JEDNOLITA RADA DS. RESTRUKTURYZACJI I UPORZĄDKOWANEJ LIKWIDACJI,uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 806/2014 z dnia 15 lipca 2014 r. ustanawiające jednolite zasady i jednolitą procedurę restrukturyzacji i uporządkowanej likwidacji instytucji kredytowych i niektórych firm inwestycyjnych w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji oraz jednolitego funduszu restrukturyzacji i uporządkowanej likwidacji oraz zmieniające rozporządzenie (UE) nr 1093/2010 1 , w szczególności jego art. 42, art. 43 ust. 5, art. 50 ust. 3, art. 56 ust. 1-3, art. 61, 63 i 64,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 2 ,
uwzględniając konsultacje z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:(1) Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (Single Resolution Board - "SRB") pełni rolę organu ds. restrukturyzacji i uporządkowanej likwidacji w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji (Single Resolution Mechanism - "SRM") zgodnie z rozporządzeniem (UE) nr 806/2014. Misją SRB jest zapewnienie, aby restrukturyzacja i uporządkowana likwidacja banków znajdujących się w trudnej sytuacji przebiegały w sposób uporządkowany, wywierając jak najmniejszy wpływ na gospodarkę realną, system finansowy i finanse publiczne uczestniczących państw członkowskich i innych państw.
(2) SRB może przetwarzać dane osobowe w ramach różnych systemów funkcjonujących na terenie SRB (monitoring wizyjny, kontrola dostępu, rejestry odwiedzających). Informacje te są gromadzone ściśle ze względów bezpieczeństwa (np. w celu śledzenia liczby osób w budynku na potrzeby potencjalnej ewakuacji, co jest zgodne z decyzjami Komisji Europejskiej w zakresie bezpieczeństwa) w celu zapobiegania zdarzeniom naruszającym ochronę w budynkach lub ich otoczeniu, wykrywania takich zdarzeń i ich dokumentowania.
(3) SRB, reprezentowana w tym przypadku przez kierownika swojego Działu Obsługi Administracyjnej i ICT, przetwarza kilka kategorii danych osobowych, w szczególności dane umożliwiające identyfikację, dane kontaktowe i dane służbowe. Dane osobowe są przechowywane w zabezpieczonym środowisku elektronicznym uniemożliwiającym bezprawny dostęp lub przekazanie danych osobom, które nie muszą mieć do nich dostępu. Przetwarzane dane osobowe są zatrzymywane zgodnie z zasadami KE dotyczącymi zatrzymywania danych. Po upływie okresu zatrzymania zgromadzone informacje, w tym dane osobowe, są usuwane stosownie do uzgodnionego okresu maksymalnego zatrzymania danych: rejestry odwiedzających: 6 miesięcy, nagrania z monitoringu wizyjnego: 30 dni, system kontroli dostępu: 2 miesiące.
(4) Wewnętrzne zasady powinny mieć zastosowanie do wszystkich procesów przetwarzania prowadzonych przez SRB w ramach realizacji jej działalności dla celów bezpieczeństwa, zapobiegania zdarzeń naruszających ochronę, wykrywania ich lub prowadzenia dochodzeń w ich sprawie, ochrony personelu, własności i informacji agencji, a także odwiedzających SRB.
(5) Wewnętrzne zasady powinny mieć zastosowanie do procesów przetwarzania prowadzonych w trakcie wewnętrznych dochodzeń w sprawie zdarzeń naruszających ochronę, a także w trakcie monitorowania działań następczych podejmowanych w rezultacie tych dochodzeń. Wewnętrzne zasady powinny mieć zastosowanie do procesów przetwarzania, które stanowią część działań powiązanych z sekcją bezpieczeństwa/infrastruktury SRB. Powinny one również obejmować pomoc i współpracę ze strony sekcji bezpieczeństwa/infrastruktury SRB udzielaną organom krajowym, belgijskim organom ścigania, OLAF, służbom ratunkowym i organizacjom międzynarodowym poza dochodzeniami administracyjnymi.
(6) SRB musi przedstawić uzasadnienie ścisłej konieczności i proporcjonalności ograniczeń w społeczeństwie demokratycznym oraz postępować z poszanowaniem istoty podstawowych praw i wolności;
(7) W ramach powyższego SRB ma obowiązek przestrzegać w możliwie szerokim zakresie w trakcie realizacji powyższych procedur praw podstawowych osób, których dane dotyczą, w szczególności tych związanych z prawem dostępu, prawem do sprostowania danych, prawem do usunięcia danych, prawem do przenoszenia danych itp., które to przewidziano w rozporządzeniu (UE) 2018/1725.
(8) Tym niemniej SRB może być zobowiązana do wstrzymania przekazania informacji osobie, której dane dotyczą, lub wykonania innych praw osoby, której dane dotyczą, w celu zabezpieczenia - w szczególności - własnych dochodzeń w sprawie zdarzeń naruszających ochronę, w tym danych z monitoringu wizyjnego lub systemów kontroli dostępu.
(9) SRB może zatem wstrzymać przekazanie informacji w celu zabezpieczenia dochodzeń w sprawie zdarzeń naruszających ochronę.
(10) SRB powinna znieść ograniczenia, gdy tylko przestaną występować warunki uzasadniające ograniczenie.
(11) SRB powinna regularnie, w odstępach sześciu miesięcy, monitorować warunki ograniczające i w razie konieczności dokonywać ich rewizji.
(12) SRB powinna w trakcie dokonywania rewizji konsultować się z inspektorem ochrony danych,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: