Privacyverklaring voor audits
Wat is het juridisch kader?
Alle persoonsgegevens worden verwerkt overeenkomstig het EU-recht voor gegevensbescherming, dat wil zeggen Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en van Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
Waarom verwerken we persoonsgegevens?
Persoonsgegevens worden verwerkt in het kader van de interne audits van het directoraat Interne Audit (D/IA), zoals gedefinieerd door de directie in het Audithandvest van de ECB. Het doel van die verwerking is het identificeren, beoordelen, evalueren en registreren van alle relevante informatie voor assurance- en advieswerkzaamheden. Alle persoonsgegevens die voor deze werkzaamheden noodzakelijk zijn, worden verzameld bij de organisatieonderdelen van de ECB. In het algemeen verwerkt D/IA persoonsgegevens die nodig zijn voor een bepaalde taak.
D/IA verwerkt met name persoonsgegevens ten behoeve van de volgende taken:
- uitvoeren van het auditplan van de ECB en het werkprogramma van het Comité van interne auditors (IAC) door middel van assurance- en advieswerkzaamheden en daarover rapporteren;
- beoordelen van de uitvoeringsstatus van auditaanbevelingen;
- verwerken van incidentenmeldingen vanuit organisatieonderdelen van de ECB (m.u.v. rapportages/meldingen die betrekking hebben op plichtsverzuim).
Bovendien verwerkt D/IA gegevens om ondersteuning bij controlewerkzaamheden te kunnen bieden (bv. als secretariaat van het IAC) en externe accountantsdiensten te coördineren (bv. door externe accountants of de Europese Rekenkamer).
Wat is de rechtsgrondslag voor de verwerking van uw persoonsgegevens?
Uw persoonsgegevens worden door de ECB verwerkt bij de uitvoering van een taak in het algemeen belang op grond van artikel 5, lid 1, punt a, van Verordening (EU) 2018/1275, in samenhang met Protocol (Nr. 4) betreffende de Statuten van het Europees Stelsel van centrale banken (ESCB) en van de Europese Centrale Bank (PB C 202 van 7.6.2016, blz. 230) en Verordening (EU) nr. 1024/2013 van de Raad van 15 oktober 2013 waarbij aan de Europese Centrale Bank specifieke taken worden opgedragen betreffende het beleid inzake het prudentieel toezicht op kredietinstellingen (PB L 287 van 29.10.2013, blz. 63), zoals nader omschreven in het Audithandvest van de ECB.
Wie is er verantwoordelijk voor de verwerking van uw persoonsgegevens?
De ECB is de verwerkingsverantwoordelijke. Binnen de ECB is D/IA belast met de verwerking van uw persoonsgegevens.
Aan wie worden uw persoonsgegevens verstrekt?
De ontvangers van uw persoonsgegevens zijn:
- de betrokkenen;
- aangewezen ECB-medewerkers;
- aangewezen medewerkers van de nationale centrale banken binnen het ESCB en nationale bevoegde autoriteiten binnen het gemeenschappelijk toezichtsmechanisme (met inbegrip van gedetacheerde medewerkers);
- externe partijen (consultants, externe accountants en stagiairs) die deelnemen aan interne audits.
Persoonsgegevens worden op hun verzoek verstrekt aan leden van de directie, de Raad van Bestuur, de Raad van Toezicht en aan de Chief Services Officer van de ECB.
In voorkomend geval kunnen, op ‘need to know’-basis en conform het toepasselijke juridische kader, persoonsgegevens worden verstrekt aan organen die uit hoofde van het Unierecht belast zijn met toezichts- of controletaken, zoals de Europese Rekenkamer, het Europees Bureau voor fraudebestrijding, het Europees Openbaar Ministerie, nationale bevoegde autoriteiten, de Europese Toezichthouder voor gegevensbescherming, het Ethisch Comité en het Auditcomité.
Wat voor persoonsgegevens worden er verwerkt?
D/IA heeft toegang tot alle personeelsleden, dossiers, informatie, systemen en eigendommen die nodig worden geacht voor de uitvoering van zijn taken in verband met audits, en kan alle daarmee verband houdende persoonsgegevens verwerken.
De ECB mag in verband met audits de volgende persoonsgegevens verwerken:
- identificatie- en contactgegevens (bv. naam en adres);
- (beroeps)opleidingen;
- loopbaan;
- financiële gegevens;
- gezin, leefstijl en maatschappelijke omstandigheden;
- informatie over geleverde goederen of verleende diensten;
- informatie over civiele of bestuursrechtelijke procedures of andere onderzoeken uit hoofde van regelgeving;
- informatie over eventuele strafrechtelijke procedures;
- informatie over (bestuurlijke) sancties;
- andere voor een bepaalde audit relevante persoonsgegevens;
- indien daar aanleiding toe bestaat: bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10 van Verordening (EU) 2018/1725.
Hoe lang bewaart de ECB persoonsgegevens?
De persoonsgegevens worden maximaal 15 jaar na de datum waarop de werkzaamheid is beëindigd gewist, tenzij ze langer nodig zijn in verband met eventuele vervolgstappen, zoals disciplinaire of juridische procedures.
Persoonsgegevens worden in auditrapporten in de regel geanonimiseerd.
Wat zijn uw rechten?
U heeft het recht uw persoonsgegevens in te zien en onjuiste of onvolledige informatie te verbeteren. U heeft eveneens (binnen bepaalde grenzen) het recht om uw persoonsgegevens te wissen, bezwaar te maken tegen de verwerking van uw persoonsgegevens of de verwerking daarvan te beperken, overeenkomstig Verordening (EU) 2018/1725.
Met wie kunt u contact opnemen in geval van vragen of verzoeken?
U kunt uw rechten uitoefenen door contact met D/IA op te nemen via [email protected]. U kunt met al uw vragen over persoonsgegevens ook direct contact opnemen met de functionaris voor gegevensbescherming van de ECB via [email protected].
Contact opnemen met de Europese Toezichthouder voor gegevensbescherming
Als u meent dat uw rechten krachtens Verordening (EU) 2018/1725 zijn geschonden als gevolg van de verwerking van uw persoonsgegevens, heeft u te allen tijde het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming.
Voor meer informatie kunt het register verwerkingsactiviteiten van de ECB raadplegen.