Prohlášení o ochraně osobních údajů při výkonu auditů
Jakým právním rámcem se řídíme?
Veškeré osobní údaje jsou zpracovávány v souladu s právními předpisy Evropské unie na ochranu osobních údajů, jmenovitě s nařízením Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
Proč osobní údaje zpracováváme?
Osobní údaje se zpracovávají v rámci služeb interního auditu Ředitelství pro interní audit (D/IA), jak je definuje Výkonná rada v Chartě auditu ECB. Cílem tohoto zpracování je identifikovat, posoudit, vyhodnotit a zaznamenávat veškeré relevantní informace v oblasti získávání jistoty a poradenství. Veškeré osobní údaje, které spadají do působnosti těchto činností, se shromažďují v organizačních složkách ECB. Obecně D/IA zpracovává osobní údaje, které jsou relevantní pro konkrétní úkol.
D/IA může zpracovávat osobní údaje zejména za účelem plnění těchto úkolů:
- provádění plánu auditu ECB a pracovního programu Výboru interních auditorů (IAC) prostřednictvím činností v oblasti získávání jistoty a poradenství a podávání zpráv o těchto činnostech,
- posouzení stavu provádění doporučení auditu,
- zpracování zpráv o incidentech z provozních oblastí ECB (s výjimkou hlášení incidentů týkajících se porušení pracovních povinností).
Kromě toho D/IA zpracovává údaje s cílem poskytovat auditní podporu (např. jako sekretariát IAC) a koordinovat služby externího auditu (prováděné např. externími auditory nebo Evropským účetním dvorem).
Jaký je právní základ pro zpracování vašich osobních údajů?
Vaše osobní údaje zpracovává ECB při plnění úkolu ve veřejném zájmu na základě čl. 5 odst. 1 písm. a) nařízení (EU) 2018/1725 ve spojení s Protokolem (č. 4) o statutu Evropského systému centrálních bank (ESCB) a Evropské centrální banky (Úř. věst. C 202, 7.6.2016, s. 230) a nařízením Rady (EU) č. 1024/2013 ze dne 15. října 2013, kterým se Evropské centrální bance svěřují zvláštní úkoly týkající se politik, které se vztahují k obezřetnostnímu dohledu nad úvěrovými institucemi (Úř. věst. L 287, 29.10.2013, s. 63), jak je podrobněji uvedeno v Chartě auditu ECB.
Kdo za zpracování vašich osobních údajů odpovídá?
Správcem zpracování osobních údajů je ECB. Za zpracování odpovídá D/IA.
Kdo vaše osobní údaje obdrží?
Příjemci údajů jsou:
- příslušné subjekty údajů,
- určení zaměstnanci ECB,
- určení zaměstnanci národních centrálních bank v rámci ESCB a vnitrostátní příslušné orgány v rámci jednotného mechanismu dohledu (včetně vyslaných osob),
- externí osoby (poradci, externí auditoři a stážisté), kteří se účastní činností interního auditu.
Na základě žádosti mohou osobní údaje obdržet členové Výkonné rady ECB, Rady guvernérů, Rady dohledu a vrchní ředitel ECB pro oblast služeb.
V příslušných případech mohou na základě opodstatněné potřeby přístupu k informacím a v souladu s příslušným právním rámcem obdržet osobní údaje subjekty pověřené úkoly sledování nebo inspekce v souladu s právem Unie, např. Evropský účetní dvůr, Evropský úřad pro boj proti podvodům, Úřad evropského veřejného žalobce, vnitrostátní příslušné orgány, evropský inspektor ochrany údajů, Etický výbor a Výbor pro audit.
Jaké druhy osobních údajů se zpracovávají?
D/IA má přístup ke všem zaměstnancům, záznamům, informacím, systémům a majetku považovaným za nezbytné pro plnění jeho povinností v souvislosti s výkonem auditů a může zpracovávat veškeré související osobní údaje.
ECB může v souvislosti s výkonem auditů zpracovávat tyto osobní údaje:
- identifikační a kontaktní údaje (např. jméno, poštovní adresa atd.),
- údaje o vzdělávání a odborné přípravě,
- údaje o zaměstnání,
- finanční údaje,
- údaje o rodinných, životních a sociálních poměrech,
- informace o poskytovaném zboží nebo službách,
- informace týkající se občanskoprávního nebo správního řízení či jakéhokoli jiného regulačního vyšetřování,
- informace týkající se trestního řízení,
- informace o sankcích včetně správních,
- jakékoli další osobní údaje týkající se výkonu konkrétního auditu,
- v odůvodněných případech zvláštní kategorie údajů v oblasti působnosti článku 10 nařízení (EU) 2018/1725.
Jak dlouho bude ECB osobní údaje uchovávat?
Osobní údaje jsou před vymazáním uchovávány po dobu nejvýše 15 let ode dne ukončení činnosti, ledaže jsou tyto údaje zapotřebí po delší dobu pro případná následná opatření, jako je disciplinární nebo soudní řízení.
Informace uvedené ve zprávách o auditu jsou zpravidla anonymizovány.
Jaká máte práva?
Máte právo na přístup ke svým osobním údajům a na opravu jakýchkoli údajů, které jsou nepřesné či neúplné. Dále v souladu s nařízením (EU) 2018/1725 máte (s určitými omezeními) právo na výmaz svých osobních údajů nebo na vznesení námitky proti jejich zpracování či na omezení jejich zpracování.
Na koho se můžete obrátit v případě dotazů nebo žádostí?
Svá práva můžete uplatnit u D/IA na adrese DIAManagement@ecb.europa.eu. S dotazy k osobním údajům se můžete obracet také na inspektora ochrany údajů v ECB na adrese dpo@ecb.europa.eu.
Možnost obrátit se na evropského inspektora ochrany údajů
Domníváte-li se, že byla vaše práva podle nařízení (EU) 2018/1725 porušena v důsledku zpracování vašich osobních údajů, máte právo kdykoli podat stížnost evropskému inspektorovi ochrany údajů.
Další informace naleznete v rejstříku ECB pro zpracování údajů.