjä merkittävien luottolaitosten vakavaraisuusvalvontaan liittyvissä eri menettelyissä.
EKP ja toimivaltaiset kansalliset viranomaiset ovat rekisterinpitäjiä yhdessä silloin, kun ne päättävät yhteisesti, mihin tarkoitukseen ja millä keinoin ne käsittelevät henkilötietoja hoitaessaan YVM-asetuksella ja YVM-kehysasetuksella annettuja valvontatehtäviä. Asetuksen (EU) 2018/1725 artiklan 28 ja henkilötietoja käsitteleviin toimivaltaisiin kansallisiin viranomaisiin sovellettavan yleisen tietosuoja-asetuksen eli 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 artiklan 26 mukaan yhteisrekisterinpitäjät sopivat keskinäisellä järjestelyllä, miten vastuualueet jaetaan. Järjestelyn keskeiset osat julkistetaan.
Henkilötietojen käsittelyvastuu eri lupamenettelyissä:
EKP ja toimivaltaiset kansalliset viranomaiset vastaavat rekisterinpitäjinä yhteisesti henkilötietojen käsittelystä, joka liittyy merkittävien ja vähemmän merkittävien luottolaitosten toimilupien myöntämiseen.
EKP ja toimivaltaiset kansalliset viranomaiset vastaavat rekisterinpitäjinä yhteisesti henkilötietojen käsittelystä, joka liittyy huomattavan omistusosuuden hankintaan merkittävistä ja vähemmän merkittävistä luottolaitoksista.
EKP vastaa rekisterinpitäjänä henkilötietojen käsittelystä, joka liittyy sopivuuden ja luotettavuuden arviointiin merkittävien luottolaitosten valvonnassa.
EKP ja toimivaltaiset kansalliset viranomaiset vastaavat rekisterinpitäjinä yhteisesti henkilötietojen käsittelystä, joka liittyy merkittävien ja vähemmän merkittävien luottolaitosten toimilupien peruuttamiseen.
EKP vastaa rekisterinpitäjänä henkilötietojen käsittelystä, joka liittyy valvontamekanismiin osallistuvan merkittävän luottolaitoksen oikeuteen sijoittautua johonkin toiseen osallistuvaan jäsenvaltioon. Lisäksi toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle, kun 1) valvontamekanismiin osallistuva vähemmän merkittävä luottolaitos ilmoittaa niille aikeistaan käyttää sijoittautumisoikeutta jossakin toisessa osallistuvassa jäsenvaltiossa ja kun 2) mekanismiin osallistumattomaan jäsenvaltioon sijoittautunut luottolaitos ilmoittaa niille aikeestaan käyttää sijoittautumisoikeutta mekanismiin osallistuvassa jäsenvaltiossa.
EKP vastaa rekisterinpitäjänä henkilötietojen käsittelystä, joka liittyy valvontamekanismiin osallistuvan merkittävän luottolaitoksen oikeuteen sijoittautua mekanismiin osallistumattomaan jäsenvaltioon. Lisäksi toimivaltaisten kansallisten viranomaisten on ilmoitettava EKP:lle, kun valvontamekanismiin osallistuva merkittävä luottolaitos ilmoittaa aikeestaan käyttää sijoittautumisoikeutta mekanismiin osallistumattomassa jäsenvaltiossa.
Kenelle henkilötietoja luovutetaan?
Kun EKP käsittelee henkilötietoja edellä mainituissa tarkoituksissa, niitä voivat tarkastella tiedonsaantitarpeen perusteella seuraavat henkilöt:
- tietyt EKP:n työntekijät (suorittaessaan muun muassa luottolaitosten vakavaraisuusvalvontaan liittyviä tehtäviä)
- tietyt toimivaltaisten kansallisten viranomaisten työntekijät (suorittaessaan luottolaitosten vakavaraisuusvalvontaan liittyviä tehtäviä)
- EKP:n valvontaelimen ja EKP:n neuvoston jäsenet
- EKP:n lukuun toimivat ulkopuoliset asiantuntijat ja palveluntarjoajat, jotka antavat lausuntoja, neuvoja ja tukea luottolaitosten toiminnan vakavaraisuusvalvonnassa (esim. lakimiehet)
- tietyt unionin muiden toimielinten, elinten ja virastojen, valvontaviranomaisten ja kansallisten viranomaisten työntekijät (esim. yleiset syyttäjät tai rahanpesun torjunnasta vastaavat viranomaiset).
Minkä tyyppisiä henkilötietoja käsitellään?
EKP käsittelee henkilötietoja eri tarkoituksiin. EKP voi käsitellä esimerkiksi
- tietoja, jotka liittyvät jonkin valvottavan luottolaitoksen taikka tällaisesta laitoksesta huomattavan omistusosuuden hankkimista tai myymistä kaavailevan yrityksen ylimmän hallintoelimen nykyisten tai mahdollisten tulevien jäsenten maineeseen, osaamiseen, ammattitaitoon ja työkokemukseen. Eri lupamenettelyissä käsiteltävät henkilötiedot:
Lupamenettelyissä käsitellään muun muassa luottolaitoksen liiketoimintasuunnitelmaan ja hallintojärjestelyihin liittyviä tietoja (joihin voi sisältyä henkilökohtaisia taloudellisia tietoja, huomattavien omistusosuuksien haltijoiden tai 20 suurimman osakkaan sopivuuteen liittyviä tietoja sekä ylimmän hallintoelimen jäsenten sopivuuteen liittyviä tietoja). Toimilupahakemuksissa edellytettävät tiedot sisältyvät Euroopan pankkiviranomaisen (EPV) teknisiin sääntelystandardeihin EBA/RTS/2017/08 (Draft Regulatory Technical Standards under Article 8(2) of Directive 2013/36/EU of the European Parliament and of the Council on the information to be provided for the authorisation of credit institutions, the requirements applicable to shareholders and members with qualifying holdings and obstacles which may prevent the effective exercise of supervisory powers), jotka eivät ole vielä tulleet voimaan. Toimilupahakemuksen yhteydessä voidaan käsitellä muun muassa tietoja luottolaitoksen nykyisistä ja tulevista osakkaista tai jäsenistä, ylimmän hallintoelimen nykyisistä ja tulevista jäsenistä, laitoksen keskeisistä toiminnoista tai sisäisestä valvonnasta vastaavista henkilöistä tai sidosyhteisöihin (ulkoistamis- tai rahoitusjärjestelyjen kautta) kuuluvista henkilöistä. Näitä henkilötietoja käsitellään tarkemmin huomattavia omistusosuuksia sekä sopivuuden ja luotettavuuden arviointia koskevissa kohdissa.
Huomattavan omistusosuuden hankinnan yhteydessä käsitellään seuraavanlaisia henkilötietoja, jotka koskevat sekä suoria ja välillisiä hankkijaehdokkaita (luonnollisia henkilöitä tai oikeudellisia henkilöitä, kuten ylimmän hallintoelimen jäseniä) että hankkijaehdokkaisiin sidoksissa olevia henkilöitä. Tietoja käsitellään kansallisen lainsäädännön sallimissa rajoissa.
- henkilötiedot (etu- ja sukunimi, henkilökortin tai passin numero, kansalaisuus jne.)
- yhteystiedot (posti- ja sähköpostiosoite, puhelinnumero jne.)
- henkilön osaamiseen, ammattitaitoon ja työkokemukseen liittyvät tiedot (esim. aiemmissa työtehtävissä hankittu käytännön työkokemus ja koulutuksen kautta hankittu teoreettinen kokemus, tiedot ja taidot)
- maineeseen liittyvät tiedot, kuten
- mahdollinen rikosrekisteriote, rikostutkinnat tai rikosoikeudenkäynnit, siviili- tai hallinto-oikeudelliset asiat tai kurinpitotoimet (esim. yrityksen johtajan määrääminen liiketoimintakieltoon tai konkurssi-, maksukyvyttömyys- tai vastaava menettely)
- selvitys mahdollisista vireillä olevista rikosoikeudenkäynneistä tai siitä, onko henkilö tai hänen johtamansa organisaatio ollut velallisena maksukyvyttömyysmenettelyssä tai vastaavassa menettelyssä
- tiedot valvontaviranomaisen suorittamista tutkimuksista tai täytäntöönpanomenettelyistä tai sen määräämistä seuraamuksista
- elinkeinon, liiketoiminnan tai ammatin harjoittamista koskevan rekisteröinnin, luvan, jäsenyyden tai toimiluvan epääminen
- rekisteröinnin, luvan, jäsenyyden tai toimiluvan peruuttaminen, kumoaminen tai lakkauttaminen
- henkilön erottaminen sääntely- tai hallintoelimen toimin
- erottaminen toimesta, luottamusasemasta tai varainhoitosuhteesta (tai vastaava tilanne) tai tällaista asemaa koskeva eroanomus
- taloudelliset tiedot, kuten
- tiedot henkilön taloudellisesta asemasta ja sen vakaudesta, tulonlähteistä, varoista ja veloista, vakuuksista ja takauksista
- henkilön hallinnoimia tai johtamia yrityksiä koskevat luottoluokitukset ja julkiset raportit
- henkilön luottokelpoisuutta koskevat tiedot ja julkiset raportit
- tieto siitä, onko henkilön maine joko huomattavaa omistusosuutta hankkivana henkilönä tai rahoituslaitoksen liiketoiminnan johtajana jo arvioitu jonkin toisen toimivaltaisen rahoitusvalvontaviranomaisen toimesta (kuten tiedot viranomaisesta ja todistus arviointituloksesta)
- tieto siitä, onko henkilön maine jo arvioitu jonkin toisen toimivaltaisen viranomaisen toimesta (kuten tiedot viranomaisesta ja todistus arviointituloksesta)
- tiedot taloudellisista sidoksista (esim. luotto-operaatiot, takaukset tai vakuudet) tai muista suhteista (esim. läheiset perhesuhteet tai yhteiselämä)
- hankinnan kohteena olevan laitoksen nykyiseen osakkaaseen
- hankinnan kohteena olevassa laitoksessa äänivaltaiseen henkilöön
- hankinnan kohteena olevaan laitokseen tai ryhmään, johon se kuuluu
- tiedot muista etunäkökohdista tai toiminnoista, jotka ovat ristiriidassa hankinnan kohteena olevan laitoksen etujen kanssa, ja tällaisten eturistiriitojen mahdollisesta ratkaisusta.
Huomattavan omistusosuuden hankinnan yhteydessä on hyvä tutustua myös tietojen luetteloon, joka sisältyy määräosuuksien hankintaan ja lisäämiseen rahoitusalalla sovellettavaa toiminnan vakauden arviointia koskeviin yhteisiin ohjeisiin (JC/GL/2016/01).
Huomattavan omistusosuuden hankintaa koskevan arvioinnin yhteydessä voidaan käsitellä lisäksi henkilötietoja, jotka luetellaan sopivuuden ja luotettavuuden arviointia koskevassa kohdassa arvioitaessa hankinnan kohteena olevan laitoksen ylimmän hallintoelimen uusia jäsenehdokkaita.
ESMAn ja EPV:n yhteisten ohjeiden EBA/GL/2017/12 (Ohjeet ylimmän hallintoelimen jäsenten ja keskeisistä toiminnoista vastaavien henkilöiden sopivuuden arviointia varten) liitteessä III on luettelo tiedoista, jotka toimivaltaisille viranomaisille on toimitettava jokaista sopivuuden arviointia varten.
Sopivuuden ja luotettavuuden arvioinnin yhteydessä käsiteltävät henkilötiedot:
- arvioitavan henkilön (joko kirjallisesti arviointilomakkeella tai suullisesti haastattelussa) antamat tiedot
- henkilötiedot (etu- ja sukunimi, henkilökortin tai passin numero, kansalaisuus jne.)
- yhteystiedot (posti- ja sähköpostiosoite, puhelinnumero jne.)
- henkilön osaamiseen, ammattitaitoon ja työkokemukseen liittyvät tiedot (esim. aiemmissa työtehtävissä hankittu käytännön työkokemus ja koulutuksen kautta hankittu teoreettinen kokemus, tiedot ja taidot)
- maineeseen liittyvät tiedot, kuten mahdollinen rikosrekisteriote, rikostutkinnat tai rikosoikeudenkäynnit, siviili- tai hallinto-oikeudelliset asiat tai kurinpitotoimet (esim. yrityksen johtajan määrääminen liiketoimintakieltoon tai konkurssi-, maksukyvyttömyys- tai vastaava menettely)
- tiedot eturistiriidoista (esim. läheinen henkilökohtainen suhde ylimmän hallintoelimen jäseneen, merkittävä yksityinen liiketoimi kyseisen luottolaitoksen kanssa tai poliittisesti huomattavan vaikutusvaltainen asema)
- arvioitavan henkilön luottolaitoksessa hoitamaan tehtävään käytettävissä oleva aika (mainittava tarvittaessa myös muihin ammatillisiin tai henkilökohtaisiin toimiin käytettävä aika)
- ylimmän hallintoelimen sopivuus kokonaisuutena (esim. mitä lisäarvoa arvioitava henkilö tuo hallintoelimen kokoonpanoon)
- toimivaltaisen viranomaisen tietoon muuta kautta (esim. tiedotusvälineistä) tulevat henkilötiedot
- kolmansien osapuolten henkilötiedot
- EKP:n tai toimivaltaisen kansallisen viranomaisen kommentit arvioitavan henkilön suoriutumisesta sopivuuden ja luotettavuuden arvioinnin yhteydessä (esim. kommentit, joista käy ilmi valvojan mielipide tai arvio henkilöstä ja etenkin tämän tiedoista ja taidoista alalta)
- tieto siitä, onko henkilön sopivuus ja luotettavuus jo arvioitu jonkin toisen toimivaltaisen valvontaviranomaisen toimesta (kuten tiedot viranomaisesta ja todistus arviointituloksesta)
Luottolaitoksen toimiluvan perumispäätöksen yhteydessä voidaan käsitellä seuraavanlaisia henkilötietoja:
- huomattavan omistusosuuden hankintaa koskevan arvioinnin, toimiluvan myöntämisen tai sopivuuden ja luotettavuuden arvioinnin yhteydessä toimitetut henkilötiedot, joita tarvitaan toimiluvan perumistarpeen arvioinnissa
- laitoksen toimintaa koskeviin tietoihin, laitoksen asemaa koskeviin selvityksiin ja sovellettavan kansallisen lainsäädännön ja laitoksen sääntöjen nojalla toimitettaviin muihin asiakirjoihin sisältyvät henkilötiedot
- laitokseen tehtyjä tarkastuksia, valvojan arviointiprosessia, väärinkäytösilmoituksia, valvontahavaintoja ja -toimenpiteitä, luottolaitoksen kanssa käytävää kirjeenvaihtoa sekä tuomioistuinten määräyksiä ja päätöksiä koskevaan aineistoon sisältyvät henkilötiedot.
Sijoittautumisoikeuden yhteydessä käsitellään henkilötietoja, jotka sisältyvät komission täytäntöönpanoasetuksen (EU) N:o 926/2014 mukaisiin lomakkeisiin (ks. täytäntöönpanoasetus Euroopan parlamentin ja neuvoston direktiivin 2013/36/EU mukaisista sijoittautumisoikeuden ja palvelujen tarjoamisen vapauden käyttöön liittyviin ilmoituksiin käytettävien vakiomuotoisten lomakkeiden, mallien ja menettelyjen teknisistä täytäntöönpanostandardeista). Tällaisia tietoja ovat muun muassa
- tietoja, jotka liittyvät valvottaviin luottolaitoksiin sidoksissa oleviin luonnollisiin henkilöihin (esim. työntekijöihin tai asiakkaisiin) osana laitosten tiloissa ja niiden ulkopuolella toteutettavaa valvontaa.
Luettelo ei ole tyhjentävä. Jos kaipaat lisätietoa, voit lähettää kysymyksiä tietopyyntölomakkeella.
Mihin henkilötietoja siirretään ja tallennetaan?
Joitakin henkilötietoja voidaan osana valvontayhteistyötä lähettää Euroopan talousalueen (ETA) ulkopuolella toimiville kansainvälisille organisaatioille, valvontaviranomaisille ja EU:n ulkopuolisten maiden viranomaisille.
Tietoja voidaan siirtää, mikäli Euroopan komissio on tehnyt asetuksen (EU) 2018/1725 artiklan 47 nojalla päätöksen tietosuojan riittävyydestä.
Asetuksen (EU) 2018/1725 artiklan 48 kohdan 1 mukaan henkilötietoja voidaan siirtää EU:n ulkopuoliseen maahan tai kansainväliselle organisaatiolle ilman komission päätöstä vain, jos henkilötiedot on asianmukaisesti suojattu ja jos rekisteröityjen käytettävissä on täytäntöönpanokelpoiset oikeudet ja tehokkaat oikeussuojakeinot.
Jos komission päätöstä ei ole eikä henkilötietoja ole asianmukaisesti suojattu, tietoja voidaan siirtää EU:n ulkopuolisiin maihin ja kansainvälisille organisaatioille vain asetuksen (EU) 2018/1725 artiklassa 50 (ja etenkin sen kohdan 1 alakohdassa d) tarkoitetuissa poikkeustapauksissa.
Henkilötiedot tallennetaan salaussuojattuun tietojärjestelmään, joka vaatii vahvan tunnistuksen.
Kuinka kauan EKP säilyttää henkilötietoja?
Tietoja säilytetään asiaa koskevien EKP:n sääntöjen mukaisesti niin kauan kuin niitä tarvitaan valvontatarkoituksiin.
Tietojen säilytysajat lupamenettelyissä
EKP säilyttää lupamenettelyjen yhteydessä kerättyjä ja käsiteltyjä henkilötietoja
- enintään 15 vuotta hakemuksen tai ilmoituksen päivämäärästä, jos asia raukeaa ennen virallisen päätöksen tekemistä
- enintään 15 vuotta kielteisen päätöksen päivämäärästä
- myönteisissä päätöksissä: enintään 15 vuotta päivästä, jolloin rekisteröity lakkaa olemasta luottolaitoksen johdon jäsen, keskeisistä toiminnoista vastaava henkilö, perustajaosakas, huomattavan omistusosuuden haltija taikka sivuliikkeen johtaja tai keskeisistä toiminnoista vastaava henkilö
- enintään 15 vuotta toimiluvan myöntämispäivästä, mikäli EKP päättää peruuttaa luottolaitoksen toimiluvan.
Jos vireille on pantu hallinnollinen menettely tai oikeudenkäynti, edellä mainittuja säilytysaikoja voidaan pidentää niin, että ne päättyvät vuoden kuluttua lopullisen päätöksen antamisesta.
Tietojen säilytysajat sopivuuden ja luotettavuuden arvioinneissa
EKP säilyttää sopivuuden ja luotettavuuden arviointien yhteydessä kerättyjä ja käsiteltyjä henkilötietoja seuraavasti.
- Tiedot voidaan säilyttää tavanomaisen säilytysajan eli seitsemän vuotta päivämäärästä, jona EKP saattaa päätöksensä valvottavan yhteisön tiedoksi. Tätä tavanomaista säilytysaikaa sovelletaan useimpiin soveltuvuuden ja luotettavuuden arviointeihin. Tapauksissa, joissa hakija peruu hakemuksen ennen EKP:n päätöstä, säilytysaika alkaa päivämäärästä, jona hakemus tai ilmoitus perumisesta on toimitettu EKP:lle.
- Poikkeuksellisesti voidaan soveltaa pitempää säilytysaikaa seuraavissa perustelluissa tapauksissa: a) asiaan liittyvä kanne on vireillä tuomioistuimessa; b) asian uudelleenkäsittely on meneillään oikaisulautakunnassa tai c) sopivuuden ja luotettavuuden arvioinnin kohteena olevien henkilöiden toimikausi on uusittavissa joko kansallisen lainsäädännön tai valvottavan laitoksen yhtiöjärjestyksen nojalla ja alkuperäisen arvioinnin tiedot ovat EKP:lle välttämättömiä uuden arvioinnin toteuttamiseksi. Kohtien a ja b mukaisissa tapauksissa säilytysaika päättyy kahden vuoden kuluttua tuomioistuimen tai oikaisulautakunnan lopullisesta päätöksestä. Kohdan c mukaisissa tapauksissa säilytysaika päättyy seitsemän vuoden kuluttua uudesta arvioinnista.
- Erityistapauksissa voidaan soveltaa kymmenen vuoden säilytysaikaa alkaen päivämäärästä, jona EKP ilmoittaa päätöksestä valvottavalle laitokselle. Tätä säilytysaikaa sovellettaisiin esimerkiksi kielteisissä päätöksissä ja sellaisia ehtoja sisältävissä päätöksissä, joista ei ole aiemmin sovittu kyseisen valvottavan laitoksen kanssa.
Henkilötietojen säilytysaikoja koskevia tietoja voi pyytää osoitteesta info@ecb.europa.eu.
Mitä oikeuksia sinulla on?
Sinulla on oikeus tutustua EKP:n hallussa oleviin henkilötietoihisi sekä oikaista tai täydentää niitä, jos ne ovat virheellisiä tai puutteellisia. Sinulla on myös asetuksen (EU) 2018/1725 nojalla (ja tietyin rajoituksin) oikeus pyytää henkilötietojesi poistamista ja rajoittaa tai vastustaa niiden käsittelyä.
Näitä oikeuksia voidaan rajoittaa tai niistä voidaan poiketa asetuksen (EU) 2018/1725 nojalla.
EKP voi rajoittaa käyttäjän oikeuksia asetuksen (EU) 2018/1725 (tietosuoja-asetus) artiklan 25 kohdassa 1 tarkoitettujen etujen ja tavoitteiden turvaamiseksi.
Miten voi tehdä tiedusteluja ja tietopyyntöjä?
Voit käyttää oikeuksiasi lähettämällä sähköpostia osoitteeseen info@ecb.europa.eu.
Yhteystiedot lupamenettelyjä koskevissa kysymyksissä
Voit käyttää oikeuksiasi lähettämällä sähköpostia EKP:n toimilupatoimistolle tai sopivuuden ja luotettavuuden arvioinnista vastaavalle toimistolle.
Rekisterinpitäjänä EKP:n on toimitettava rekisteröidylle tiedot tämän esittämän pyynnön johdosta tehdyistä toimenpiteistä ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta asetuksen (EU) 2018/1725 artiklan 14 kohdan 3 nojalla. Määräaikaa voidaan tarvittaessa jatkaa kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. EKP:n on ilmoitettava rekisteröidylle mahdollisesta määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta ja esitettävä viivästyksen syyt.
Jos EKP ei toteuta toimenpiteitä rekisteröidyn esittämän pyynnön perusteella, sen on asetuksen (EU) 2018/1725 artiklan 14 kohdan 4 nojalla ilmoitettava syyt siihen viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta sekä kerrottava mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.
Mahdollisissa erimielisyyksissä voit ottaa suoraan yhteyttä EKP:n tietosuojavastaavaan osoitteeseen dpo@ecb.europa.eu.
Yhteydenotto Euroopan tietosuojavaltuutettuun
Jos olet sitä mieltä, että henkilötietojen käsittelyssä on loukattu asetuksen (EU) 2018/1725 mukaisia oikeuksiasi, voit tehdä kantelun Euroopan tietosuojavaltuutetulle milloin tahansa.
Lisätietoa
Lisätietoa henkilötietojen käsittelystä yhteisen valvontamekanismin vakavaraisuusvalvonnan prosesseissa on 3.11.2014 annetussa Euroopan tietosuojavaltuutetun lausunnossa.
Tietosuojavaltuutetun lausunto