Databeskyttelseserklæring vedrørende revisioner
Hvad er ECB's retlige ramme?
Alle personoplysninger behandles i overensstemmelse med EU's databeskyttelseslovgivning, nærmere bestemt i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
Hvorfor behandler vi personoplysninger?
Personoplysninger behandles i forbindelse med den interne revision, der udføres af Direktoratet for Intern Revision (D/IA) som fastsat af Direktionen i ECB's revisionscharter. Formålet med denne behandling er at identificere, vurdere, evaluere og registrere alle relevante oplysninger med henblik på kvalitetskontrol og rådgivning. Alle personoplysninger, der falder inden for rammerne af disse aktiviteter, indsamles fra ECB's forretningsområder. Generelt behandler D/IA personoplysninger, der er relevante for en bestemt opgave.
Nærmere bestemt kan D/IA behandle personoplysninger med henblik på at udføre følgende opgaver:
- gennemførelsen af ECB's revisionsplan og Komitéen for Interne Revisorers (IAC) arbejdsprogram ved at udføre og aflægge rapport om kvalitetskontrol- og rådgivningsaktiviteter
- vurdering af revisionsanbefalingers gennemførelsesstatus
- behandling af hændelsesrapporter fra ECB's forretningsområder (med undtagelse af hændelsesrapporter vedrørende overtrædelser af tjenestepligter).
Desuden behandler D/IA data med henblik på at yde støtte til revisionen (fx som sekretariat for IAC) og for at koordinere eksterne revisionstjenester (fx eksterne revisorer eller Den Europæiske Revisionsret).
Hvilket retsgrundlag er der for at behandle dine personoplysninger?
Dine personoplysninger behandles af ECB som led i udførelsen af en opgave, der udføres i samfundets tjeneste, på grundlag af artikel 5, stk. 1, litra a), i forordning (EU) 2018/1725, sammenholdt med protokol (nr. 4) om statutten for Det Europæiske System af Centralbanker (ESCB) og Den Europæiske Centralbank (EUT C 202 af 7.6.2016, s. 230 ) og Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63), som nærmere beskrevet i ECB's revisionscharter.
Hvem er ansvarlig for behandlingen af dine personoplysninger?
ECB er den registeransvarlige for behandlingen af personoplysningerne. D/IA er ansvarlig for behandlingen.
Hvem modtager dine personoplysninger?
Modtagerne af oplysningerne er:
- de respektive registrerede
- udpegede medarbejdere i ECB
- udpegede medarbejdere i de nationale centralbanker inden for ESCB og nationale kompetente myndigheder inden for den fælles tilsynsmekanisme (herunder udstationerede medarbejdere)
- eksterne medarbejdere (konsulenter, eksterne revisorer og praktikanter), der deltager i interne revisionsaktiviteter.
Medlemmerne af ECB's direktion, styrelsesråd og tilsynsråd og ECB's Chief Services Officer kan efter anmodning modtage personoplysninger.
Hvis det er relevant, kan organer, der har ansvaret for overvågning eller tilsyn i overensstemmelse med EU-retten, efter "need to know"-princippet og under overholdelse af de relevante retlige rammer, modtage personoplysninger, fx Den Europæiske Revisionsret, Det Europæiske Kontor for Bekæmpelse af Svig, Den Europæiske Anklagemyndighed, de nationale kompetente myndigheder, Den Europæiske Tilsynsførende for Databeskyttelse, Den Etiske Komité og Revisionsudvalget.
Hvilken type personoplysninger indsamles?
D/IA har adgang til alt personale, alle registre, oplysninger, systemer og al ejendom, som anses for nødvendige, for at D/IA kan varetage sine opgaver i forbindelse med revision og kan behandle alle relaterede personoplysninger.
ECB kan behandle følgende personoplysninger i forbindelse med revision:
- identifikationsoplysninger og kontaktoplysninger (fx navn, postadresse osv.)
- oplysninger om uddannelse og faglig uddannelse
- oplysninger om beskæftigelse
- økonomiske oplysninger
- familie, livsstil og sociale forhold
- oplysninger om leverede varer eller tjenesteydelser
- oplysninger om eventuelle civilretlige eller administrative sager eller andre undersøgelser
- oplysninger om eventuelle straffesager
- oplysninger om sanktioner, herunder administrative sanktioner
- andre personoplysninger af relevans for en bestemt revision
- særlige kategorier af oplysninger, der er omfattet af anvendelsesområdet for artikel 10 i forordning (EU) 2018/1725, hvor dette er begrundet.
Hvor længe opbevarer ECB personoplysninger?
Personoplysningerne opbevares i højst 15 år fra den dato, hvor aktiviteten er afsluttet, inden de slettes, medmindre oplysningerne er nødvendige i en længere periode i forbindelse med eventuelle opfølgningstiltag, såsom disciplinærsager eller retslige procedurer.
Som hovedregel anonymiseres oplysninger, der indgår i revisionsrapporter.
Hvilke rettigheder har du?
Du har ret til at få adgang til dine personoplysninger og til at ændre oplysninger, som er urigtige eller ufuldstændige. Du har også (med visse begrænsninger) ret til at slette dine personoplysninger, til at gøre indsigelse mod eller til at begrænse behandlingen af dine personoplysninger i overensstemmelse med forordning (EU) 2018/1725.
Hvem kan du kontakte i tilfælde af forespørgsler eller anmodninger?
Du kan gøre brug af denne rettighed ved at kontakte D/IA på adressen DIAManagement@ecb.europa.eu. Du kan også kontakte ECB's databeskyttelsesansvarlige direkte på adressen dpo@ecb.europa.eu vedrørende alle spørgsmål om personoplysninger.
Henvendelser til Den Europæiske Tilsynsførende for Databeskyttelse
Hvis du anser dine rettigheder i henhold til forordning (EU) 2018/1725 for at være blevet overtrådt som følge af behandlingen af dine personoplysninger, har du til enhver tid ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse.
Yderligere oplysninger findes i ECB's register over behandlingsaktiviteter vedrørende personoplysninger.