02022D2359 — NL — 11.04.2024 — 001.001

Onderstaande tekst dient louter ter informatie en is juridisch niet bindend. De EU-instellingen zijn niet aansprakelijk voor de inhoud. Alleen de besluiten die zijn gepubliceerd in het Publicatieblad van de Europese Unie (te raadplegen in EUR-Lex) zijn authentiek. Deze officiële versies zijn rechtstreeks toegankelijk via de links in dit document

►B

BESLUIT (EU) 2022/2359 VAN DE EUROPESE CENTRALE BANK

van 22 november 2022

tot vaststelling van interne voorschriften betreffende beperkingen van de rechten van betrokkenen in verband met de interne werking van de Europese Centrale Bank (ECB/2022/42)

(PB L 311 van 2.12.2022, blz. 176)

Gewijzigd bij:

 

 

Publicatieblad

  nr.

blz.

datum

►M1

BESLUIT (EU) 2024/901 VAN DE EUROPESE CENTRALE BANK  van 12 maart 2024

  L 901

1

22.3.2024



▼B

BESLUIT (EU) 2022/2359 VAN DE EUROPESE CENTRALE BANK

van 22 november 2022

tot vaststelling van interne voorschriften betreffende beperkingen van de rechten van betrokkenen in verband met de interne werking van de Europese Centrale Bank (ECB/2022/42)



Artikel 1

Onderwerp en toepassingsgebied

1.  
Dit besluit stelt de regels vast met betrekking tot de beperking van de rechten van betrokkenen door de ECB bij activiteiten in verband met de verwerkingen van persoonsgegevens, zoals opgenomen in het centraal register, die zij in het kader van haar interne werking uitvoert.
2.  

De rechten van betrokkenen die kunnen worden beperkt, zijn opgenomen in de volgende artikelen van Verordening (EU) 2018/1725:

a) 

artikel 14: (transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene);

b) 

artikel 15 (te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld);

c) 

artikel 16 (te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen);

d) 

artikel 17 (recht van inzage van de betrokkene);

e) 

artikel 18 (recht op rectificatie);

f) 

artikel 19 (recht op wissing van gegevens (“recht om te worden vergeten”));

g) 

artikel 20 (recht op beperking van de verwerking);

h) 

artikel 21 (kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of beperking van de verwerking);

i) 

artikel 22 (recht op overdraagbaarheid van gegevens);

j) 

artikel 35 (mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene);

k) 

artikel 36 (vertrouwelijkheid van elektronische communicatie);

l) 

artikel 4 voor zover de bepalingen ervan overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 14 tot en met 22 van Verordening (EU) 2018/1725.

Artikel 2

Definities

Voor de toepassing van dit besluit gelden de volgende definities:

1) 

“verwerking”: verwerking als gedefinieerd in artikel 3, punt 3, van Verordening (EU) 2018/1725;

2) 

“persoonsgegevens”: persoonsgegevens als gedefinieerd in artikel 3, punt 1, van Verordening (EU) 2018/1725;

3) 

“betrokkene”: een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbare natuurlijk persoon wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

4) 

“centraal register”: het publiek beschikbare register van alle bij de ECB uitgevoerde activiteiten op het gebied van de verwerking van persoonsgegevens, dat wordt bijgehouden door de functionaris voor gegevensbescherming en bedoeld in artikel 9 van Besluit (EU) 2020/655 (ECB/2020/28);

5) 

“verwerkingsverantwoordelijke”: de ECB, en met name de bevoegde organisatorische eenheid binnen de ECB, die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt en die verantwoordelijk is voor de verwerking;

6) 

“instellingen en organen van de Unie”: instellingen en organen van de Unie als gedefinieerd in artikel 3, punt 10, van Verordening (EU) 2018/1725.

Artikel 3

Toepassing van beperkingen

1.  

Voor de activiteiten in verband met de verwerkingen van persoonsgegevens als bedoeld in artikel 1, lid 1, kan de verwerkingsverantwoordelijke de in artikel 1, lid 2, bedoelde rechten beperken om de in artikel 25, lid 1, van Verordening (EU) 2018/1725 genoemde belangen en doelstellingen te beschermen, indien de uitoefening van die rechten een van de volgende activiteiten in gevaar zou brengen:

a) 

de beoordeling en melding van mogelijke inbreuken op professionele verplichtingen en, voor zover nodig, het daaropvolgende onderzoek en de opvolging daarvan, met inbegrip van schorsing uit de functie, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), f) en/of h), van Verordening (EU) 2018/1725;

b) 

de informele en/of formele procedures inzake waardigheid op het werk, met inbegrip van de behandeling van zaken die kunnen leiden tot in deel 0.5 van de ECB-personeelsverordeningen en -regelingen genoemde procedure, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), f) en/of h), van Verordening (EU) 2018/1725;

c) 

de goede uitoefening van de functies van DG/HR uit hoofde van het arbeidsrechtelijke kader bij de ECB met betrekking tot prestatiebeheer, bevorderingsprocedures of de rechtstreekse benoeming van ECB-personeel, selectieprocedures en professionele ontwikkeling, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punt c) en/of punt h), van Verordening (EU) 2018/1725;

d) 

het onderzoek van door ECB-personeel ingestelde interne beroepsprocedures (onder meer door middel van administratieve toetsings- of klachtenprocedures, bijzondere beroepsprocedures of medische commissies), en de opvolging daarvan, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c) en/of h), van Verordening (EU) 2018/1725;

e) 

het rapporteren van illegale activiteiten of schendingen van professionele verplichtingen via het klokkenluidersinstrument van de ECB of de beoordeling van verzoeken van het bureau Naleving en Governance (CGO) om klokkenluiders of getuigen te beschermen tegen represailles, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), f) en/of h), van Verordening (EU) 2018/1725;

f) 

de activiteiten van het CGO uit hoofde van het ethische kader van de ECB, zoals opgenomen in deel 0 van de ECB-personeelsverordeningen en -regelingen en de in deel 1A van de ECB-personeelsverordeningen en -regelingen opgenomen regels voor selectie en benoeming, en het monitoren van de naleving van particuliere financiële activiteiten, met inbegrip van de functies die worden uitgeoefend krachtens artikel 0.4.3.3 van de ECB-personeelsverordeningen en -regelingen benoemde externe dienstverlener en de beoordeling en opvolging van mogelijke inbreuken als gevolg van een dergelijke monitoring door het CGO, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), f) en/of h) van Verordening (EU) 2018/1725;

g) 

door het directoraat Interne Audit verrichte audits, onderzoeksactiviteiten en interne administratieve onderzoeken, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c) en/of h), van Verordening (EU) 2018/1725;

h) 

de uitoefening van de taken van de ECB krachtens Besluit (EU) 2016/456 (ECB/2016/3), met name de verplichting van de ECB om enige gegevens inzake onwettige activiteiten te rapporteren, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), g) en/of h), van Verordening (EU) 2018/1725;

i) 

door de functionaris voor gegevensbescherming verrichte onderzoeken naar verwerkingsactiviteiten bij de ECB krachtens artikel 4, punt b), van Besluit (EU) 2020/655 (ECB/2020/28), waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punt b) en/of punt h), van Verordening (EU) 2018/1725);

j) 

interne of met externe ondersteuning uitgevoerde onderzoeken met het oog op het waarborgen van de fysieke veiligheid bij de ECB van personen, gebouwen en eigendommen, het verzamelen van inlichtingen over dreigingen en de analyse van veiligheidsincidenten, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), d) en/of h), van Verordening (EU) 2018/1725;

k) 

gerechtelijke procedures waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), en/of h), van Verordening (EU) 2018/1725;

l) 

de samenwerking tussen de ECB en de nationale strafrechtelijke onderzoeksinstanties, met name het verstrekken van vertrouwelijke informatie waarover de ECB beschikt met het oog op openbaarmaking aan een nationale strafrechtelijke onderzoeksinstantie op verzoek van deze autoriteit, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), d) en/of h), van Verordening (EU) 2018/1725;

m) 

de samenwerking tussen de ECB en het EOM uit hoofde van Verordening (EU) 2017/1939, met name de verplichting van de ECB om informatie te verstrekken over strafbare feiten waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten b), c), d) en/of h), van Verordening (EU) 2018/1725;

n) 

de samenwerking met EU-organen die een toezichts- of auditfunctie uitoefenen waaraan de ECB is onderworpen, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punten c), d), g) en/of h), van Verordening (EU) 2018/1725;

o) 

de uitoefening van de taken van een bemiddelaar uit hoofde van het interne kader voor geschillenbeslechting bij de ECB, met name het ondersteunen bij het helpen oplossen of voorkomen van een arbeidsgeschil, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punt h), van Verordening (EU) 2018/1725;

p) 

de verlening van adviesdiensten door de sociaal raadgever ter ondersteuning van ECB-personeel, waarvan de waarborging in overeenstemming is met artikel 25, lid 1, punt h), van Verordening (EU) 2018/1725.

De categorieën persoonsgegevens ten aanzien waarvan de in lid 1 genoemde beperkingen kunnen worden toegepast, zijn opgenomen in de bijlagen I tot en met XIV van dit besluit.

2.  

De verwerkingsverantwoordelijke mag een beperking alleen toepassen indien hij op basis van een beoordeling per geval tot de conclusie komt dat de beperking:

a) 

noodzakelijk en evenredig is, rekening houdend met de risico’s voor de rechten en vrijheden van de betrokkene, en

b) 

de wezenlijke inhoud respecteert van de fundamentele rechten en vrijheden in een democratische samenleving.

3.  
De verwerkingsverantwoordelijke documenteert zijn beoordeling in een interne beoordelingsnota, waarin de rechtsgrondslag, de redenen voor de beperking, rechten van de betrokkenen die worden beperkt, de getroffen betrokkenen, de noodzaak en evenredigheid van de beperking en de waarschijnlijke duur van de beperking worden vermeld.

▼M1

4.  
Een door de verwerkingsverantwoordelijke te nemen besluit om de rechten van een betrokkene krachtens lid 1 te beperken wordt genomen op het niveau van het hoofd of plaatsvervangend hoofd van het betrokken bedrijfsonderdeel waarin de belangrijkste verwerkingsactiviteit met betrekking tot de persoonsgegevens wordt uitgevoerd. Indien de belangrijkste verwerkingsactiviteit wordt uitgevoerd door een functie die geen deel uitmaakt van een bedrijfsonderdeel, wordt een dergelijk besluit genomen op het niveau van de persoon die de functie bekleedt.

▼M1

5.  
Voor de toepassing van lid 4 wordt, indien het desbetreffende hoofd van het betrokken bedrijfsonderdeel niet beschikbaar is wegens afwezigheid of een feitelijk of vermeend belangenconflict, of toegang heeft tot relevante vertrouwelijke informatie, een door de verwerkingsverantwoordelijke te nemen besluit om de rechten van een betrokkene krachtens lid 1 te beperken genomen door het plaatsvervangend hoofd van het bedrijfsonderdeel waarin de belangrijkste verwerkingsactiviteit met betrekking tot de persoonsgegevens plaatsvindt.

Indien er geen plaatsvervangend hoofd is, wordt in het geval van afwezigheid, een belangenconflict of toegang tot relevante vertrouwelijke informatie van het desbetreffende hoofd een dergelijk besluit genomen door de daartoe bevoegde lijnmanager.

▼B

Artikel 4

Verstrekking van algemene informatie over beperkingen

De verwerkingsverantwoordelijke verstrekt algemene informatie over de mogelijke beperking van de rechten van betrokkenen als volgt:

a) 

de verwerkingsverantwoordelijke specificeert de rechten die kunnen worden beperkt, de redenen voor de beperking en de mogelijke duur ervan;

b) 

de verwerkingsverantwoordelijke neemt de in punt a) genoemde informatie op in zijn mededelingen inzake gegevensbescherming, privacyverklaringen en registers van de verwerkingsactiviteiten als bedoeld in artikel 31 van Verordening (EU) 2018/1725.

Artikel 5

Beperking van het recht van inzage door betrokkenen, recht op rectificatie, recht op wissing of beperking van de verwerking

1.  
Indien de verwerkingsverantwoordelijke het recht op inzage, het recht op rectificatie, het recht op wissing of het recht op de beperking van de verwerking als bedoeld in respectievelijk de artikelen 17 en 18, artikel 19, lid 1, en artikel 20, lid 1, van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, stelt hij de betrokkene binnen de in artikel 11, lid 5, van Besluit (EU) 2020/655 (ECB/2020/28) bedoelde termijn in zijn schriftelijk antwoord op het verzoek in kennis van de toegepaste beperking, de belangrijkste redenen voor de beperking en van de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en beroep in te stellen bij het Hof van Justitie van de Europese Unie.
2.  
De verwerkingsverantwoordelijke bewaart de in artikel 3, lid 3, bedoelde interne beoordelingsnota en, in voorkomend geval, de documenten met onderliggende feitelijke en juridische elementen en stelt deze op verzoek ter beschikking van de functionaris voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming.
3.  
De verwerkingsverantwoordelijke kan de verstrekking van informatie over de redenen voor de in lid 1 bedoelde beperking uitstellen, achterwege laten of weigeren zolang die verstrekking van informatie het doel van de beperking zou ondermijnen. Zodra de verwerkingsverantwoordelijke vaststelt dat het verstrekken van de informatie het doel van de beperking niet langer ondermijnt, verstrekt de verwerkingsverantwoordelijke die informatie aan de betrokkene.

Artikel 6

Duur van de beperkingen

1.  
De verwerkingsverantwoordelijke heft een beperking op zodra de omstandigheden die de beperking rechtvaardigden niet langer van toepassing zijn.
2.  

Indien de verwerkingsverantwoordelijke krachtens lid 1 een beperking opheft, zal de verwerkingsverantwoordelijke onverwijld:

a) 

voor zover de verwerkingsverantwoordelijke zulks nog niet heeft gedaan, de betrokkene in kennis stellen van de voornaamste redenen waarop de toepassing van een beperking was gebaseerd;

b) 

de betrokkene in kennis te stellen van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie van de Europese Unie;

c) 

de betrokkene het recht te verlenen waarop de opgeheven beperking van toepassing was.

3.  
De verwerkingsverantwoordelijke beoordeelt elke zes maanden opnieuw of een beperking uit hoofde van dit besluit moet worden gehandhaafd en documenteert de herbeoordeling in een interne beoordelingsnota.

Artikel 7

Waarborging

De ECB past de in bijlage XV opgenomen organisatorische en technische waarborgen toe om misbruik of onrechtmatige toegang of overdracht te voorkomen.

Artikel 8

Beoordeling door de functionaris voor gegevensbescherming

1.  

Indien de verwerkingsverantwoordelijke de toepassing van de rechten van een betrokkene beperkt, moet hij de functionaris voor gegevensbescherming voortdurend bij de zaak betrekken. In het bijzonder geldt het volgende:

a) 

de verwerkingsverantwoordelijke raadpleegt onverwijld de functionaris voor gegevensbescherming;

b) 

op verzoek van de functionaris voor gegevensbescherming verleent de verwerkingsverantwoordelijke de functionaris voor gegevensbescherming toegang tot alle documenten die onderliggende feitelijke en juridische elementen bevatten, met inbegrip van de in artikel 3, lid 3, bedoelde interne beoordelingsnota;

c) 

de verwerkingsverantwoordelijke legt vast hoe de functionaris voor gegevensbescherming betrokken is geweest, met inbegrip van relevante informatie die werd gedeeld, met name de datum van de eerste raadpleging als bedoeld in punt a);

d) 

de functionaris voor gegevensbescherming kan de verwerkingsverantwoordelijke verzoeken de beperking te herzien;

e) 

de verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming zonder onnodige vertraging en in elk geval voordat een beperking wordt toegepast, schriftelijk in kennis van het resultaat van de gevraagde beoordeling.

2.  
De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming ervan in kennis wanneer de beperking opnieuw is beoordeeld overeenkomstig artikel 6, lid 3, of wanneer de beperking is opgeheven.

Artikel 9

Inwerkingtreding

Dit besluit treedt in werking op de twintigste dag volgende op die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.



BIJLAGE I

Beoordeling en rapportage van mogelijke inbreuken op de professionele verplichtingen en, indien nodig, het vervolgonderzoek en de opvolging daarvan

De in artikel 3, lid 1, punt a), van dit besluit voorziene beperking kan worden toegepast ten aanzien van de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

beroepsgegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

locatiegegevens;

g) 

gegevens over geleverde goederen of diensten;

h) 

gegevens over externe activiteiten;

i) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

j) 

alle andere gegevens met betrekking tot de beoordeling en melding van mogelijke inbreuken op de beroepstaken en, in voorkomend geval, het daaropvolgende onderzoek en de opvolging daarvan.



BIJLAGE II

Informele en/of formele procedures inzake waardigheid op het werk, met inbegrip van de behandeling van zaken die kunnen leiden tot een procedure zoals opgenomen in deel 0.5 van de personeelsverordeningen en -regelingen van de ECB

De in artikel 3, lid 1, punt b), van dit besluit voorziene beperking kan worden toegepast ten aanzien van de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

locatiegegevens;

g) 

gegevens over de geleverde goederen of diensten;

h) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

i) 

alle andere gegevens die betrekking hebben op informele en/of formele procedures inzake waardigheid op het werk, met inbegrip van de behandeling van zaken die kunnen leiden tot een procedure zoals opgenomen in deel 0.5 van de ECB-personeelsverordeningen en -regelingen.



BIJLAGE III

De uitoefening van de functies van DG/HR in het arbeidsrechtelijke kader van de ECB

De in artikel 3, lid 1, punt c), van dit besluit voorziene beperking kan worden toegepast ten aanzien van de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

locatiegegevens;

g) 

gegevens over geleverde goederen of diensten;

h) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

i) 

alle andere gegevens die zijn opgenomen in of betrekking hebben op de individuele zaaksbehandeling, met name die welke kunnen leiden tot een besluit dat nadelig is voor het ECB-personeel en die zijn opgenomen in of betrekking hebben op het onderzoek van interne beroepsprocedures die door personeelsleden van de ECB zijn ingesteld en de opvolging daarvan.

j) 

alle andere gegevens met betrekking tot selectieprocedures.



BIJLAGE IV

Het onderzoek van interne beroepen en de opvolging daarvan

De in artikel 3, lid 1, punt d), van dit besluit voorziene beperking kan worden toegepast ten aanzien van de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

locatiegegevens;

g) 

gegevens over geleverde goederen of diensten;

h) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

i) 

alle andere gegevens die zijn opgenomen in of betrekking hebben op de individuele zaaksbehandeling, met name die welke kunnen leiden tot een besluit dat nadelig is voor het ECB-personeel en die zijn opgenomen in of betrekking hebben op het onderzoek van interne beroepsprocedures die door personeelsleden van de ECB zijn ingesteld en de opvolging daarvan.



BIJLAGE V

Het melden van illegale activiteiten of inbreuken op professionele verplichtingen die via enigerlei kanaal zijn ingediend, met inbegrip van het klokkenluidersinstrument van de ECB of de beoordeling getuigen door het bureau Naleving en Governance van verzoeken om bescherming van klokkenluiders

De in artikel 3, lid 1, punt e), van dit besluit genoemde beperking kan worden toegepast ten aanzien van de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

locatiegegevens;

g) 

gegevens over de geleverde goederen of diensten;

h) 

gegevens over externe activiteiten;

i) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

j) 

alle andere gegevens met betrekking tot een vermeende onwettige activiteit of vermeende schending van professionele verplichtingen of een verzoek om bescherming van klokkenluiders of getuigen.



BIJLAGE VI

Activiteiten van het CGO in het kader van de ECB-personeelsverordeningen en -regelingen

De in artikel 3, lid 1, punt f), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

h) 

alle andere gegevens met betrekking tot activiteiten die zijn gerapporteerd aan of onderzocht door het CGO.



BIJLAGE VII

Door het directoraat Interne audit uitgevoerde audits en onderzoeksactiviteiten of interne administratieve onderzoeken

De in artikel 3, lid 1, punt g), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

locatiegegevens;

h) 

gegevens over geleverde goederen of diensten;

i) 

sociale en gedragsgegevens en andere soorten gegevens die specifiek zijn voor de verwerking;

j) 

informatie over administratieve procedures of andere onderzoeken;

k) 

elektronische verkeersgegevens;

l) 

videobewakingsgegevens;

m) 

geluidsopnamen;

n) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

o) 

gegevens over strafprocedures, sancties of andere administratieve boetes;

p) 

alle andere gegevens met betrekking tot door het directoraat Interne Audit uitgevoerde audits en eventuele onderzoeksactiviteiten of interne administratieve onderzoeken.



BIJLAGE VIII

De uitoefening van de functies van de ECB krachtens Besluit (EU) 2016/456 (ECB/2016/3)

De in artikel 3, lid 1, punt h), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

locatiegegevens;

h) 

gegevens over geleverde goederen of diensten;

i) 

elektronische verkeersgegevens;

j) 

videobewakingsgegevens;

k) 

geluidsopnamen;

l) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

m) 

alle andere gegevens met betrekking tot de uitoefening van de functies van de ECB krachtens Besluit (EU) 2016/456 (ECB/2016/3).



BIJLAGE IX

Onderzoeken die krachtens artikel 4, punt b), van Besluit (EU) 2020/655 (ECB/2020/28) door de functionaris voor gegevensbescherming worden verricht

De in artikel 3, lid 1, punt i), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

beroepsgegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

locatie van de gegevens;

h) 

gegevens over de geleverde goederen of diensten;

i) 

elektronische verkeersgegevens;

j) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

k) 

alle andere gegevens met betrekking tot een door de functionaris voor gegevensbescherming krachtens artikel 4, punt b), van Besluit (EU) 2020/655 (ECB/2020/28) uitgevoerd onderzoek.



BIJLAGE X

Onderzoeken met het oog op het waarborgen van de fysieke veiligheid bij de ECB van personen, gebouwen en eigendommen en voor het verzamelen van inlichtingen over dreigingen en analyse van veiligheidsincidenten

De in artikel 3, lid 1, punt j), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

locatiegegevens;

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

elektronische verkeersgegevens;

g) 

videobewakingsgegevens;

h) 

geluidsopnamen;

i) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

j) 

gegevens over lopende strafzaken of een strafblad;

k) 

alle andere gegevens met betrekking tot onderzoeken met het oog op het waarborgen van de fysieke beveiliging bij de ECB van personen, gebouwen en eigendommen, met betrekking tot inlichtingen over dreigingen of de analyse van veiligheidsincidenten.



BIJLAGE XI

Gerechtelijke procedures

De in artikel 3, lid 1, punt k), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

beroepsgegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

locatie van de gegevens;

h) 

elektronische verkeersgegevens;

i) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

j) 

alle andere gegevens met betrekking tot gerechtelijke procedures.



BIJLAGE XII

De samenwerking tussen de ECB en nationale met strafrechtelijke vervolging belaste autoriteiten, het EOM en EU-organen die een toezichts- of auditfunctie uitoefenen waaraan de ECB is onderworpen

De in artikel 3, lid 1, punten l), m) en n), van dit besluit voorziene beperking kan worden toegepast op alle in de bijlagen I tot en met XI vermelde categorieën persoonsgegevens, alsmede op de in de desbetreffende register van verwerkingsactiviteiten vermelde categorieën gegevens, met name de volgende categorieën persoonsgegevens:

a) 

identificatiegegevens;

b) 

contactgegevens;

c) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

d) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

e) 

gegevens over gezin, levensstijl en sociale omstandigheden;

f) 

gegevens over externe activiteiten;

g) 

locatiegegevens;

h) 

gegevens over de geleverde goederen of diensten;

i) 

videobewakingsgegevens;

j) 

elektronische verkeersgegevens;

k) 

geluidsopnamen;

l) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

m) 

informatie over administratieve procedures of andere onderzoeken;

n) 

gegevens over strafprocedures, sancties of andere administratieve boetes;

o) 

alle andere gegevens met betrekking tot de samenwerking tussen de ECB en de met strafrechtelijke vervolging belaste autoriteiten, het EOM en EU-organen die een toezichts- of auditfunctie uitoefenen waaraan de ECB is onderworpen.



BIJLAGE XIII

De uitoefening van de taken van de bemiddelaar

De in artikel 3, lid 1, punt o), van dit besluit genoemde kan worden toegepast op de gegevenscategorieën die in de desbetreffende verwerkingsregisters worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

contactgegevens;

b) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

c) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

d) 

gegevens over gezin, levensstijl en sociale omstandigheden;

e) 

sociale en gedragsgegevens en andere soorten gegevens die specifiek zijn voor de verwerking;

f) 

informatie over administratieve procedures of andere reglementaire onderzoeken;

g) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

h) 

alle andere gegevens met betrekking tot de uitvoering van de taken van de bemiddelaar.



BIJLAGE XIV

De verlening van adviesdiensten door de sociaal raadgever

De in artikel 3, lid 1, punt p), van dit besluit voorziene beperking kan worden toegepast op de gegevenscategorieën die in de desbetreffende registers van verwerkingsactiviteiten worden vermeld, met name de volgende categorieën persoonsgegevens:

a) 

contactgegevens;

b) 

professionele gegevens, met inbegrip van gegevens over onderwijs, opleiding en werkgelegenheid;

c) 

financiële details (bv. informatie over loon, toelagen of privétransacties);

d) 

gegevens over gezin, levensstijl en sociale omstandigheden;

e) 

sociale en gedragsgegevens en andere soorten gegevens die specifiek zijn voor de verwerking;

f) 

informatie over administratieve procedures of andere reglementaire onderzoeken;

g) 

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, genetische gegevens of biometrische gegevens, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid;

h) 

alle andere gegevens met betrekking tot de verlening van adviesdiensten door de sociaal raadgever.



BIJLAGE XV

Organisatorische en technische waarborgen bij de ECB om misbruik of onrechtmatige verwerking van persoonsgegevens te voorkomen omvatten:

a) 

met betrekking tot personen:

i) 

alle personen die toegang hebben tot niet-openbare ECB-informatie en die verantwoordelijk zijn voor het kennen en toepassen van het beleid en de regels van de ECB inzake het beheer en de vertrouwelijkheid van informatie;

ii) 

een veiligheidsmachtigingsproces dat waarborgt dat alleen gescreende en gemachtigde personen toegang hebben tot de gebouwen van de ECB en haar niet-openbare informatie;

iii) 

maatregelen ter vergroting van het bewustzijn op het gebied van IT-, informatie- en fysieke veiligheid en opleidingen die regelmatig worden georganiseerd voor ECB-personeel en externe dienstverleners;

iv) 

ECB-personeel dat onderworpen is aan strikte regels inzake beroepsgeheim die zijn neergelegd in de arbeidsvoorwaarden voor het ECB-personeel en de ECB-personeelsverordeningen en-regelingen, waarvan de schending aanleiding geeft tot disciplinaire sancties;

v) 

regels en verplichtingen betreffende de toegang van externe dienstverleners of contractanten tot niet-openbare ECB-informatie, die zijn vastgelegd in contractuele regelingen;

vi) 

toegangscontroles, met inbegrip van beveiligingszonering, die worden toegepast om ervoor te zorgen dat de toegang van personen tot niet-openbare informatie van de ECB wordt toegestaan en beperkt op basis van zakelijke behoeften en beveiligingsvereisten;

b) 

met betrekking tot processen:

i) 

er zijn processen ingevoerd om te zorgen voor een gecontroleerde tenuitvoerlegging, exploitatie en onderhoud van IT-toepassingen ter ondersteuning van de werkzaamheden van de ECB;

ii) 

gebruikmaking van IT-toepassingen voor de werkzaamheden van de ECB die voldoen aan de beveiligingsnormen van de ECB;

iii) 

beschikken over een uitgebreid programma voor fysieke beveiliging dat voortdurend rekening houdt met veiligheidsdreigingen en fysieke beveiligingsmaatregelen omvat om een adequaat beschermingsniveau te waarborgen;

c) 

met betrekking tot technologie:

i) 

alle elektronische gegevens die worden opgeslagen in IT-applicaties die voldoen aan de beveiligingsnormen van de ECB en aldus worden beschermd tegen ongeoorloofde toegang of wijziging;

ii) 

IT-toepassingen worden uitgevoerd, geëxploiteerd en onderhouden op een beveiligingsniveau dat in verhouding staat tot de behoeften van de IT-applicaties op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid, op basis van bedrijfseffectenanalyses;

iii) 

het beveiligingsniveau van IT-applicaties dat regelmatig wordt gevalideerd door middel van technische en niet-technische beveiligingsbeoordelingen;

iv) 

toegang tot niet-openbare informatie van de ECB wordt verleend overeenkomstig het “need-to-know”-beginsel, en bevoorrechte toegang wordt strikt beperkt en streng gecontroleerd;

v) 

er worden controles uitgevoerd om feitelijke en potentiële inbreuken op de beveiliging op te sporen en op te volgen.