This document is an excerpt from the EUR-Lex website
Document 32019Q1122(03)
Decision of the Single Resolution Board of 18 September 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of informal procedure of the SRB policy on protecting the dignity of the person and preventing psychological harassment and sexual harassment (SRB/ES/2019/33)
Décision du Conseil de Résolution Unique du 18 septembre 2019 portant règles internes relatives à la limitation de certains droits des personnes en matière de traitement des données à caractère personnel dans le cadre d’une procédure informelle prévue par la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel (SRB/ES/2019/33)
Décision du Conseil de Résolution Unique du 18 septembre 2019 portant règles internes relatives à la limitation de certains droits des personnes en matière de traitement des données à caractère personnel dans le cadre d’une procédure informelle prévue par la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel (SRB/ES/2019/33)
JO L 301 du 22.11.2019, p. 10–13
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
- Date of document:
- 18/09/2019; Date d'adoption
- Date of effect:
- 23/11/2019; entrée en vigueur date de publication +1 voir art. 8
- Date of end of validity:
- No end date
- Author:
- Conseil de résolution unique
- Form:
- Règlement de procédure
- Treaty:
- Traité sur le fonctionnement de l’Union européenne
- Legal basis:
-
- 32014R0806 - A42 32014R0806 - A43P5 32014R0806 - A50P3 32014R0806 - A56P1 32014R0806 - A56P2 32014R0806 - A56P3 32014R0806 - A61 32014R0806 - A63 32014R0806 - A64
- 32018R1725
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- Link
- EUROVOC descriptor:
- Subject matter:
- Directory code:
|
22.11.2019 |
FR |
Journal officiel de l’Union européenne |
L 301/10 |
DÉCISION DU CONSEIL DE RÉSOLUTION UNIQUE
du 18 septembre 2019
portant règles internes relatives à la limitation de certains droits des personnes en matière de traitement des données à caractère personnel dans le cadre d’une procédure informelle prévue par la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel (SRB/ES/2019/33)
LE CONSEIL DE RÉSOLUTION UNIQUE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (1), et notamment son article 42, son article 43, paragraphe 5, son article 50, paragraphe 3, son article 56, paragraphes 1 à 3, et ses articles 61, 63 et 64,
vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (2),
vu la consultation avec le Contrôleur européen de la protection des données,
considérant ce qui suit:
|
(1) |
Le Conseil de résolution unique (ci-après le «CRU») accomplit les tâches d’une autorité de résolution dans le cadre du mécanisme de résolution unique (ci-après le «MRU») conformément au règlement (UE) no 806/2014. Le CRU a pour mission d’assurer une résolution ordonnée des défaillances bancaires avec une incidence minimale sur l’économie réelle, le système financier et les finances publiques des États membres participants et au-delà. |
|
(2) |
L’article 12 bis du statut condamne le harcèlement moral et sexuel. La politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et sexuel complète les dispositions de l’article susmentionné en promouvant la culture du respect et la protection de la dignité de l’ensemble du personnel du CRU. Elle introduit aussi des procédures simples et efficaces pour protéger la dignité de toute personne qui travaille pour l’agence. Dans le cadre de cette politique, un membre du personnel ou toute autre personne travaillant pour l’agence en vertu du droit national, peut, si elle pense être victime de harcèlement sexuel ou moral, engager une procédure informelle en demandant l’aide d’un conseiller confidentiel. |
|
(3) |
L’entité du CRU chargée des ressources humaines informe l’entité du CRU chargée de la conformité de tout cas récurrent concernant la même personne, conformément à l’article 7, paragraphe 5, de la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel. L’entité chargée de la conformité informe l’autorité investie du pouvoir de nomination, qui lancera, le cas échéant, la procédure prévue à l’annexe IX du statut; |
|
(4) |
Le CRU, représenté ici par son coordinateur anti-harcèlement, traite plusieurs catégories de données à caractère personnel, en particulier des données d’identification, des coordonnées et des données professionnelles. Les données à caractère personnel sont conservées dans un environnement électronique sécurisé qui empêche que des personnes qui n’ont pas besoin d’en connaître y aient accès ou que ces données leur soient transférées de manière illicite. Les données à caractère personnel traitées sont conservées conformément aux règles du CRU sur la conservation des documents. À la fin de la période de conservation, les informations relatives au dossier incluant des données à caractère personnel sont transférées vers les archives historiques ou supprimées conformément aux principes de minimisation et d’exactitude des données. |
|
(5) |
Les règles internes doivent s’appliquer à l’ensemble des opérations de traitement effectuées par le CRU dans l’exercice de ses activités aux fins de la prévention du harcèlement moral ou sexuel, de la détection et de la poursuite des violations, notamment, du code de déontologie du CRU et du statut. |
|
(6) |
Les règles internes doivent s’appliquer aux opérations de traitement effectuées dans le cadre de procédures informelles, ainsi que pendant le suivi de la mise en œuvre des conclusions de ces procédures. Les règles internes doivent s’appliquer aux opérations de traitement qui font partie des activités associées aux fonctions du responsable de la déontologie et de la conformité du CRU. Ces règles doivent également inclure l’assistance et la coopération fournies par le responsable de la déontologie et de la conformité du CRU aux autorités nationales et organisations internationales en dehors de ses enquêtes administratives. |
|
(7) |
Le CRU doit justifier les raisons pour lesquelles les limitations sont strictement nécessaires et proportionnées dans une société démocratique et expliquer en quoi elles respectent l’essence des libertés et droits fondamentaux. |
|
(8) |
Dans ce cadre, le CRU est tenu de respecter, dans toute la mesure du possible, les droits fondamentaux des personnes concernées au cours des procédures susmentionnées, notamment ceux relatifs au droit d’accès et de rectification, au droit à l’effacement, à la portabilité des données etc., tels que consacrés par le règlement (UE) 2018/1725. |
|
(9) |
Cependant, le CRU peut être contraint de différer la communication des informations à la personne concernée et les droits d’autres personnes concernées afin de protéger, en particulier, les procédures informelles en cours, et les droits d’autres personnes se rapportant à des procédures informelles en cours ou closes. |
|
(10) |
Le CRU peut donc différer la communication des informations aux fins de protéger la victime présumée et/ou la procédure informelle et/ou le registre des données traitées dans le cadre de la procédure informelle. |
|
(11) |
Le CRU doit lever la limitation dès lors que les conditions qui la justifient ne s’appliquent plus. |
|
(12) |
Le CRU doit contrôler les conditions de limitation à intervalles réguliers, tous les six mois, et les réviser le cas échéant. |
|
(13) |
Le CRU doit consulter le DPD pendant les révisions, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objet et champ d’application
1. La présente décision établit les règles internes relatives aux conditions dans lesquelles le CRU, dans le cadre de la procédure informelle prévue par sa politique relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel, peut limiter l’application des droits consacrés aux articles 14 à 21, 35, ainsi qu’à l’article 4 du règlement (UE) 2018/1725, en vertu de son article 25.
2. La présente décision s’applique aux opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de lancer, de mener à bien et de clore une procédure informelle dans le cadre de la politique du CRU relative à la protection de la dignité de la personne et à la prévention du harcèlement moral et du harcèlement sexuel. En ce qui concerne les opérations de traitement des données à caractère personnel effectuées par le CRU aux fins de mener des enquêtes internes, des enquêtes administratives et des procédures disciplinaires, une décision différente concernant la limitation des droits s’applique (pour référence: SRB/ES/2019/32).
3. Les catégories de données concernées sont les données objectives (détails administratifs, numéro de téléphone, adresse privée, communications électroniques), et les données relatives au trafic et/ou les données subjectives (évaluations, ouverture d’enquêtes, rapports d’enquêtes préliminaires), etc.
4. Sous réserve des conditions fixées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: droits d’accès, de rectification, d’effacement et de portabilité, droit à l’information, confidentialité des communications, et principes relatifs au traitement des données pour autant qu’ils concernent un droit.
Article 2
Spécification du responsable du traitement et garanties
1. Les garanties en place pour éviter les violations de données, les fuites ou la divulgation non autorisée sont les suivantes: limitation des droits d’accès aux dossiers électroniques et à la boîte aux lettres fonctionnelle pour l’introduction de réclamations, armoires sécurisées avec des clés, et formation spécifique sur la confidentialité à l’intention des personnes qui traitent les informations.
2. Le responsable de ces opérations de traitement est le CRU, représenté ici par son coordinateur anti-harcèlement.
3. Les données à caractère personnel collectées sont conservées conformément aux règles du CRU sur la conservation des documents. La période de conservation respecte le principe de conservation des données pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité de l’opération de traitement, et, finalement, pour permettre la résolution de litiges judiciaires ou administratifs.
Article 3
Limitations
1. Conformément à l’article 25, paragraphe 1, du règlement (UE) 2018/1725, toute limitation s’applique uniquement pour garantir:
|
— |
la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
|
— |
la protection de la personne concernée ou des droits et libertés d’autrui; |
|
— |
la prévention, la détection et la résolution de manquements à la déontologie, ainsi que les enquêtes en la matière. |
2. Toute limitation est nécessaire et proportionnée dans une société démocratique et respecte l’essence des libertés et droits fondamentaux.
3. Une évaluation de la nécessité et de la proportionnalité est réalisée sur la base des présentes règles internes. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.
4. Les limitations sont dûment contrôlées et une révision périodique est réalisée tous les six mois.
5. Les limitations sont levées dès lors que les circonstances qui les justifient cessent d’exister.
6. Le risque pour les droits et libertés de la personne concernée est la limitation temporaire de l’exercice effectif des droits de la personne concernée, notamment à l’information, à l’effacement ou à la défense, tels que garantis par le règlement (UE) 2018/1725.Ces risques sont pris en considération dans le cadre de l’évaluation de la nécessité et de la proportionnalité mentionnée au paragraphe 3 du présent article.
Article 4
Participation du délégué à la protection des données
1. Pendant toute procédure de limitation et dans les meilleurs délais, le CRU informe son délégué à la protection des données (ci-après le «DPD») de toute limitation de l’application des droits des personnes concernées conformément à la présente décision. Il fournit un accès au dossier et à l’évaluation de la nécessité et de la proportionnalité de la limitation.
2. Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le CRU informe le DPD par écrit du résultat du réexamen demandé et du moment où la limitation a été levée.
Article 5
Communication d’informations aux personnes concernées
1. Le CRU inclut dans les avis de protection des données publiés sur son intranet informant les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations concernant la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.
2. En outre, le CRU informe individuellement les personnes concernées, dans les meilleurs délais et par écrit, de leurs droits concernant des limitations présentes ou futures, sans préjudice du paragraphe suivant.
3. Les personnes concernées sont informées des raisons principales qui justifient l’application d’une limitation et de leur droit de saisir le Contrôleur européen de la protection des données.
Article 6
Droit d’accès de la personne concernée
1. Lorsque les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’un ou de plusieurs cas spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, le CRU limite son examen de la demande à ces seules données à caractère personnel.
2. Lorsque le CRU limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, il prend les mesures suivantes:
|
a) |
il informe la personne concernée, dans sa réponse à la demande, de la limitation appliquée et des principales raisons qui la motivent, ainsi que de la possibilité de saisir le Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne; |
|
b) |
il consigne les raisons de la limitation, dont une évaluation de la nécessité et de la proportionnalité de la limitation; à cette fin, il indique dans le dossier en quoi l’accès nuirait à la finalité des activités d’enquête du CRU ou des limitations appliquées en vertu de l’article 2, paragraphe 3, ou porterait atteinte aux droits et libertés d’autres personnes concernées. |
La communication des informations visées au point a) peut être différée, omise ou refusée conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.
3. Le dossier mentionné au paragraphe 2, point b), et, le cas échéant, les documents contenant des éléments juridiques et factuels sous-jacents sont enregistrés. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande. L’article 25, paragraphe 7, du règlement (UE) 2018/1725 s’applique.
Article 7
Droit de rectification, droit à l’effacement et droit à la limitation du traitement
Lorsque le CRU limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, il prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le dossier conformément à son article 6, paragraphe 3.
Article 8
Entrée en vigueur
La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Fait à Bruxelles, le 18 septembre 2019.
Pour le Conseil de résolution unique
Elke KÖNIG
Présidente
