Integritetspolicy för behandlingen av personuppgifter vid revisionsuppdrag
Vilken är vår rättsliga ram?
Alla personuppgifter behandlas i enlighet med Europeiska unionens dataskyddslagstiftning, dvs. i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
Varför behandlar vi personuppgifter?
Personuppgifter behandlas inom ramen för internrevisionstjänsten vid direktoratet för internrevision (D/IA) enligt direktionens definition i ECB:s revisionsstadga. Syftet med denna behandling är att identifiera, bedöma, utvärdera och registrera all relevant information för säkringstjänster och konsultverksamhet. Alla personuppgifter som omfattas av dessa verksamheter samlas in från ECB:s affärsområden. I allmänhet behandlar D/IA personuppgifter som är relevanta för en viss uppgift.
D/IA får särskilt behandla personuppgifter för att utföra följande uppgifter:
- genomföra ECB:s revisionsplan och internrevisionskommitténs arbetsprogram genom att genomföra och rapportera om säkringstjänster och konsultverksamhet,
- bedöma revisionsrekommendationernas genomförandestatus,
- behandla incidentrapporter från ECB:s affärsområden (exklusive incidentrapporter om överträdelser av yrkesmässiga skyldigheter).
Dessutom behandlar D/IA uppgifter för att tillhandahålla revisionsstöd (t.ex. som sekretariatet för internrevisionsfunktionen) och för att samordna externa revisionstjänster (t.ex. av externa revisorer eller Europeiska revisionsrätten).
Vilken är den rättsliga grunden för att behandla dina personuppgifter?
ECB behandlar dina personuppgifter för att fullgöra en uppgift av allmänt intresse, på grundval av artikel 5.1 a i förordning (EU) 2018/1725, jämförd med protokoll (nr 4) om stadgan för Europeiska centralbankssystemet (ECBS) och Europeiska centralbanken (EUT C 202, 7.6.2016, s. 230) och rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63) enligt ECB:s revisionsstadga.
Vem ansvarar för behandlingen av dina personuppgifter?
ECB är personuppgiftsansvarig för behandlingen av personuppgifterna. D/IA ansvarar för behandlingen.
Vem får ta del av dina personuppgifter?
Följande tar del av uppgifterna:
- de berörda registrerade personerna,
- särskilt utsedd ECB-personal,
- särskilt utsedd personal vid de nationella centralbankerna inom ECBS och nationella behöriga myndigheter inom den gemensamma tillsynsmekanismen (inklusive utstationerad personal),
- extern personal (konsulter, externa revisorer och praktikanter) som deltar i internrevisionsverksamhet.
Ledamöterna i ECB:s direktion, ECB-rådet, tillsynsnämnden och ECB:s Chief Services Officer får på begäran ta emot personuppgifter.
I tillämpliga fall får organ som ansvarar för kontroll- eller inspektionsuppgifter i enlighet med unionsrätten, på grundval av behov och i överensstämmelse med den relevanta rättsliga ramen, ta emot personuppgifter. Det gäller t.ex. Europeiska revisionsrätten, Europeiska byrån för bedrägeribekämpning, Europeiska åklagarmyndigheten, nationella behöriga myndigheter, Europeiska datatillsynsmannen, etikkommittén och revisionskommittén.
Vilken typ av personuppgifter samlas in?
D/IA har tillgång till all personal, alla register, all information, alla system och all egendom som enligt bedömning krävs för att fullgöra sina skyldigheter i samband med revisionsuppdrag och får behandla alla relaterade personuppgifter.
ECB får behandla följande personuppgifter i samband med revisionsuppdrag:
- identifieringsuppgifter och kontaktuppgifter (t.ex. namn, postadress osv.),
- uppgifter om teoretisk och praktisk utbildning,
- uppgifter om sysselsättning,
- finansiella uppgifter,
- uppgifter om familj och personliga förhållanden,
- information om varor eller tjänster som tillhandahålls,
- information om civilrättsliga eller administrativa förfaranden eller andra rättsliga utredningar,
- information om eventuella straffrättsliga förfaranden,
- information om påföljder eller andra administrativa sanktioner,
- alla andra personuppgifter som är relevanta för ett visst revisionsuppdrag,
- särskilda kategorier av uppgifter som omfattas av artikel 10 i förordning (EU) 2018/1725 när det är motiverat.
Hur länge lagrar ECB personuppgifter?
Personuppgifterna lagras i högst 15 år från den dag då verksamheten upphörde. Efter detta raderas uppgifterna, såvida de inte behövs under en längre tidsperiod för eventuella uppföljningsåtgärder, t.ex. disciplinära eller rättsliga förfaranden.
I regel anonymiseras den information som presenteras i revisionsrapporterna.
Vad har du för rättigheter?
Du har rätt att få tillgång till dina personuppgifter och korrigera alla uppgifter som är felaktiga eller ofullständiga. Du har också (med vissa begränsningar) rätt att radera dina personuppgifter, invända mot eller begränsa behandlingen av dina personuppgifter i enlighet med förordning (EU) 2018/1725.
Vem kan du kontakta vid frågor eller förfrågningar?
Du kan utöva dina rättigheter genom att kontakta D/IA på [email protected]. ECB:s dataskyddsombud kan kontaktas direkt på [email protected] om alla frågor som rör personuppgifter.
Kontakta Europeiska datatillsynsmannen
Om du anser att dina rättigheter enligt förordning (EU) 2018/1725 har kränkts till följd av behandlingen av personuppgifter kan när som helst ett klagomål inlämnas till Europeiska datatillsynsmannen.
Mer information finns i ECB:s register över behandling av personuppgifter.