Integritetspolicy för behandling av personuppgifter inom ramen för tillsyn i den gemensamma tillsynsmekanismen
ECB behandlar personuppgifter inom ramen för sina tillsynsuppgifter, ansvarsområden och befogenheter. I denna förklaring om integritetsskyddspolicy förklaras hur ECB hanterar personuppgifter inom den allmänna ramen för sin tillsynsverksamhet.
Här finns också uppgifter om de personuppgifter som behandlas av ECB inom ramen för tillståndsförfaranden. Denna information hittar du genom att klicka på det relevanta förfarandet (tillståndsgivning, kvalificerade innehav, lämplighetsbedömningar, etableringsrätt eller återkallande av tillstånd) i nedanstående förteckningar.
Hur ser den rättsliga ramen ut?
Genom rådets förordning (EU) nr 1024/2013 tilldelas Europeiska centralbanken (ECB) särskilda uppgifter i fråga om politiken för tillsyn av kreditinstitut på grundval av artikel 127.6 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).
Av tillsynsskäl har ECB anförtrotts de särskilda uppgifter som avses i artikel 4 i SSM-förordningen, inom ramen för artikel 6 i den förordningen, i fråga om kreditinstitut som är etablerade i 1) EU-medlemsstater som har euron som valuta och 2) i EU-medlemsstater som inte har euron som valuta och som har ingått ett nära samarbete med ECB i enlighet med artikel 7 i SSM-förordningen (de deltagande medlemsstaterna). I Europeiska centralbankens förordning (EU) nr 468/2014 (nedan kallad ramförordningen om SSM) fastställs regler och förfaranden för samarbetet mellan ECB och de nationella behöriga myndigheterna i de deltagande medlemsstaterna.
När ECB samlar in och behandlar personuppgifter inom ramen för sina tillsynsuppgifter enligt SSM-förordningen ska alla personuppgifter behandlas i enlighet med EU:s dataskyddslagstiftning, dvs. förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionsinstitut, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG, (EUT L 295, 21.11.2018, s. 39-98).
Varför behandlar ECB personuppgifter?
ECB samlar in och behandlar personuppgifter för de tillsynsuppgifter, ansvarsområden och befogenheter som den tilldelats genom SSM-förordningen (särskilt artiklarna 4, 5, 6, 7, 8 och 18 i den förordningen). Detta omfattar ett brett spektrum av verksamheter, bland annat följande:
- Tillståndsförfaranden:Tillståndsgivning
Enligt artikel 4.1 a i SSM-förordningen är ECB ensam behörig att bevilja tillstånd att driva verksamhet i ett kreditinstitut i en deltagande medlemsstat, om inte annat följer av artikel 14 i den förordningen. I detta sammanhang har ECB i uppdrag att förvissa sig om att nya aktörer på bankmarknaden är robusta och följer nationell lagstiftning och unionslagstiftning. ECB fokuserar främst på ansökande bankers kapitalnivåer, verksamhetsplaner, strukturella organisation samt lämplighet hos ledning och relevanta aktieägare. De begärda personuppgifter är därför nödvändiga för att bedöma kriterierna för att bevilja tillstånd för att starta verksamhet i ett kreditinstitut.
Kvalificerade innehavEnligt artikel 4.1 c i SSM-förordningen har ECB exklusiv befogenhet att bedöma anmälningar om förvärv av kvalificerade innehav i kreditinstitut i deltagande medlemsstater, om inte annat följer av artikel 15 i den förordningen. ECB ska fatta beslut om invändningar ska göras mot förvärvet eller ej. Detta beslut fattas på grundval av de bedömningskriterier som anges i tillämplig unionsrätt och/eller nationell lagstiftning i enlighet med det förfarande och de bedömningsperioder som anges där. De personuppgifter som begärs är därför nödvändiga för att bedöma kriterierna för förvärv av kvalificerade innehav i kreditinstitut. Enligt artikel 23.1 a–e i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 ska följande kriterier bedömas för att fastställa den tilltänkte förvärvarens lämplighet och det tilltänkta förvärvets ekonomiska sundhet:
- den tilltänkta köparens anseende och finansiella sundhet,
- lämpligheten hos ledamöter i ledningsorgan och i verkställande ledning som kommer att leda målinstitutets verksamhet efter det tilltänkta förvärvet,
- huruvida målinstitutet kommer att fortsätta att uppfylla tillsynskraven,
- om det finns rimlig anledning att misstänka att det tilltänkta förvärvet har en koppling till pågående eller genomförd penningtvätt eller finansiering av terrorism eller försök till detta, eller att det tilltänkta förvärvet kan öka riskerna för sådan verksamhet.
LämplighetsbedömningarEnligt artikel 4.1 e i SSM-förordningen ska ECB säkerställa efterlevnad med relevant unionsrätt som föreskriver att kreditinstitut har tillförlitliga styrformer, inbegripet lämplighetskrav för personer som är ansvariga för förvaltningen av kreditinstitut. Personuppgifter samlas alltså in och behandlas i syfte att bedöma om de personer som ansvarar för ledningen av betydande kreditinstitut uppfyller dessa lämplighetskrav. De fem kriterier som bedöms i detta avseende gäller följande: 1) personens erfarenhet, 2) personens anseende, 3) intressekonflikter och oavhängighet, 4) personens tidsmässiga åtagande gentemot institutionen i fråga samt 5) styrelsens kollektiva lämplighet som helhet.
Återkallande av tillståndEnligt artiklarna 4.1 a och 6.4 i SSM-förordningen har ECB exklusiv befogenhet att återkalla tillstånd att bedriva verksamhet i ett kreditinstitut i en deltagande medlemsstat, om inte annat följer av artikel 14 i den förordningen, för att säkerställa att endast kreditinstitut med 1) en sund ekonomisk bas, 2) en organisation som kan hantera de särskilda riskerna med inlåning och kreditgivning samt 3) lämpliga direktörer bedriver kreditinstituts verksamhet. De begärda personuppgifterna är därför nödvändiga för att bedöma om kriterierna för att bevilja tillstånd att bedriva verksamhet i ett kreditinstitut fortfarande är uppfyllda.
Etableringsrätt i en annan deltagande medlemsstatKreditinstitut som är etablerade i deltagande medlemsstater får utöva etableringsrätten inom en annan deltagande medlemsstats territorium. De nationella behöriga myndigheterna ska informera ECB (genom de förfaranden som anges i ramförordningen om SSM) om all information som betydande kreditinstitut lämnar till dem enligt artikel 35.2 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 (inbegripet annat information om de personer som ska ansvara för ledningen av den föreslagna filialen och dess centrala funktioner). Alla nödvändiga personuppgifter, enligt de formulär som anges i kommissionens genomförandeförordning (EU) nr 926/2014 av den 27 augusti 2014 om tekniska standarder för genomförande rörande standardformulär, mallar och anmälningsförfaranden vid utövandet av etableringsrätten och friheten att tillhandahålla tjänster enligt Europaparlamentets och rådets direktiv 2013/36/EU, är nödvändiga för att ECB ska kunna bedöma lämpligheten hos de personer som ska ansvara för den föreslagna filialens ledning eller nyckelfunktioner. Dessutom underrättar de nationella behöriga myndigheterna ECB om information (som kan inbegripa personuppgifter) som tas emot från 1) mindre betydande institut som utövar etableringsrätten inom en annan deltagande medlemsstats territorium och 2) kreditinstitut som är etablerade i icke-deltagande medlemsstater och som utövar etableringsrätten i en deltagande medlemsstat.
Etableringsrätt i en icke-deltagande medlemsstatBetydande kreditinstitut som är etablerade i deltagande medlemsstater får utöva etableringsrätten inom en icke-deltagande medlemsstats territorium (nedan kallat ”utgående passförfarande"). I sådana situationer är ECB skyldig att utöva de befogenheter som den behöriga myndigheten i hemmedlemsstaten har i enlighet med de förfaranden som anges i artikel 17.1 i ramförordningen om SSM. Hemmedlemsstatens befogenheter när det gäller kreditinstitutens etableringsrätt fastställs i artikel 35 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 och inbegriper en bedömning av kreditinstitutets administrativa struktur. För detta ändamål ska kreditinstitutet tillhandahålla information om de personer som ska ansvara för ledningen av den föreslagna filialen och dess centrala funktioner. Alla personuppgifter som krävs enligt formulären i kommissionens genomförandeförordning (EU) nr 926/2014 av den 27 augusti 2014 om fastställande av tekniska genomförandestandarder för standardformulär, mallar och förfaranden för anmälningar som rör utövandet av etableringsrätten och friheten att tillhandahålla tjänster enligt Europaparlamentets och rådets direktiv 2013/36/EU är nödvändiga för att bedöma lämpligheten hos de personer som ska ansvara för den föreslagna filialens ledning eller nyckelfunktioner. Dessutom underrättar de nationella behöriga myndigheterna ECB om information från mindre betydande institut om utövandet av etableringsrätten inom en icke-deltagande medlemsstats territorium, vilket kan inbegripa personuppgifter.
- tillsyn över kreditinstitutens efterlevnad av relevant unionslagstiftning om tillsynskrav (t.ex. kapitalbaskrav, regler om kredit till närstående parter och regler för ersättningspolicy och ersättningspraxis),
- tillsynsgranskningar (inklusive stresstester) och offentliggörandet av dessa,
- tillämpning av krav på kapitalbuffertar och andra åtgärder som syftar till att hantera systemrisker eller makrotillsynsrisker,
- överföring av personuppgifter till andra unionsinstitut, organ eller byråer, tillsynsmyndigheter, internationella organisationer och myndigheter i tredjeland,
- för kvantitativ forskning och analys samt statistikrapportering på aggregerad nivå (i så fall kommer personuppgifter att aggregeras och anonymiseras i tillräcklig grad, så att enskilda personer inte kan identifieras på aggregerad nivå),
- Genom att tillämpa teknik (inklusive automatiserad och standardiserad informationsbehandling samt automatiserade faser i beslutsprocesserna) för att förbättra utförandet av tillsynsuppgifter. I så fall kommer de registrerade inte att bli föremål för beslut som enbart grundar sig på automatisk behandling med rättsverkan (eller andra liknande betydande effekter) på dem. Alla lämpliga tekniska och organisatoriska åtgärder kommer att vidtas för att säkerställa efterlevnaden av förordning (EU) 2018/1725.
Konsekvenserna av att inte tillhandahålla den begärda informationen kommer att avgöras från fall till fall. Underlåtenhet att lämna information kommer att leda till en bedömning av hur väsentlig den saknade informationen är. Om ECB inte kan avsluta sin bedömning utan denna information kan detta göra det omöjligt för ECB att fatta ett positivt beslut.
Vilken är den rättsliga grunden för behandlingen av personuppgifter?
Behandling av personuppgifter för ovannämnda ändamål är nödvändig enligt artikel 5.1 a och b i förordning (EU) 2018/1725 jämförd med SSM-förordningen.
För närmare upplysningar om tillståndsförfarandena, se här:
Enligt artiklarna 4.1 a och 6.4 i SSM-förordningen har ECB exklusiv behörighet att tillåta kreditinstitut att starta verksamhet i ett kreditinstitut, om inte annat följer av artikel 14 i den förordningen. Enligt artikel 14 i förordningen om den gemensamma tillsynsmekanismen ska en tillståndsansökan för att starta verksamhet i ett kreditinstitut lämnas in till den nationella behöriga myndigheten i den medlemsstat där kreditinstitutet ska vara etablerat, i enlighet med relevanta krav i nationell lagstiftning. Den berörda nationella tillsynsmyndigheten ska bedöma ansökan och förse ECB med ett utkast till beslut om alla relevanta kriterier i nationell lagstiftning är uppfyllda. ECB kan endast invända mot utkastet till beslut om villkoren för tillstånd i relevant unionsrätt inte är uppfyllda. Villkoren för beviljande av tillstånd bedöms i enlighet med artiklarna 8–14 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 och/eller tillämplig nationell lagstiftning. I artiklarna 73–79 i ramförordningen om SSM fastställs reglerna för samarbetet mellan de nationella behöriga myndigheterna och ECB när det gäller tillståndsförfarandet.
Enligt artiklarna 4.1 c, 6.4 och 15 i SSM-förordningen ska ECB 1) ha exklusiv befogenhet att bedöma anmälningar om förvärv av kvalificerade innehav i kreditinstitut och 2) besluta om invändningar ska göras mot sådana förvärv på grundval av bedömningskriterierna i relevant unionslagstiftning (artikel 23.1 a–e i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013) och/eller tillämplig nationell lagstiftning, i enlighet med de förfaranden och bedömningsperioder som anges i den förordningen. I artiklarna 85-87 i ramförordningen om SSM fastställs reglerna för samarbetet mellan de nationella behöriga myndigheterna och ECB när det gäller förvärv av kvalificerade innehav.
Enligt artikel 4.1 e i SSM-förordningen ska ECB, för att utföra sina uppgifter, se till att relevant unionslagstiftning och/eller nationell lagstiftning som kräver att kreditinstituten har inrättat stabila styrformer, inbegripet lämpliga och lämpliga krav på personer som ansvarar för ledningen av kreditinstituten, följs. Enligt artikel 16.2 m i SSM-förordningen har ECB befogenhet att när som helst avlägsna ledamöter av kreditinstitutens ledningsorgan som inte uppfyller kraven i tillämplig unionsrätt. I artikel 91.1 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 anges vidare att ledamöter i ledningsorganet alltid ska ha ett tillräckligt gott anseende, tillräckliga kunskaper, färdigheter och erfarenhet för att kunna utföra sina plikter. I artiklarna 93 och 94 i ramförordningen om SSM fastställs de regler som styr ECB:s bedömning av efterlevnaden av lämplighetskrav för personer med ansvar för förvaltning av kreditinstitut. För att säkerställa att lämpliga och korrekta krav alltid uppfylls får ECB inleda en ny bedömning baserad på nya fakta eller frågor om den får kännedom om nya fakta som kan påverka en tidigare bedömning av en ledamot av ett ledningsorgan.
Enligt artikel 4.1 a i SSM-förordningen ska ECB besluta om att återkalla tillstånd att bedriva verksamhet i ett kreditinstitut, om inte annat följer av artikel 14 i den förordningen. Detta förfarande kan inledas av antingen den berörda nationella behöriga myndigheten eller ECB, och den nationella myndighet som ansvarar för rekonstruktion av kreditinstitut måste också involveras. I artiklarna 80–84 i ramförordningen om SSM fastställs reglerna för samarbetet mellan de nationella behöriga myndigheterna och ECB när det gäller återkallande av tillstånd att bedriva verksamhet i ett kreditinstitut.
I artikel 17.1 i SSM-förordningen föreskrivs att de förfaranden mellan deltagande medlemsstater som fastställs i tillämplig unionsrätt för kreditinstitut som önskar etablera en filial inom en annan medlemsstats territorium och hem- och värdmedlemsstaternas därmed sammanhängande behörighet endast gäller för de uppgifter som ECB inte tilldelats genom artikel 4 i den förordningen. De förfaranden som styr samspelet mellan de nationella behöriga myndigheterna och ECB när det gäller betydande kreditinstituts etableringsrätt inom en annan deltagande medlemsstats territorium fastställs i artikel 11.1 och 11.3 i ramförordningen om SSM. Enligt dessa bestämmelser ska ECB informeras om all information som betydande kreditinstitut lämnar till de nationella behöriga myndigheterna i enlighet med artikel 35.2 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 (inklusive information om de personer som ska ansvara för ledningen av den föreslagna filialen och dess centrala funktioner). I enlighet med artiklarna 11.4 och 13.1 i ramförordningen om SSM ska de nationella behöriga myndigheterna informera ECB om anmälningar från 1) mindre betydande institut som utövar etableringsrätten inom en annan deltagande medlemsstats territorium och 2) kreditinstitut som är etablerade i icke-deltagande medlemsstater och som utövar etableringsrätten i en deltagande medlemsstat. När en betydande filial inrättas i en deltagande medlemsstat av ett kreditinstitut som är etablerat i en icke-deltagande medlemsstat, utövar ECB den behöriga myndighetens befogenheter i värdmedlemsstaten i enlighet med artikel 14.1 i ramförordningen om SSM.
Enligt artikel 4.1 b i SSM-förordningen är ECB behörig att utföra de uppgifter som den behöriga myndigheten i hemmedlemsstaten är skyldig att utföra enligt tillämplig unionsrätt när ett betydande kreditinstitut som är etablerat i en deltagande medlemsstat önskar etablera en filial i en icke-deltagande medlemsstat. Hemmedlemsstatens befogenheter när det gäller kreditinstitutens etableringsrätt fastställs i artikel 35 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 och inbegriper en bedömning av kreditinstitutets administrativa struktur. För detta ändamål ska kreditinstitutet tillhandahålla information om de personer som ska ansvara för ledningen av den föreslagna filialen och dess centrala funktioner. De förfaranden som styr samspelet mellan de nationella behöriga myndigheterna och ECB när det gäller betydande kreditinstituts etableringsrätt i icke-deltagande medlemsstater anges i artikel 17.1 i ramförordningen om SSM. I enlighet med artikel 4.1 b i SSM-förordningen och artikel 17.2 i ramförordningen om SSM ska de nationella behöriga myndigheterna informera ECB om anmälningar som lämnats av mindre betydande institut om utövandet av etableringsrätten i en icke-deltagande medlemsstat.
Vem ansvarar för behandlingen av personuppgifter?
Enligt artikel 3.8 i förordning (EU) 2018/1725 är ECB registeransvarig för databehandlingen för olika typer av tillsynsförfaranden inom ramen för tillsynen över betydande institut.
ECB och de nationella behöriga myndigheterna är gemensamt registeransvariga – vid utförande av de tillsynsuppgifter som de tilldelats genom SSM-förordningen och ramförordningen om SSM – när de gemensamt fastställer syftet med och medlen för databehandling. I enlighet med artikel 28 i förordning (EU) 2018/1725 (och artikel 26 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (den allmänna dataskyddsförordningen), som är tillämplig på de nationella behöriga myndigheternas behandling av personuppgifter) kommer de gemensamt registeransvariga att enas om ett särskilt arrangemang som fastställer deras ansvar. Huvuddragen i detta arrangemang kommer att offentliggöras.
För närmare upplysningar om tillståndsförfarandena, se här:
ECB och de nationella behöriga myndigheterna är gemensamt registeransvariga för databehandlingen i samband med beviljande av tillstånd att starta verksamhet i ett kreditinstitut (även kallat ”tillståndsgivning”) inom ramen för tillsynen över betydande och mindre betydande institut.
ECB och de nationella behöriga myndigheterna är gemensamt registeransvariga för databehandlingen av kvalificerade innehav inom ramen för tillsynen över betydande och mindre betydande institut.
ECB är registeransvarig för de databehandlingstransaktioner som rör ändamålsenliga och korrekta bedömningar inom ramen för tillsynen över betydande institut.
ECB och de nationella behöriga myndigheterna är gemensamt registeransvariga för databehandlingen i samband med återkallande av auktorisation att bedriva verksamhet i ett kreditinstitut inom ramen för tillsynen över betydande och mindre betydande institut.
ECB är registeransvarig för databehandling som rör etableringsrätten i en annan deltagande medlemsstat inom ramen för tillsynen över betydande institut. Dessutom informerar de nationella behöriga myndigheterna ECB när anmälningar tas emot från 1) mindre betydande institut som utövar etableringsrätten i en annan deltagande medlemsstat och 2) kreditinstitut som är etablerade i icke-deltagande medlemsstater och som utövar etableringsrätten i en deltagande medlemsstat.
ECB är registeransvarig för de databehandlingar som rör etableringsrätten i en icke-deltagande medlemsstat inom ramen för tillsynen över betydande institut. Dessutom informerar de nationella behöriga myndigheterna ECB när anmälningar tas emot från mindre betydande institut som utövar etableringsrätten i en icke-deltagande medlemsstat.
Vem har tillgång till personuppgifterna?
När ECB behandlar personuppgifter för ovannämnda ändamål har följande personer tillgång till personuppgifter på strikt basis av behov:
- ett begränsat antal anställda vid ECB (för att kunna fullgöra sitt uppdrag, inbegripet uppgifter som rör tillsyn över kreditinstitut).
- ett begränsat antal anställda i nationella behöriga myndigheter (för utförandet av uppgifter som rör tillsyn över kreditinstitut),
- ledamöter i ECB:s tillsynsstyrelse och ECB-rådet,
- externa experter och entreprenörer som arbetar för ECB:s räkning och som tillhandahåller yttranden, råd och stöd inom ramen för tillsynen över kreditinstitut (t.ex. juridiskt ombud),
- ett begränsat antal anställda vid andra unionsinstitutioner, organ och byråer, tillsynsmyndigheter och nationella myndigheter (t.ex. allmänna åklagare eller myndigheter som hanterar penningtvätt).
Vilken typ av personuppgifter behandlas?
ECB hanterar olika typer av personuppgifter beroende på behandlingen i fråga. Exempel på sådana uppgifter är följande:
- Information om anseende, kunskaper, färdigheter och erfarenheter hos nuvarande och potentiella framtida styrelseledamöter i 1) kreditinstitut som övervakas och 2) företag som avser att förvärva eller avyttra kvalificerade innehav i kreditinstitut som står under tillsyn. För närmare uppgifter om tillståndsförfaranden, se här:
De personuppgifter som behandlas i samband med tillståndsförfaranden omfattar bland annat uppgifter om kreditinstitutets verksamhetsprogram och styrningsarrangemang (som kan omfatta personlig finansiell information, uppgifter om lämpligheten hos kvalificerade aktieägare eller de 20 största aktieägarna samt information om lämpligheten hos medlemmar i ledningsorgan). EBA:s utkast till tekniska standarder för reglering enligt artikel 8.2 i Europaparlamentets och rådets direktiv 2013/36/EU om den information som ska lämnas för auktorisation av kreditinstitut, de krav som gäller för aktieägare och medlemmar med kvalificerade innehav och hinder som kan hindra ett effektivt utövande av tillsynsbefogenheter (EBA/RTS/2017/08 (EBA/RTS/2017/08) innehåller fullständig information om de uppgifter som kommer att krävas för licensansökningar när de träder i kraft. Exempel på personuppgifter om det ansökande kreditinstitutet, dess nuvarande eller framtida aktieägare eller medlemmar, nuvarande eller framtida medlemmar i dess ledningsorgan, innehavare av nyckelfunktioner eller interna kontrollfunktioner eller andra anknutna parter (till följd av utkontraktering, finansieringsarrangemang osv.) finns i avsnitten om kvalificerade innehav och lämplighetsbedömningar.
Utan att det påverkar tillämpningen av nationell lagstiftning behandlas följande typer av personuppgifter i samband med förvärv av kvalificerade innehav, med uppgifter som omfattar både 1) föreslagna direkta eller indirekta köpare (fysiska personer eller, när det gäller juridiska personer, medlemmar av deras ledningsorgan) och 2) personer som är knutna till dessa tilltänkta köpare:
- personuppgifter (fullständigt namn, ID-kort/passnummer, nationalitet osv.),
- kontaktuppgifter (postadress, e-postadress, telefonnummer osv.),
- uppgifter om kunskaper, färdigheter och erfarenheter (t.ex. information om praktiska yrkeserfarenheter från tidigare befattningar och teoretisk erfarenhet (kunskap och färdigheter) som förvärvats genom utbildning),
- information om anseende, t.ex.
- uppgifter om eventuella brottsregister, relevanta brottsutredningar, relevanta civilrättsliga/administrativa mål eller disciplinära åtgärder (inklusive uppsägning som företagsledare, konkurs, insolvens eller liknande),
- ett uttalande om huruvida det straffrättsliga förfarandet pågår eller om personen eller någon annan organisation som hen förvaltar har varit gäldenär i insolvensförfaranden eller liknande förfaranden,
- uppgifter om eventuella utredningar, verkställighetsförfaranden eller sanktioner som genomförts eller ålagts av en tillsynsmyndighet,
- uppgifter om avslag på ansökan om registrering, tillstånd, medlemskap eller näringstillstånd, affärsverksamhet eller yrke,
- uppgifter om indragning, återkallande eller upphörande av registrering, tillstånd, medlemskap eller licens,
- information om varje uteslutande av ett regleringsorgan eller ett offentligt organ,
- uppgifter om uppsägning från anställning, förtroendeuppdrag eller förtroendeförhållande (eller liknande situation) eller om varje begäran om att avgå från en sådan tjänst,
- ekonomiska uppgifter, t.ex.
- information om personens ekonomiska ställning och styrka, inkomstkällor, tillgångar och skulder, panter och garantier,
- kreditbetyg och offentliga rapporter om företag som kontrolleras eller styrs av personen i fråga,
- betyg och offentliga rapporter om personen själv,
- uppgifter om huruvida en bedömning av personens anseende som förvärvare eller någon som leder ett finansiellt instituts verksamhet redan har utförts av en annan behörig tillsynsmyndighet inom den finansiella sektorn (inklusive uppgifter om den myndighetens identitet och bevis på resultatet av denna bedömning),
- uppgifter om huruvida en bedömning av personens anseende redan har utförts av en annan behörig myndighet inom en icke-finansiell sektor (inklusive uppgifter om den myndighetens identitet och bevis på resultatet av denna bedömning),
- uppgifter om eventuella finansiella förbindelser (som omfattar kredittransaktioner, garantier, panter osv.) eller icke-finansiella förbindelser (t.ex. ett nära familjeförhållande eller samboende) med:
- alla nuvarande aktieägare i målinstitutet,
- personer som har rätt att utöva rösträtt i målinstitutet,
- målinstitutet eller dess grupp,
- uppgifter om andra intressen eller aktiviteter som står i konflikt med målinstitutet och möjliga lösningar på sådana intressekonflikter.
En hänvisning bör också göras till den förteckningen över uppgifter som rekommenderas i de gemensamma riktlinjerna för bedömning av förvärv och ökningar av kvalificerade innehav inom finanssektorn (JC/GL/2016/01) när det gäller bedömningen av förvärv av ett kvalificerat innehav.
Alla personuppgifter som förtecknas i det relevanta avsnittet och som krävs för en lämplig och korrekt bedömning av nya ledamöter i målinstitutets ledningsorgan kan också behandlas i bedömningen av kvalificerat innehav.
Bilaga III till Esmas och EBA:s gemensamma riktlinjer för bedömning av lämpligheten hos medlemmar i ledningsorganet och innehavare av nyckelfunktioner enligt direktiv 2013/36/EU och direktiv 2014/65/EU(EBA/GL/2017/12) innehåller en förteckning över de uppgifter som ska lämnas till de behöriga myndigheterna för varje lämplighetsbedömning.
Följande personuppgifter behandlas i förhållande till lämplighetsbedömningar:
- personuppgifter som tillhandahålls av utsedda personer (antingen skriftligen som svar på det lämplighetsformuläret eller muntligen under intervjuer), såsom:
- personuppgifter (fullständigt namn, ID-kort/passnummer, nationalitet osv.),
- kontaktuppgifter (postadress, e-postadress, telefonnummer osv.),
- uppgifter om kunskaper, färdigheter och erfarenheter (t.ex. information om praktiska yrkeserfarenheter från tidigare befattningar och teoretisk erfarenhet (kunskap och färdigheter) som förvärvats genom utbildning),
- uppgifter om anseende, t.ex. uppgifter om eventuella brottsregister, relevanta brottsutredningar/brottsutredningar, relevanta civilrättsliga/administrativa mål eller disciplinära åtgärder (inklusive diskvalificerande som företagsledare, konkurs, insolvens eller liknande),
- uppgifter om eventuella intressekonflikter (t.ex. ett nära personligt förhållande till en medlem av ett ledningsorgan, en betydande privat affärstransaktion med kreditinstitutet i fråga eller en ställning med betydande politiskt inflytande),
- information om utnämningens tidsåtagande gentemot kreditinstitutet i fråga (inklusive, i förekommande fall, uppgifter om den tid som avsatts för annan yrkesmässig eller personlig verksamhet),
- information om styrelsens kollektiva lämplighet (t.ex. när det gäller det värde som den utsedda personen tillför i förhållande till styrelsens totala sammansättning),
- personuppgifter som kommer till den behöriga myndighetens kännedom på annat sätt (t.ex. via media).
- personuppgifter om tredje man (i stället för den utsedda personen),
- eventuella synpunkter från ECB:s eller de nationella behöriga myndigheternas personal om den utsedda personens prestationer under lämplighetsbedömningen (t.ex. kommentarer som återspeglar tillsynsmyndighetens yttrande eller bedömning av den utsedda personen – särskilt när det gäller deras kunskaper och färdigheter på det relevanta området),
- uppgifter om huruvida en lämplighetsbedömning redan har utförts av en annan behörig tillsynsmyndighet (inklusive uppgifter om den myndighetens identitet och bevis på resultatet av bedömningen).
Följande typer av personuppgifter (exempelvis) kan behandlas vid beslut om återkallande av tillstånd att bedriva verksamhet i ett kreditinstitut:
- alla personuppgifter som lämnas i samband med en bedömning av kvalificerade innehav, beviljande av tillstånd eller en lämplighetsbedömning (se relevanta avsnitt ovan) som krävs för att bedöma om tillstånd kan återkallas,
- alla personuppgifter som finns i information om institutets verksamhet, uppgifter från institutet om dess status och andra handlingar som tillhandahållits enligt tillämplig nationell lagstiftning och institutets stadgar,
- personuppgifter som finns i information om inspektioner på plats, översyns- och utvärderingsprocessen, visselblåsning, tillsynsresultat och tillsynsåtgärder, kommunikation med kreditinstitutet samt rättsliga avgöranden och domstolsbeslut.
De personuppgifter som behandlas i samband med etableringsrätten avses i de formulär som anges i kommissionens genomförandeförordning (EU) nr 926/2014 av den 27 augusti 2014 om fastställande av tekniska standarder för genomförande när det gäller standardformulär, mallar och förfaranden för underrättelser som rör utövandet av etableringsrätten och friheten att tillhandahålla tjänster i enlighet med Europaparlamentets och rådets direktiv 2013/36/EU.
- uppgifter om fysiska personer som är knutna till kreditinstitut under tillsyn (t.ex. anställda eller kunder) inom ramen för tillsyn på plats eller utanför.
Denna förteckning är dock inte uttömmande. För mer information, kontakta ECB med hjälp av formuläret för begäran om information.
Vart överförs dina uppgifter och var behandlas och lagras de?
Inom ramen för tillsynssamarbete kan vissa personuppgifter sändas utanför Europeiska ekonomiska samarbetsområdet (EES) till internationella organisationer, tillsynsmyndigheter och förvaltningar i tredjeländer.
Sådana överföringar får ske på grundval av ett beslut om adekvat skyddsnivå som fattats av Europeiska kommissionen i enlighet med artikel 47 i förordning (EU) 2018/1725.
Om Europeiska kommissionen inte har fattat ett beslut om adekvat skyddsnivå får personuppgifter enligt artikel 48.1 i förordning (EU) 2018/1725 endast överföras till ett tredjeland eller en internationell organisation om lämpliga skyddsåtgärder tillhandahålls och verkställbara rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.
I avsaknad av ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder får överföring av personuppgifter till tredjeländer endast ske undantagsvis på grundval av särskilda undantag enligt artikel 50 i förordning (EU) 2018/1725 (särskilt artikel 50.1 d).
Personuppgifter lagras i ett säkert IT-system som skyddas av krypterings- och autentiseringsfunktioner.
Hur länge kommer ECB att spara personuppgifterna?
ECB lagrar personuppgifter så länge de behövs för det specifika tillsynssyftet i fråga, i enlighet med ECB:s lagringsregler.
Lagringsperioder för tillståndsförfaranden
ECB lagrar personuppgifter om tillståndsförfaranden under följande maximiperioder:
- 15 år från dagen för ansökan eller anmälan om en begäran återkallas innan ett formellt beslut har fattats,
- 15 år från dagen för ett negativt beslut,
- i händelse av ett positivt beslut, 15 år från den dag då den berörda registrerade upphör att vara medlem i kreditinstitutets ledning, nyckelfunktionsinnehavare, grundande aktieägare eller kvalificerad aktieägare eller ledningsperson eller nyckelfunktionsinnehavare för en filial.
- 15 år räknat från den dag då ECB beslutar att återkalla tillstånd att bedriva verksamhet i ett kreditinstitut.
Om administrativa eller rättsliga förfaranden inleds får ovannämnda lagringsperioder förlängas till ett år efter det att ett sådant förfarande har avslutats genom ett slutligt beslut.
Lagringsperioder för personuppgifter i samband med lämplighetsbedömningar
ECB lagrar personuppgifter relaterade till lämplighetsbedömningar under följande maximiperioder:
- en allmän lagringstid på sju år från den dag då ECB meddelar sitt beslut till den enhet som står under tillsyn. Denna generella lagringsperiod gäller för de flesta lämplighetsbedömningar. Om ansökan dras tillbaka innan ett ECB-beslut har fattats, inleds lagringsperioden på dagen för ansökan eller anmälan till ECB.
- En längre lagringsperiod kan i undantagsfall tillämpas i fall där det finns en konkret motivering: a) ett domstolsförfarande som har samband med detta är under behandling, b) en administrativ omprövning pågår, eller c) där antingen nationell lag eller den övervakade enhetens stadgar tillåter förlängning av mandatperioder för personer som är föremål för en lämplighetsbedömning samt i sådana fall där uppgifter om den ursprungliga lämplighetsbedömningen är avgörande för ECB:s bedömning av förlängningen. Vid fall a) och b) löper lagringsperioden ut två år efter det slutliga domstolsbeslutet eller det slutliga administrativa omprövningsbeslutet, och vid c) löper den ut sju år efter förlängningen.
- En lagringsperiod på tio år från och med den dag då ECB meddelar beslutet till den enhet som står under tillsyn skulle gälla i mycket specifika fall, t.ex. negativa beslut och beslut som inte tidigare överenskommits med den berörda enheten under tillsyn.
Information om lagringsperioder för specifika personuppgifter kan göras tillgänglig på begäran. För mer information, vänligen kontakta ECB info@ecb.europa.eu.
Dina rättigheter
Du har rätt att få tillgång till dina personuppgifter och få rättelse av alla uppgifter som är felaktiga eller ofullständiga. Du har även (inom vissa ramar) rätt att få dina personuppgifter raderade, kräva begränsningar av eller göra invändningar mot behandlingen av dina personuppgifter i enlighet med förordning (EU) 2018/1725.
Undantag från och begränsningar av dessa rättigheter kan gälla i enlighet med förordning (EU) 2018/1725.
ECB får begränsa dina rättigheter för att skydda de intressen och mål som avses i artikel 25.1 i förordning (EU) 2018/1725.
Vem kan du kontakta om du har frågor?
Du kan åberopa dina rättigheter genom att kontakta ECB info@ecb.europa.eu.
Kontaktuppgifter för särskilda tillståndsförfaranden
Berörda personer kan utöva sina rättigheter genom att skicka e-post till ECB:s tillståndsenhet eller avdelning för lämplighetsbedömningar.
I enlighet med artikel 14.3 i förordning (EU) 2018/1725 ska ECB i egenskap av personuppgiftsansvarig utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran informera den registrerade om vilka åtgärder som vidtagits på begäran av den registrerade. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. ECB ska underrätta den registrerade om en sådan förlängning inom en månad från mottagandet av begäran och ange orsakerna till förseningen.
Om ECB inte vidtar åtgärder avseende den registrerades begäran, ska, i enlighet med artikel 14.4 i förordning (EU) 2018/1725, ECB utan dröjsmål och senast inom en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning.
I händelse av konflikt kan du kan också kontakta ECB:s dataskyddsombud direkt på dpo@ecb.europa.eu för alla frågor som rör personuppgifter.
Kontakta Europeiska datatillsynsmannen
Om du anser att dina rättigheter som registrerad enligt förordning (EU) 2018/1725 har kränkts till följd av behandlingen av dina personuppgifter, har du rätt att när som helst lämna in ett klagomål till Europeiska datatillsynsmannen.
Ytterligare information
Ytterligare information finns i Europeiska datatillsynsmannens yttrande av den 3 november 2014 om behandling av personuppgifter i tillsynsförfaranden som en del av den gemensamma tillsynsmekanismen.
Europeiska datatillsynsmannens yttrande