(1)

Banca Centrală Europeană (BCE) își îndeplinește atribuțiile în conformitate cu tratatele și cu Regulamentul (UE) nr. 1024/2013 al Consiliului (2).

(2)

Potrivit articolului 45 alineatul (3) din Regulamentul (UE) 2018/1725, Decizia (UE) 2020/655 a Băncii Centrale Europene (BCE/2020/28) (3) stabilește normele generale de punere în aplicare a Regulamentului (UE) 2018/1725 în ceea ce privește BCE. În special, aceasta prevede normele referitoare la numirea și rolul responsabilului cu protecția datelor al BCE (RPD), inclusiv atribuțiile, obligațiile și competențele RPD.

(3)

În exercitarea atribuțiilor care îi sunt conferite, BCE și, în special, unitatea organizațională în cauză acționează în calitate de operator de date în măsura în care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal.

(4)

În temeiul articolului 4 alineatul (1) din Regulamentul (UE) nr. 1024/2013, BCE are competența exclusivă de a îndeplini, în scopuri de supraveghere și în vederea asigurării siguranței și solidității instituțiilor de credit și a stabilității sistemului financiar, atribuții specifice în legătură cu toate instituțiile de credit stabilite în statele membre care participă la mecanismul unic de supraveghere (MUS).

(5)

În îndeplinirea acestor atribuții specifice, BCE prelucrează mai multe categorii de informații care pot fi legate de o persoană fizică identificată sau identificabilă, cum ar fi date de identificare, date de contact, date profesionale, detalii financiare sau administrative, date primite din surse specifice, date privind comunicațiile electronice și datele privind traficul electronic, cazierele judiciare, o descriere a intereselor financiare și nefinanciare, detalii privind relațiile unei persoane sau ale rudelor apropiate ale acesteia cu entități supravegheate sau cu membri ai organului de conducere al entităților supravegheate, precum și date referitoare la funcția pentru care a fost sau poate fi desemnată o persoană. Datele cu caracter personal ar putea, totodată, să facă parte dintr-o evaluare care să includă o evaluare efectuată: în scopul autorizării unei instituții de credit, al retragerii autorizației unei instituții de credit și al unei proceduri privind participațiile calificate; în legătură cu dreptul de stabilire al unei entități supravegheate semnificative; pentru a stabili dacă sunt îndeplinite cerințele de competență și onorabilitate; în legătură cu politica de remunerare a entității supravegheate semnificative și cu creditele acordate de o astfel de entitate propriilor înalți funcționari și persoanelor înrudite cu acești funcționari; și în legătură cu acuzațiile legate de posibile încălcări ale actelor juridice menționate la articolul 4 alineatul (3) din Regulamentul (UE) nr. 1024/2013.

(6)

Scopul BCE în îndeplinirea acestor atribuții specifice este de a urmări obiective importante de interes public general ale Uniunii. Din acest motiv, îndeplinirea acestor atribuții ar trebui să fie garantată, astfel cum se prevede în Regulamentul (UE) 2018/1725, în special la articolul 25 alineatul (1) literele (c) și (g). În special în îndeplinirea acestor atribuții, BCE acționează în interesul public general al Uniunii în calitate de autoritate publică căreia i s-a încredințat îndeplinirea, în scopuri de supraveghere, a unor atribuții specifice în legătură cu toate instituțiile de credit stabilite în statele membre care participă la MUS. Printre aceste atribuții se numără funcțiile de monitorizare, inspecție sau reglementare în ceea ce privește exercitarea autorității oficiale legate de supravegherea prudențială a instituțiilor de credit.

(7)

În acest context, este oportun să se precizeze motivele pentru care BCE poate restricționa drepturile persoanelor vizate în ceea ce privește datele obținute în îndeplinirea atribuțiilor sale de supraveghere în temeiul Regulamentului (UE) nr. 1024/2013.

(8)

În conformitate cu articolul 25 alineatul (1) din Regulamentul (UE) 2018/1725, restricțiile privind aplicarea articolelor 14-22, 35 și 36 și, în măsura în care dispozițiile sale corespund drepturilor și obligațiilor prevăzute la articolele 14-22, a articolului 4 din regulamentul respectiv ar trebui stabilite în normele interne sau în actele juridice adoptate în temeiul tratatelor. În consecință, BCE ar trebui să stabilească normele în temeiul cărora poate restricționa drepturile persoanelor vizate în îndeplinirea atribuțiilor sale de supraveghere.

(9)

În timp ce prezenta decizie stabilește regulile în temeiul cărora BCE ar putea restricționa drepturile persoanelor vizate în îndeplinirea atribuțiilor sale de supraveghere, Comitetul executiv intenționează să adopte o decizie separată care să conțină regulile interne privind restricționarea acelor drepturi atunci când BCE procesează date cu caracter personal în legătură cu funcționarea sa internă.

(10)

BCE poate aplica o excepție în conformitate cu Regulamentul (UE) 2018/1725 care face necesar să se considere că o restricție nu este necesară, inclusiv, în special, cele prevăzute la articolul 15 alineatul (4), la articolul 16 alineatul (5), la articolul 19 alineatul (3) și la articolul 35 alineatul (3) din regulamentul respectiv. În scopul prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, BCE poate aplica o excepție prevăzută la articolul 16 alineatul (5) litera (b) sau la articolul 19 alineatul (3) litera (d) din Regulamentul (UE) 2018/1725.

(11)

Exercitarea drepturilor persoanelor vizate menționate la articolele 17, 18, 20, 21, 22 și 23 din Regulamentul (UE) 2018/1725 poate face imposibilă sau poate împiedica în mod semnificativ realizarea anumitor obiective, inclusiv, după caz, a unor obiective de arhivare în interes public, de cercetare științifică sau istorică ori de natură statistică. Prin urmare, prezenta decizie ar trebui să prevadă o derogare de la aceste drepturi în conformitate cu articolul 25 alineatul (3) sau (4) din Regulamentul (UE) 2018/1725, sub rezerva unor garanții adecvate.

(12)

BCE ar trebui să justifice motivul pentru care astfel de restricții ale drepturilor persoanelor vizate sunt strict necesare și proporționale într-o societate democratică pentru a proteja obiectivele urmărite în exercitarea autorității sale oficiale și a funcțiilor legate de aceasta, precum și modul în care BCE respectă esența drepturilor și libertăților fundamentale, impunând, în același timp, o astfel de restricție.

(13)

În acest cadru, BCE are obligația de a respecta, în cea mai mare măsură posibilă, drepturile fundamentale ale persoanelor vizate, în special pe cele referitoare la dreptul la furnizarea de informații, la acces și la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării, astfel cum se prevede în Regulamentul (UE) 2018/1725.

(14)

Cu toate acestea, BCE poate fi obligată să restricționeze informațiile furnizate persoanelor vizate și drepturile persoanelor vizate pentru a proteja îndeplinirea atribuțiilor sale, în special propriile investigații și proceduri, investigațiile și procedurile desfășurate de alte autorități publice și drepturile și libertățile fundamentale ale altor persoane legate de investigațiile sau de alte proceduri pe care le desfășoară.

(15)

BCE ar trebui să elimine o restricție care a fost deja aplicată în măsura în care aceasta nu mai este necesară.

(16)

Responsabilul cu protecția datelor al BCE (RPD al BCE) ar trebui să revizuiască modul în care sunt aplicate restricțiile pentru a asigura conformitatea cu prezenta decizie și cu Regulamentul (UE) 2018/1725.

(17)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 41 alineatul (2) din Regulamentul (UE) 2018/1725 și a emis un aviz în acest sens la 12 martie 2021,