Oświadczenie o ochronie prywatności dotyczące przetwarzania danych osobowych w kontekście nadzoru ostrożnościowego w ramach SSM

Zgodnie z art. 4 ust. 1 lit. a) i art. 6 ust. 4 rozporządzenia w sprawie SSM Europejski Bank Centralny ma wyłączną kompetencję do wydawania zezwoleń na podjęcie działalności instytucji kredytowej, z zastrzeżeniem art. 14 tego rozporządzenia. Jak stanowi art. 14, wnioski o udzielenie zezwolenia na podjęcie działalności instytucji kredytowej należy składać do właściwego organu krajowego państwa członkowskiego, w którym instytucja kredytowa ma mieć siedzibę, zgodnie ze stosownymi wymogami krajowymi. Właściwy organ krajowy rozpatruje wniosek i – jeżeli wszystkie odpowiednie kryteria określone w prawie krajowym są spełnione – przedkłada EBC projekt decyzji. EBC może wyrazić sprzeciw wobec tego projektu jedynie wtedy, gdy nie zostały spełnione warunki udzielenia zezwolenia określone w stosownych przepisach unijnych. Spełnienie warunków uzyskania zezwolenia ocenia się zgodnie z art. 8−14 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. lub z mającymi zastosowanie przepisami krajowymi. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do procedury udzielania zezwoleń określono w art. 73−79 rozporządzenia ramowego w sprawie SSM.

Zgodnie z art. 4 ust. 1 lit. c), art. 6 ust. 4 i art. 15 rozporządzenia w sprawie SSM Europejski Bank Centralny (a) ma wyłączną kompetencję do oceny powiadomień dotyczących nabycia znacznych pakietów akcji w instytucjach kredytowych oraz (b) musi zdecydować, czy wyrazić sprzeciw wobec transakcji nabycia, na podstawie kryteriów oceny określonych w stosownych przepisach unijnych (art. 23 ust. 1 lit. a)−e) dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r.) lub mających zastosowanie przepisach krajowych, zgodnie z procedurami i z zachowaniem okresów oceny w nich przewidzianych. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do transakcji nabycia znacznych pakietów akcji określono w art. 85−87 rozporządzenia ramowego w sprawie SSM.

Zgodnie z art. 4 ust. 1 lit. e) rozporządzenia w sprawie SSM Europejski Bank Centralny w celu realizacji swoich zadań musi zapewniać zgodność ze stosownymi przepisami unijnym lub krajowym wymagającymi od instytucji kredytowych posiadania solidnych zasad zarządzania, w tym wymogów dotyczących kompetencji i reputacji odnoszących się do osób odpowiadających za zarządzanie instytucjami kredytowymi. Zgodnie z art. 16 ust. 2 lit. m) rozporządzenia w sprawie SSM Europejski Bank Centralny może w dowolnym momencie odwołać każdego z członków organów zarządzających instytucji kredytowych, który nie spełnia wymogów określonych w stosownych przepisach unijnych. Ponadto art. 91 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. stanowi, że członkowie organów zarządzających instytucji kredytowych muszą zawsze cieszyć się wystarczająco dobrą opinią i posiadać wystarczającą wiedzę, umiejętności i doświadczenie do wykonywania swoich obowiązków. Zasady oceny przez EBC zgodności z wymogami dotyczącymi kompetencji i reputacji osób odpowiadających za zarządzanie instytucjami kredytowymi określono w art. 93 i 94 rozporządzenia ramowego w sprawie SSM. Żeby mieć pewność, że te wymogi są spełniane przez cały czas, EBC może przeprowadzić kolejną ocenę w oparciu o nowe okoliczności lub kwestie, jeżeli dowie się o nowych okolicznościach, które mogłyby wpłynąć na wcześniejszą ocenę członka organu zarządzającego.

Zgodnie z art. 4 ust. 1 lit. a) rozporządzenia w sprawie SSM Europejski Bank Centralny podejmuje decyzje o cofnięciu zezwolenia na prowadzenie działalności przez instytucję kredytową, z zastrzeżeniem art. 14 tego rozporządzenia. Ta procedura może zostać wszczęta przez właściwy organ krajowy lub EBC; bierze w niej udział także krajowy organ odpowiedzialny za restrukturyzację i uporządkowaną likwidację instytucji kredytowych. Zasady współpracy między właściwymi organami krajowymi a EBC w odniesieniu do cofania zezwolenia na prowadzenie działalności przez instytucję kredytową określono w art. 80−84 rozporządzenia ramowego w sprawie SSM.

Artykuł 17 ust. 1 rozporządzenia w sprawie SSM stanowi, że określone w stosownych unijnych przepisach procedury dotyczące instytucji kredytowych zamierzających ustanowić oddział na terytorium innego państwa członkowskiego oraz związane z tym kompetencje państwa członkowskiego pochodzenia i przyjmującego państwa członkowskiego mają zastosowanie pomiędzy uczestniczącymi państwami członkowskimi wyłącznie do celów zadań, które nie zostały powierzone EBC na mocy art. 4 tego rozporządzenia. Procedury regulujące interakcje między właściwymi organami krajowymi a EBC w odniesieniu do korzystania przez istotne instytucje kredytowe ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego są określone w art. 11 ust. 1 i 3 rozporządzenia ramowego w sprawie SSM. Zgodnie z tymi przepisami EBC musi być powiadamiany o wszelkich informacjach, które istotne instytucje kredytowe przekazują właściwym organom krajowym na podstawie art. 35 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. (w tym informacjach o osobach, które mają odpowiadać za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje). Zgodnie z art. 11 ust. 4 i art. 13 ust. 1 rozporządzenia ramowego w sprawie SSM właściwe organy krajowe informują EBC o powiadomieniach złożonych przez (a) instytucje mniej istotne korzystające ze swobody przedsiębiorczości na terytorium innego uczestniczącego państwa członkowskiego oraz (b) instytucje kredytowe z siedzibą w nieuczestniczącym państwie członkowskim korzystające ze swobody przedsiębiorczości w uczestniczącym państwie członkowskim. W przypadku utworzenia przez instytucję kredytową z siedzibą w nieuczestniczącym państwie członkowskim istotnego oddziału w uczestniczącym państwie członkowskim Europejski Bank Centralny – zgodnie z art. 14 ust. 1 rozporządzenia ramowego w sprawie SSM – wykonuje uprawnienia właściwego organu przyjmującego państwa członkowskiego.

Jeżeli istotna instytucja kredytowa mająca siedzibę w uczestniczącym państwie członkowskim chce utworzyć oddział w nieuczestniczącym państwie członkowskim, EBC – zgodnie z art. 4 ust. 1 lit. b) rozporządzenia w sprawie SSM – jest uprawniony do wykonywania zadań, które będą w gestii właściwego organu państwa członkowskiego pochodzenia na mocy stosownych przepisów unijnych. Uprawnienia państwa członkowskiego pochodzenia w odniesieniu do swobody przedsiębiorczości instytucji kredytowych są określone w art. 35 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. i obejmują ocenę adekwatności struktury administracyjnej tych instytucji. W związku z tym instytucja kredytowa musi dostarczyć informacje na temat osób, które mają być odpowiedzialne za zarządzanie zakładanym oddziałem lub pełnić w nim kluczowe funkcje. Procedury regulujące interakcje między właściwymi organami krajowymi a EBC w odniesieniu do korzystania przez istotne instytucje kredytowe ze swobody przedsiębiorczości w nieuczestniczących państwach członkowskich są określone w art. 17 ust. 1 rozporządzenia ramowego w sprawie SSM. Zgodnie z art. 4 ust. 1 lit. b) rozporządzenia w sprawie SSM oraz art. 17 ust. 2 rozporządzenia ramowego w sprawie SSM właściwe organy krajowe informują EBC o przekazanych przez instytucje mniej istotne powiadomieniach dotyczących korzystania ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim.

Współadministratorami operacji przetwarzania danych w odniesieniu do udzielania zezwoleń na podjęcie działalności instytucji kredytowej (przyznawania licencji), w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Współadministratorami operacji przetwarzania danych w odniesieniu do znacznych pakietów akcji, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Administratorem operacji przetwarzania danych w odniesieniu do oceny kompetencji i reputacji, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC.

Współadministratorami operacji przetwarzania danych w odniesieniu do cofania zezwoleń na prowadzenie działalności przez instytucję kredytową, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi i mniej istotnymi, są EBC i właściwe organy krajowe.

Administratorem operacji przetwarzania danych w odniesieniu do korzystania ze swobody przedsiębiorczości w innym uczestniczącym państwie członkowskim, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC. Ponadto właściwe organy krajowe informują EBC o powiadomieniach otrzymanych od (a) mniej istotnych instytucji korzystających ze swobody przedsiębiorczości w innym uczestniczącym państwie członkowskim oraz (b) instytucji kredytowych mających siedzibę w nieuczestniczącym państwie członkowskim, które korzystają ze swobody przedsiębiorczości w uczestniczącym państwie członkowskim.

Administratorem operacji przetwarzania danych w odniesieniu do korzystania ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim, w ramach nadzoru ostrożnościowego nad instytucjami istotnymi, jest EBC. Ponadto właściwe organy krajowe informują EBC o powiadomieniach otrzymanych od instytucji mniej istotnych, które korzystają ze swobody przedsiębiorczości w nieuczestniczącym państwie członkowskim.

Do danych osobowych przetwarzanych w związku z procedurami udzielania zezwoleń należą m.in. dane dotyczące programu działalności i zasad zarządzania instytucji kredytowej (które mogą zawierać osobiste informacje finansowe, dane dotyczące odpowiedniości posiadaczy znacznych pakietów akcji lub 20 największych akcjonariuszy oraz informacje na temat odpowiedniości członków organów zarządzających). Projekt regulacyjnych standardów technicznych dotyczących informacji wymaganych od instytucji kredytowych na potrzeby postępowania w sprawie zezwolenia, wymogów mających zastosowanie do akcjonariuszy i udziałowców posiadających znaczne pakiety akcji oraz przeszkód mogących uniemożliwić skuteczne wykonywanie uprawnień nadzorczych (EBA/RTS/2017/08), sporządzony przez EUNB na podstawie art. 8 ust. 2 dyrektywy Parlamentu Europejskiego i Rady 2013/36/UE, zawiera szczegóły na temat informacji, które będą wymagane w przypadku składania wniosków o udzielenie zezwolenia po wejściu w życie tych standardów. Przykłady danych osobowych dotyczących wnioskującej instytucji kredytowej, jej obecnych lub przyszłych akcjonariuszy lub udziałowców, obecnych lub przyszłych członków organów zarządzających, osób pełniących kluczowe funkcje lub funkcje kontroli wewnętrznej lub innych stron powiązanych (w wyniku ustaleń dotyczących outsourcingu, finansowania itp.) można znaleźć w sekcjach poświęconych znacznym pakietom akcji oraz ocenie kompetencji i reputacji.

Bez uszczerbku dla prawa krajowego, w związku z transakcjami nabycia znacznego pakietu akcji przetwarzane są wymienione poniżej rodzaje danych, przy czym informacje dotyczą zarówno (a) potencjalnych bezpośrednich lub pośrednich nabywców (osób fizycznych lub – w przypadku osób prawnych – członków organów zarządzających), jak i (b) osób powiązanych z potencjalnymi nabywcami:

• dane osobowe (pełne imię i nazwisko, numer dowodu osobistego / paszportu, obywatelstwo itp.);
• dane kontaktowe (adres pocztowy, adres e‑mail, numer telefonu itp.);
• szczegółowe informacje na temat wiedzy, umiejętności i doświadczenia (np. praktycznego doświadczenia zawodowego zdobytego na poprzednich stanowiskach oraz doświadczenia teoretycznego (wiedzy i umiejętności) uzyskanego w ramach kształcenia i szkoleń);
• informacje na temat reputacji, takie jak:
  • szczegóły dotyczące uprzedniej karalności, istotnych dochodzeń lub postępowań karnych, istotnych spraw cywilnych lub administracyjnych lub postępowań dyscyplinarnych (włącznie z dyskwalifikacją jako dyrektor spółki, niewypłacalnością, upadłością lub podobnymi procedurami);
  • oświadczenie o tym, czy wobec danej osoby toczy się postępowanie karne lub czy ta osoba lub organizacja przez nią zarządzana kiedykolwiek uczestniczyła jako dłużnik w postępowaniu upadłościowym lub porównywalnym;
  • szczegółowe informacje na temat wszelkich dochodzeń i postępowań egzekucyjnych prowadzonych przez organy nadzoru lub sankcji nałożonych przez te organy;
  • informacje o każdej odmowie rejestracji, zezwolenia, członkostwa lub licencji na prowadzenie transakcji handlowych, działalności lub wykonywanie zawodu;
  • informacje na temat cofnięcia, unieważnienia lub wygaśnięcia rejestracji, zezwolenia, członkostwa lub licencji;
  • informacje o wydaleniu przez organ regulacyjny lub rządowy;
  • informacje na temat wszelkich zwolnień z pracy, stanowiska wymagającego zaufania lub stosunku powierniczego (lub podobnej sytuacji) lub zobowiązań do rezygnacji z zatrudnienia na takim stanowisku;
• informacje finansowe, takie jak:
  • informacje dotyczące sytuacji i kondycji finansowej danej osoby, jej źródeł dochodów, aktywów i pasywów, zastawów i gwarancji itd.;
  • ratingi i dostępne publicznie sprawozdania dotyczące spółek kontrolowanych lub kierowanych przez daną osobę;
  • ratingi i dostępne publicznie sprawozdania dotyczące danej osoby;
• informacje o tym, czy ocena reputacji danej osoby jako nabywcy lub osoby kierującej działalnością instytucji finansowej została już przeprowadzona przez inny właściwy organ nadzorczy w sektorze finansowym (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny);
• informacje na temat tego, czy ocena reputacji danej osoby została już przeprowadzona przez inny właściwy organ w sektorze niefinansowym (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny);
• szczegóły dotyczące wszelkich powiązań finansowych (w tym operacje kredytowe, gwarancje, zastawy itp.) lub niefinansowych (np. bliskie pokrewieństwo lub konkubinat) z:
  • obecnym akcjonariuszem docelowej instytucji;
  • osobą z prawem głosu w docelowej instytucji;
  • docelową instytucją lub grupą, do której ona należy;
• szczegóły dotyczące wszystkich innych interesów lub działalności sprzecznych z interesem docelowej instytucji oraz możliwe sposoby rozwiązania takich konfliktów interesów.

W związku z oceną transakcji nabycia znacznego pakietu akcji należy również odnieść się do wykazu informacji zalecanych we wspólnych wytycznych dotyczących oceny ostrożnościowej przejęć i zwiększeń znacznych pakietów akcji w sektorze finansowym (JC/GL/2016/01).

Ponadto w odniesieniu do oceny transakcji nabycia znacznego pakietu akcji mogą być przetwarzane również wszystkie dane osobowe wymagane do przeprowadzenia oceny kompetencji i reputacji nowo powoływanych członków organu zarządzającego docelowej instytucji, wyszczególnione w poniższej sekcji.

Wykaz informacji, które należy przekazać właściwym organom na potrzeby każdej oceny odpowiedniości, przedstawiono w załączniku III do wspólnych wytycznych ESMA i EUNB w sprawie oceny kwalifikacji członków organu zarządzającego i osób pełniących najważniejsze funkcje zgodnie z dyrektywami 2013/36/UE i 2014/65/UE (EBA/GL/2017/12).

W ramach oceny kompetencji i reputacji przetwarzane są następujące dane osobowe:

1. dane przekazane przez powoływaną osobę (na piśmie w związku z kwestionariuszem dotyczącym oceny kompetencji i reputacji lub ustnie podczas rozmów), takie jak:
   • dane osobowe (pełne imię i nazwisko, numer dowodu osobistego / paszportu, obywatelstwo itp.);
   • dane kontaktowe (adres pocztowy, adres e‑mail, numer telefonu itp.);
   • szczegółowe informacje na temat wiedzy, umiejętności i doświadczenia (np. dotyczące praktycznego doświadczenia zawodowego zdobytego na poprzednich stanowiskach oraz doświadczenia teoretycznego (wiedzy i umiejętności) uzyskanego w ramach kształcenia i szkoleń);
   • informacje na temat reputacji, takie jak szczegóły dotyczące uprzedniej karalności, istotnych dochodzeń lub postępowań karnych, istotnych spraw cywilnych lub administracyjnych lub postępowań dyscyplinarnych (włącznie z dyskwalifikacją jako dyrektor spółki, niewypłacalnością, upadłością lub podobnymi procedurami);
   • szczegółowe informacje dotyczące wszelkich konfliktów interesów (np. bliskich relacji osobistych z członkiem organu zarządzającego, istotnych prywatnych transakcji biznesowych z daną instytucją kredytową lub zajmowania pozycji o znaczącym wpływie politycznym);
   • informacje na temat dyspozycyjności osoby powoływanej na potrzeby działalności w danej instytucji kredytowej (w tym, w stosownych przypadkach, szczegóły dotyczące czasu przeznaczanego na inną działalność zawodową lub prywatną);
   • informacje na temat zbiorowej odpowiedniości organu zarządzającego (np. wartości, jaką osoba powoływana wnosi do tego organu jako całości);
2. dane osobowe, o których właściwy organ dowiedział się w inny sposób (np. za pośrednictwem mediów);
3. dane osobowe dotyczące stron trzecich (a nie samej osoby powoływanej);
4. wszelkie uwagi pracowników EBC lub właściwych organów krajowych na temat wyników oceny kompetencji i reputacji osoby powoływanej (np. uwagi odzwierciedlające ocenę lub opinię organu nadzoru dotyczące osoby powoływanej – w szczególności jej wiedzy i umiejętności w danej dziedzinie);
5. informacje o tym, czy ocena kompetencji i reputacji została wcześniej przeprowadzona przez inny właściwy organ nadzorczy (w tym informacje pozwalające zidentyfikować ten organ oraz potwierdzenie wyniku oceny).

Przy podejmowaniu decyzji w sprawie cofnięcia zezwolenia na prowadzenie działalności przez instytucję kredytową mogą być przetwarzane (m.in.) następujące rodzaje danych osobowych:

• wszelkie dane osobowe podane na potrzeby oceny transakcji nabycia znacznego pakietu akcji, uzyskania zezwolenia lub oceny kompetencji i reputacji (zob. odpowiednie sekcje powyżej) potrzebne do rozpatrzenia przedmiotowej sprawy;
• wszelkie dane osobowe zawarte w informacjach o działalności instytucji, oświadczeniach instytucji dotyczących jej statusu oraz innych dokumentach dostarczonych zgodnie z mającymi zastosowanie przepisami krajowymi i regulaminem instytucji;
• wszelkie dane osobowe zawarte w informacjach o kontrolach na miejscu, procesie przeglądu i oceny nadzorczej, zgłoszeniach naruszeń, ustaleniach i środkach nadzorczych, komunikacji z instytucją kredytową oraz orzeczeniach i decyzjach sądowych.

Dane osobowe przetwarzane w związku ze swobodą przedsiębiorczości są wyszczególnione w formularzach zamieszczonych w rozporządzeniu wykonawczym Komisji (UE) nr 926/2014 z dnia 27 sierpnia 2014 r. ustanawiającym wykonawcze standardy techniczne w odniesieniu do standardowych formularzy, szablonów i procedur na potrzeby powiadomień związanych z korzystaniem ze swobody przedsiębiorczości i swobody świadczenia usług zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2013/36/UE.