(1) Zgodnie z Polityką zwalczania nadużyć finansowych EBI 3  i Kartą wydziału dochodzeń ds. nadużyć finansowych EBI 4  Wydział dochodzeń ds. nadużyć finansowych Inspektoratu Generalnego EBI ("IG/IN") jest uprawniony do prowadzenia dochodzeń w sprawie zarzutów oszustwa, korupcji, zmowy, przymusu, utrudniania, prania pieniędzy i finansowania terroryzmu ("Niedozwolone postępowanie") obejmujących wszystkie działania EBI. IG/IN jest uprawniony do prowadzenia dochodzeń dotyczących i) członków organów zarządzających, pracowników i konsultantów EBI,; ii) stron związanych z projektami EBI, iii) stron związanych z zamówieniami korporacyjnymi EBI oraz iv) stron związanych z operacjami zaciągania kredytów i skarbcowymi EBI. Uprawnienia IG/IN obejmują również prowadzenie proaktywnych przeglądów integralności w obszarach podwyższonego ryzyka w celu zwiększenia wydajności i skuteczności operacji i działalności EBI.

(2) Zgodnie z Kodeksem postępowania dla pracowników EBI 5  i Polityką informowania o nieprawidłowościach EBI 6 , z okresowymi zmianami i uzupełnieniami, członkowie personelu EBI mają obowiązek zgłaszania wszelkich przypadków naruszenia obowiązków służbowych, takich jak nielegalna działalność, niedozwolone postępowanie i/lub naruszenie przepisów, reguł, zasad lub wytycznych Grupy EBI, w tym Kodeksu, właściwym służbom, stosownie do charakteru naruszenia, tj. Biuru dyrektora ds. zgodności EBI ("BDZ") i Inspektoratowi Generalnemu EBI ("IG").

(3) Zgodnie z Zakresem uprawnień dyrektora ds. zgodności Grupy ("Zakres uprawnień DZG") oraz Kartą integralności i zgodności 7  do kompetencji dyrektora ds. zgodności Grupy należy identyfikacja, ocena, doradztwo, monitorowanie i raportowanie w zakresie ryzyka braku zgodności Grupy EBI, tj. ryzyka sankcji prawnych lub regulacyjnych, straty finansowej lub utraty reputacji, które członek Grupy EBI może ponieść w wyniku niedochowania zgodności z wszelkimi obowiązującymi przepisami ustawowymi i wykonawczymi, kodeksami postępowania dla pracowników i standardami w zakresie dobrych praktyk. Zgodnie z Zakresem uprawnień DZG dyrektor ds. zgodności Grupy przeprowadza niezbędne dochodzenia administracyjne w sprawie ewentualnego naruszenia przez pracowników Kodeksu postępowania Grupy EBI. Pracownicy Grupy EBI mają obowiązek współpracy przy prowadzeniu takich dochodzeń administracyjnych w sposób określony przez dyrektora ds. zgodności Grupy.

(4) W trakcie wykonywania swoich zadań IG/IN i BDZ mają obowiązek przestrzegania praw osób fizycznych w odniesieniu do przetwarzania danych osobowych wynikających z art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, jak również z aktów prawnych opartych na tych przepisach. Jednocześnie IG/IN i BDZ mają obowiązek przestrzegania ścisłych zasad poufności i tajemnicy zawodowej, o których mowa w Regulaminie pracowników EBI i w Kodeksie postępowania dla pracowników EBI, oraz poszanowania praw procesowych osób objętych dochodzeniem i świadków, a w szczególności prawa osób, których dotyczą zasady sprawiedliwości proceduralnej i domniemania niewinności.

(5) W pewnych okolicznościach konieczne jest pogodzenie praw osób, których dane dotyczą, określonych w rozporządzeniu (UE) 2018/1725 ("Rozporządzenie"), z celami i wymogami odpowiednich zadań IG/IN i BDZ, jak również z pełnym poszanowaniem podstawowych praw i wolności innych osób, których dane dotyczą. W tym celu art. 25 Rozporządzenia stanowi, że IG/IN i BDZ mogą ograniczyć, zgodnie z ich odpowiednimi uprawnieniami, stosowanie art. 14-22, 35 i 36, a także art. 4 w zakresie, w jakim przepisy tego rozporządzenia odpowiadają prawom i obowiązkom przewidzianym w art. 14-22. Aby to zrobić, konieczne jest przyjęcie przepisów wewnętrznych, na mocy których właściwy administrator danych może ograniczyć prawa osób, których dane dotyczą, zgodnie z art. 25 tego rozporządzenia.

(6) Przepisy wewnętrzne powinny mieć zastosowanie do wszystkich operacji przetwarzania przeprowadzanych przez IG/IN i BDZ w ramach wykonywania ich odpowiednich uprawnień zawartych w Polityce zwalczania nadużyć finansowych EBI, Karcie wydziału dochodzeń ds. nadużyć finansowych EBI, Karcie integralności i zgodności oraz w Zakresie uprawnień DZG, w trakcie całego procesu.

(7) W celu zapewnienia zgodności z art. 14, 15 i 16 Rozporządzenia właściwy administrator danych powinien informować wszystkie osoby fizyczne o swoich działaniach związanych z przetwarzaniem ich danych osobowych i o ich prawach w sposób przejrzysty i spójny w formie informacji o ochronie danych publikowanych na stronie internetowej i w serwisie intranetowym EBI, jak również powinien indywidualnie informować osoby, których dane dotyczą i które mają związek z jego działalnością, tj. osoby zainteresowane, świadków i informatorów.

(8) IG/IN i BDZ mogą być zmuszone w określonych sytuacjach do zastosowania ograniczeń, o których mowa w art. 25 Rozporządzenia, w odniesieniu do operacji przetwarzania danych prowadzonych w ramach zadań IG/IN i BDZ zawartych w i) Polityce zwalczania nadużyć finansowych EBI i Procedurze dochodzeń, w odniesieniu do IG/IN 8  oraz w ii) Zakresie uprawnień dyrektora ds. zgodności Grupy, w odniesieniu do BDZ.

(9) Komunikacja pomiędzy OLAF a EBI odbywa się zgodnie z porozumieniem administracyjnym pomiędzy Europejskim Urzędem ds. Zwalczania Nadużyć Finansowych a Europejskim Bankiem Inwestycyjnym z dnia 31 marca 2016 r.

(10) W celu utrzymania skutecznej współpracy IG/IN i BDZ mogą być zmuszone także do stosowania ograniczeń w odniesieniu do praw osób, których dane dotyczą, do ochrony informacji zawierających dane osobowe pochodzących od innych służb EBI, instytucji, organów i jednostek organizacyjnych Unii Europejskiej, właściwych organów państw członkowskich i państw trzecich, a także od organizacji międzynarodowych. W tym celu IG/IN i BDZ powinny konsultować ze wspomnianymi innymi służbami EBI, instytucjami, organami i jednostkami organizacyjnymi Unii, a także agencjami, organami państw i organizacjami międzynarodowymi zastosowanie ograniczeń w oparciu o istotne przesłanki, konieczność ich zastosowania oraz ich proporcjonalność.

(11) IG/IN i BDZ powinny rozpatrywać wszystkie ograniczenia w przejrzysty sposób i rejestrować każde zastosowanie ograniczeń w odpowiednim systemie rejestracji.

(12) Zgodnie z art. 25 ust. 8 Rozporządzenia administratorzy danych mogą wstrzymać przekazanie osobie, której dane dotyczą, informacji o powodach zastosowania ograniczenia lub odmówić przekazania takich informacji, jeżeli mogłoby to w jakikolwiek sposób zagrozić celowi ograniczenia. W szczególności gdy stosuje się ograniczenie praw przewidzianych w art. 16 i 35, zgłoszenie takiego ograniczenia zagrażałoby celowi ograniczenia. Właściwy administrator danych powinien regularnie weryfikować swoje stanowisko, aby zapewnić, że prawo osoby, której dane dotyczą, do uzyskania informacji zgodnie z art. 16 i 35 rozporządzenia (UE) 2018/1725 jest ograniczone jedynie tak długo, jak długo zachodzą przesłanki opóźnienia przekazania tych informacji.

(13) W przypadku ograniczenia innych praw osób, których dane dotyczą, administrator danych powinien ocenić w poszczególnych przypadkach, czy poinformowanie o ograniczeniu zagrażałoby celowi takiego ograniczenia.

(14) EBI wyznaczył własnego inspektora ochrony danych ("Inspektor ochrony danych") zgodnie z art. 24 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady 9 .

(15) Inspektor ochrony danych może przeprowadzić niezależny przegląd stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją,

PRZYJMUJE NINIEJSZĄ DECYZJĘ: