|
16.9.2021 |
CS |
Úřední věstník Evropské unie |
L 328/15 |
ROZHODNUTÍ EVROPSKÉ CENTRÁLNÍ BANKY (EU) 2021/1486
ze dne 7. září 2021,
kterým se přijímají vnitřní pravidla týkající se omezení práv subjektů údajů v souvislosti s úkoly Evropské centrální banky v oblasti obezřetnostního dohledu nad úvěrovými institucemi (ECB/2021/42)
VÝKONNÁ RADA EVROPSKÉ CENTRÁLNÍ BANKY,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na statut Evropského systému centrálních bank a Evropské centrální banky, a zejména na článek 11.6 tohoto statutu,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (1), a zejména na článek 25 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Evropská centrální banka (ECB) vykonává své úkoly v souladu se Smlouvami a nařízením Rady (EU) č. 1024/2013 (2). |
|
(2) |
V souladu s čl. 45 odst. 3 nařízení (EU) 2018/1725 stanoví rozhodnutí Evropské centrální banky (EU) 2020/655 (ECB/2020/28) (3) obecná pravidla, kterými se provádí nařízení (EU) 2018/1725, pokud se týká ECB. Stanoví zejména pravidla týkající se jmenování a funkce pověřence pro ochranu osobních údajů v ECB, včetně jeho úkolů, povinností a pravomocí. |
|
(3) |
ECB, a zejména dotčená organizační jednotka, jedná při plnění úkolů svěřených ECB jako správce údajů v rozsahu, v němž sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. |
|
(4) |
Podle čl. 4 odst. 1 nařízení (EU) č. 1024/2013 má ECB výlučnou pravomoc plnit pro účely dohledu a s cílem zajistit bezpečnost a odolnost úvěrových institucí a stabilitu finančního systému zvláštní úkoly ve vztahu ke všem úvěrovým institucím usazeným v členských státech, které se účastní jednotného mechanismu dohledu. |
|
(5) |
Při plnění těchto zvláštních úkolů ECB zpracovává několik kategorií informací, které se mohou týkat identifikované nebo identifikovatelné fyzické osoby, jako jsou identifikační údaje, kontaktní údaje, profesní údaje, finanční nebo administrativní údaje, údaje získané ze zvláštních zdrojů, údaje o elektronické komunikaci a elektronické provozní údaje, výpisy z rejstříku trestů, popis finančních a nefinančních zájmů, podrobnosti o vztazích jednotlivce nebo jeho blízkých příbuzných k dohlíženým subjektům nebo členům vedoucího orgánu dohlížených subjektů a údaje týkající se pozice, na niž byla nebo může být osoba jmenována. Osobní údaje mohou být součástí i některých posouzení včetně posouzení, která se provádějí: pro účely udělení povolení úvěrové instituci, odnětí povolení úvěrové instituci a postupu v souvislosti s nabýváním kvalifikované účasti; v souvislosti s právem významného dohlíženého subjektu na usazení; za účelem určení, zda jsou splněny požadavky na způsobilost a bezúhonnost; ve vztahu k zásadám odměňování uplatňovaným významným dohlíženým subjektem a v souvislosti s úvěry, které takový subjekt poskytuje svým vlastním vysoce postaveným pracovníkům a osobám spřízněným s těmito pracovníky, jakož i v souvislosti s tvrzeními o možném porušení právních aktů uvedených v čl. 4 odst. 3 nařízení (EU) č. 1024/2013. |
|
(6) |
Při plnění těchto zvláštních úkolů ECB sleduje důležité cíle obecného veřejného zájmu Unie. Plnění těchto úkolů je proto třeba zaručit ve smyslu nařízení (EU) 2018/1725, zejména čl. 25 odst. 1 písm. c) a g) uvedeného nařízení. Při plnění těchto úkolů ECB jedná v obecném veřejném zájmu Unie jako veřejný orgán, který je pro účely dohledu pověřen plněním zvláštních úkolů ve vztahu ke všem úvěrovým institucím usazeným v členských státech, které se účastní jednotného mechanismu dohledu. Součástí těchto úkolů jsou monitorovací, inspekční nebo regulační funkce spojené s výkonem veřejné moci v souvislosti s obezřetnostním dohledem nad úvěrovými institucemi. |
|
(7) |
V této souvislosti je vhodné upřesnit důvody, na jejichž základě může ECB omezit práva subjektů údajů ve vztahu k údajům získaným při plnění úkolů v oblasti dohledu podle nařízení (EU) č. 1024/2013. |
|
(8) |
V souladu s čl. 25 odst. 1 nařízení (EU) 2018/1725 by omezení použití článků 14 až 22, 35 a 36, jakož i článku 4 uvedeného nařízení v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22, měla být stanovena ve vnitřních předpisech nebo právních aktech přijatých na základě Smluv. ECB by proto měla stanovit pravidla, na jejichž základě může omezit práva subjektů údajů při plnění svých úkolů v oblasti dohledu. |
|
(9) |
Zatímco toto rozhodnutí stanoví pravidla, podle nichž může ECB omezit práva subjektů údajů při plnění svých úkolů v oblasti dohledu, má Výkonná rada v úmyslu přijmout samostatné rozhodnutí, kterým přijme vnitřní pravidla týkající se omezení těchto práv v případech, kdy ECB zpracovává osobní údaje v souvislosti se svým vnitřním fungováním. |
|
(10) |
ECB může uplatnit výjimku podle nařízení (EU) 2018/1725 a v takovém případě není nutné zvažovat omezení; tak je tomu zejména v případě výjimek stanovených v čl. 15 odst. 4, čl. 16 odst. 5, čl. 19 odst. 3 a čl. 35 odst. 3 uvedeného nařízení. V případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely může ECB uplatnit výjimku stanovenou v čl. 16 odst. 5 písm. b) nebo čl. 19 odst. 3 písm. d) nařízení (EU) 2018/1725. |
|
(11) |
Výkon práv subjektů údajů uvedených v článcích 17, 18, 20, 21, 22 a 23 nařízení (EU) 2018/1725 může znemožnit nebo vážně ohrozit dosažení určitých účelů, včetně účelů archivace ve veřejném zájmu, účelů vědeckého či historického výzkumu nebo statistických účelů. Toto rozhodnutí by proto mělo stanovit odchylku od těchto práv v souladu s čl. 25 odst. 3 nebo 4 nařízení (EU) 2018/1725, s výhradou vhodných záruk. |
|
(12) |
ECB by měla odůvodnit, proč jsou taková omezení práv subjektů údajů v demokratické společnosti nezbytně nutná a přiměřená k zajištění cílů, které sleduje při výkonu veřejné moci a funkcí s ní spojených, a jak ECB respektuje podstatu základních práv a svobod při ukládání takového omezení. |
|
(13) |
V tomto rámci je ECB povinna respektovat v maximální možné míře základní práva subjektů údajů, zejména ta, která se týkají práva na poskytování informací, práva na přístup k údajům a jejich opravu, práva na výmaz, na omezení zpracování, práva na oznamování případů porušení zabezpečení osobních údajů subjektu údajů nebo na důvěrnost komunikace, jak je zakotveno v nařízení (EU) 2018/1725. |
|
(14) |
Je však možné, že ECB bude muset omezit informace poskytované subjektům údajů a práva subjektů údajů s cílem chránit plnění svých úkolů v oblasti dohledu, zejména vlastní vyšetřování a postupy, vyšetřování a postupy jiných veřejných orgánů a základní práva a svobody jiných osob související s vyšetřováními nebo jinými postupy ECB. |
|
(15) |
ECB by měla zrušit omezení, které již bylo uplatněno, pokud již není nutné. |
|
(16) |
Pověřenec pro ochranu osobních údajů v ECB by měl přezkoumat uplatňování omezení s cílem zajistit soulad s tímto rozhodnutím a s nařízením (EU) 2018/1725. |
|
(17) |
V souladu s čl. 41 odst. 2 nařízení (EU) 2018/1725 byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 12. března 2021, |
PŘIJALA TOTO ROZHODNUTÍ:
Článek 1
Předmět a oblast působnosti
1. Toto rozhodnutí stanoví pravidla týkající se omezení práv subjektů údajů ze strany ECB při provádění činností zpracování osobních údajů, které jsou vedeny v centrálním rejstříku, v souvislosti s plněním jejích úkolů v oblasti dohledu podle nařízení (EU) č. 1024/2013.
2. Práva subjektů údajů, která mohou být omezena, jsou vymezena v těchto článcích nařízení (EU) 2018/1725:
|
a) |
článek 14 (transparentní informace, sdělení a postupy pro výkon práv subjektu údajů); |
|
b) |
článek 15 (informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů); |
|
c) |
článek 16 (informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů); |
|
d) |
článek 17 (právo subjektu údajů na přístup k osobním údajům); |
|
e) |
článek 18 (právo na opravu); |
|
f) |
článek 19 (právo na výmaz („právo být zapomenut“)); |
|
g) |
článek 20 (právo na omezení zpracování); |
|
h) |
článek 21 (oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování); |
|
i) |
článek 22 (právo na přenositelnost údajů); |
|
j) |
článek 35 (oznamování případů porušení zabezpečení osobních údajů subjektu údajů); |
|
k) |
článek 36 (důvěrnost elektronických komunikací); |
|
l) |
článek 4, v rozsahu, v jakém jeho ustanovení odpovídají právům a povinnostem stanoveným v článcích 14 až 22 nařízení (EU) 2018/1725. |
Článek 2
Definice
Pro účely tohoto rozhodnutí se použijí tyto definice:
|
1) |
„zpracováním“ se rozumí zpracování ve smyslu čl. 3 bodu 3 nařízení (EU) 2018/1725; |
|
2) |
„osobními údaji“ se rozumí osobní údaje ve smyslu čl. 3 bodu 1 nařízení (EU) 2018/1725; |
|
3) |
„subjektem údajů“ se rozumí identifikovaná nebo identifikovatelná fyzická osoba; identifikovatelnou osobou je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; |
|
4) |
„centrálním rejstříkem“ se rozumí veřejně přístupný archiv všech činností zpracování osobních údajů prováděných v ECB, který vede pověřenec pro ochranu osobních údajů v ECB a na který se odkazuje v článku 9 rozhodnutí (EU) 2020/655 (ECB/2020/28); |
|
5) |
„správcem“ se rozumí ECB, a zejména příslušná organizační jednotka ECB, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů a která odpovídá za operaci zpracování. |
|
6) |
„orgány a subjekty Unie“ se rozumějí orgány a subjekty Unie ve smyslu čl. 3 bodu 10 nařízení (EU) 2018/1725. |
Článek 3
Uplatňování omezení
1. Správce může omezit práva uvedená v čl. 1 odst. 2 s cílem chránit zájmy a cíle uvedené v čl. 25 odst. 1 nařízení (EU) 2018/1725, zejména pokud by výkon těchto práv ohrozil nebo jinak nepříznivě ovlivnil:
|
a) |
plnění úkolů ECB v oblasti dohledu podle nařízení (EU) č. 1024/2013, včetně řádného fungování systému dohledu; |
|
b) |
bezpečnost a odolnost úvěrových institucí a stabilitu finančního systému v rámci Unie a každého členského státu; |
|
c) |
účinnost oznamování porušení pravidel v souladu s článkem 23 nařízení (EU) č. 1024/2013. |
2. Za účelem ochrany zájmů a cílů uvedených v čl. 25 odst. 1 nařízení (EU) 2018/1725 může správce omezit práva uvedená v čl. 1 odst. 2 ve vztahu k osobním údajům získaným od jiných orgánů a institucí Unie a příslušných orgánů členských států nebo třetích zemí nebo mezinárodních organizací, a to za kterékoli z těchto okolností:
|
a) |
pokud by výkon těchto práv mohl být omezen jinými orgány a institucemi Unie, od nichž byly osobní údaje získány, na základě jiných aktů stanovených v článku 25 nařízení (EU) 2018/1725 nebo v souladu s kapitolou IX uvedeného nařízení nebo se zřizovacími akty jiných orgánů a institucí Unie; |
|
b) |
pokud by výkon těchto práv mohl být omezen příslušnými orgány členských států, od nichž byly osobní údaje získány, na základě aktů uvedených v článku 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (4) nebo na základě vnitrostátních opatření, jimiž se provádí čl. 13 odst. 3, čl. 15 odst. 3 nebo čl. 16 odst. 3 směrnice Evropského parlamentu a Rady (EU) 2016/680 (5); |
|
c) |
pokud by výkon těchto práv mohl ohrozit nebo jinak nepříznivě ovlivnit spolupráci ECB se třetími zeměmi nebo mezinárodními organizacemi, od nichž byly informace získány, při plnění jejích úkolů, ledaže zájmy nebo základní práva a svobody subjektů údajů převažují nad zájmem ECB na této spolupráci; |
3. Správce je před uplatněním omezení za okolností uvedených v odst. 2 písm. a) a b) povinen
|
a) |
vzít na vědomí ujednání uzavřená s příslušnými orgány a institucemi Unie nebo s příslušnými orgány členských států a |
|
b) |
konzultovat příslušné orgány a instituce Unie nebo příslušné orgány členských států, ledaže je správci zřejmé, že se omezení uplatňuje na základě některého z aktů nebo opatření uvedených v odst. 2 písm. a) a b). |
4. Správce může omezení uplatnit pouze tehdy, pokud na základě individuálního posouzení dojde k závěru, že omezení:
|
a) |
je nezbytné a přiměřené s ohledem na rizika pro práva a svobody subjektu údajů a |
|
b) |
respektuje podstatu základních práv a svobod v demokratické společnosti. |
5. Správce své posouzení zdokumentuje v oznámení o interním posouzení, které obsahuje právní základ, důvody omezení, práva subjektů údajů, která jsou omezena, dotčené subjekty údajů, nezbytnost a přiměřenost omezení a pravděpodobnou délku jeho trvání.
6. Rozhodnutí správce o omezení práv subjektu údajů podle tohoto rozhodnutí se přijímá na úrovni vedoucího nebo zástupce vedoucího příslušné organizační složky, v níž se provádí hlavní operace zpracování osobních údajů.
Článek 4
Odchylky
1. V případě zpracování pro účely vědeckého nebo historického výzkumu nebo pro statistické účely může správce uplatnit odchylky v souladu s čl. 25 odst. 3 nařízení (EU) 2018/1725. Za tímto účelem se správce může odchýlit od práv uvedených v článcích 17, 18, 20 a 23 nařízení (EU) 2018/1725 v souladu s podmínkami stanovenými v čl. 25 odst. 3 uvedeného nařízení.
2. V případě zpracování pro účely archivace ve veřejném zájmu může správce uplatnit odchylky v souladu s čl. 25 odst. 4 nařízení (EU) 2018/1725. Za tímto účelem se správce může odchýlit od práv uvedených v článcích 17, 18, 20, 21, 22 a 23 nařízení (EU) 2018/1725 v souladu s podmínkami stanovenými v čl. 25 odst. 4 uvedeného nařízení.
3. Tyto odchylky podléhají vhodným zárukám v souladu s článkem 13 nařízení (EU) 2018/1725 a článkem 8 tohoto rozhodnutí.
Článek 5
Poskytování obecných informací o omezeních
Správce poskytuje obecné informace o možném omezení práv subjektu údajů takto:
|
a) |
správce uvede práva, která mohou být omezena, důvody omezení a možnou délku jeho trvání; |
|
b) |
správce zahrne informace uvedené v písmeni a) do svých oznámení o ochraně osobních údajů, prohlášení o ochraně soukromí a záznamů o činnostech zpracování podle článku 31 nařízení (EU) 2018/1725. |
Článek 6
Omezení práva subjektů údajů na přístup k osobním údajům, práva na opravu, práva na výmaz nebo práva na omezení zpracování
1. Pokud správce zcela nebo částečně omezí právo na přístup k údajům, právo na opravu, právo na výmaz nebo právo na omezení zpracování uvedené v článku 17, článku 18, čl. 19 odst. 1 a čl. 20 odst. 1 nařízení (EU) 2018/1725, je povinen ve své písemné odpovědi na žádost ve lhůtě uvedené v čl. 11 odst. 5 rozhodnutí (EU) 2020/655 (ECB/2020/28) informovat dotčený subjekt údajů o uplatněném omezení, o jeho hlavních důvodech a o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.
2. Správce uchovává oznámení o interním posouzení uvedené v čl. 3 odst. 5 a případně dokumenty obsahující relevantní věcné a právní prvky, a na požádání je zpřístupní evropskému inspektorovi ochrany údajů.
3. Správce může odložit, neprovést nebo odepřít poskytnutí informací o důvodech omezení uvedeného v odstavci 1 po dobu, kdy by toto poskytnutí informací mařilo účel omezení. Jakmile správce zjistí, že poskytnutí informací již nemaří účel omezení, poskytne tyto informace subjektu údajů.
Článek 7
Délka omezení
1. Správce omezení zruší, jakmile pominou okolnosti, které toto omezení odůvodňovaly.
2. Pokud správce zruší omezení podle odstavce 1, je povinen neprodleně:
|
a) |
informovat subjekt údajů o hlavních důvodech, na nichž bylo uplatnění omezení založeno, pokud tak již neučinil; |
|
b) |
informovat subjekt údajů o právu podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie; |
|
c) |
přiznat subjektu údajů právo, které podléhalo zrušenému omezení. |
3. Správce každých šest měsíců opětovně posoudí potřebu zachovat omezení uplatňované podle tohoto rozhodnutí a opětovné posouzení zdokumentuje v oznámení o interním posouzení.
Článek 8
Záruky
ECB uplatňuje organizační a technické záruky vymezené v příloze s cílem zabránit zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání.
Článek 9
Přezkum pověřencem pro ochranu osobních údajů
1. Pokud správce omezí uplatňování práv subjektu údajů, je povinen zajistit průběžné zapojení pověřence pro ochranu osobních údajů. Platí zejména tato ustanovení:
|
a) |
správce bez zbytečného odkladu konzultuje pověřence pro ochranu osobních údajů; |
|
b) |
správce pověřenci pro ochranu osobních údajů na žádost poskytne přístup k veškerým dokumentům obsahujícím relevantní věcné a právní prvky včetně oznámení o interním posouzení podle čl. 3 odst. 5; |
|
c) |
správce zdokumentuje, jak byl pověřenec pro ochranu osobních údajů zapojen, včetně příslušných poskytnutých informací, a zejména data první konzultace podle písmene a); |
|
d) |
pověřenec pro ochranu osobních údajů může správce požádat, aby omezení přezkoumal; |
|
e) |
správce pověřence pro ochranu osobních údajů bez zbytečného odkladu a v každém případě před uplatněním jakéhokoli omezení písemně informuje o výsledku požadovaného přezkumu. |
2. Správce informuje pověřence pro ochranu osobních údajů o zrušení omezení.
Článek 10
Vstup v platnost
Toto rozhodnutí vstupuje v platnost dvacátým dnem po zveřejnění v Úředním věstníku Evropské unie.
Ve Frankfurtu nad Mohanem dne 7. září 2021.
Prezidentka ECB
Christine LAGARDE
(1) Úř. věst. L 295, 21.11.2018, s. 39.
(2) Nařízení Rady (EU) č. 1024/2013 ze dne 15. října 2013, kterým se Evropské centrální bance svěřují zvláštní úkoly týkající se politik, které se vztahují k obezřetnostnímu dohledu nad úvěrovými institucemi (Úř. věst. L 287, 29.10.2013, s. 63).
(3) Rozhodnutí Evropské centrální banky (EU) 2020/655 ze dne 5. května 2020, kterým se přijímají prováděcí pravidla týkající se ochrany údajů v Evropské centrální bance a zrušuje rozhodnutí ECB/2007/1 (ECB/2020/28) (Úř. věst. L 152, 15.5.2020, s. 13).
(4) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(5) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).
PŘÍLOHA
Mezi organizační a technické záruky, které ECB uplatňuje s cílem zabránit zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání, patří:
|
a) |
pokud jde o osoby:
|
|
b) |
pokud jde o postupy:
|
|
c) |
pokud jde o technologii:
|