Klauzula informacyjna - Komisja Nadzoru Finansowego

Filtry

Kategorie

Okres

Od
Do

Dane archiwalne

A A
Klauzula informacyjna

Informacje dotyczące przetwarzania danych osobowych w ramach europejskiego systemu raportowania w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – EuReCA

Data aktualizacji:

Komisja Nadzoru Finansowego, dalej: „KNF”, jako uczestnik europejskiego systemu raportowania w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, utworzonego na podstawie przepisów art. 9a ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE (Dz. Urz. UE L 331 z 15.12.2010, str.12, z późn.zm.), dalej: „rozporządzenie w sprawie ustanowienia EBA”, przekazuje do Europejskiego Urzędu Nadzoru Bankowego, dalej: „EBA”, dane osobowe pozyskane podczas prowadzonych czynności kontrolnych oraz wykorzystywanych w ramach prowadzonych postępowań administracyjnych w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. 

KNF jako organ zgłaszający określony w art. 9a ust. 1 lit. a) ww. rozporządzenia jest współadministratorem danych osobowych przetwarzanych na potrzeby europejskiego systemu raportowania w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Dane przekazywane przez KNF są gromadzone i utrzymywane w centralnej bazie danych dotyczących przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, gromadzonych zgodnie z art. 9a ust. 1 lit. a) rozporządzenia w sprawie ustanowienia EBA, dalej: „centralna baza danych EuReCA”. 

W ramach realizacji obowiązku, o którym mowa w art. 26 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), dalej jako „RODO”, przekazujemy zasadniczą treść uzgodnień pomiędzy współadministratorami oraz informacje dotyczące przetwarzania danych osobowych w ramach centralnej bazy danych EuReCA.

Informacje o innych współadministratorach i istocie współadministrowania danymi

Przetwarzanie obejmuje wspólne przetwarzanie z krajowymi i unijnymi organami zgłaszającymi określonymi w art. 9a ust. 1 lit. a) rozporządzenia w sprawie ustanowienia EBA tj. Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych, dalej: „ESMA”, Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Planów Emerytalnych, dalej: „EIOPA”, a także EBA, w odniesieniu do danych osobowych określonych w załączniku II do rozporządzenia delegowanego Komisji (UE) 2024/595 z dnia 9 listopada 2023 r.

Uzgodnienia dotyczące współadministrowania danymi osobowymi określają poszczególne obowiązki stron będących współadministratorami w zakresie przetwarzania danych osobowych w ramach centralnej bazy danych EuReCA. Uzgodnienia te dotyczą wyłącznie przetwarzania danych osobowych przekazywanych przez strony do lub pobieranych z centralnej bazy danych EuReCA.

Strony muszą zapewnić sobie wzajemną uzasadnioną pomoc w udzielaniu odpowiedzi na zapytania osób, których dane dotyczą, dotyczące danych osobowych przetwarzanych w ramach centralnej bazy danych EuReCA.
W przypadku, gdy strona inna niż EBA otrzyma takie zapytanie od osoby, której danej dotyczą, ma obowiązek niezwłocznie przekazać je (w całości lub w części dotyczącej danych osobowych przetwarzanych za pomocą centralnej bazy danych EuReCA) na adres e-mail EBA: eureca@eba.europa.eu. W przypadku zapytań kierowanych przez osoby, których dane zgromadzone przez EBA dotyczą, EBA odpowiada za rozpatrzenie takich zapytań z pomocą organu zgłaszającego, który przekazał przedmiotowe dane osobowe oraz za przekazanie decyzji pozostałym stronom. Strona, która otrzymała zapytanie, będzie odpowiadać za udzielenie odpowiedzi na podstawie informacji przekazanych przez EBA. Strony muszą współpracować w przypadku każdego naruszenia ochrony danych osobowych mającego wpływ na centralną bazę danych EuReCA oraz jeżeli zajdzie taka potrzeba powiadomić EBA, stosowne organy ds. ochrony danych osobowych i osoby, których dane dotyczą.

Pełna treść uzgodnień dotyczących współadministrowania danymi osobowymi, w języku angielskim, znajduje się na stronie internetowej EBA: https://www.eba.europa.eu/regulatory-technical-standards-central-database-amlcft-eu?version=2021#activity-versions

Informacje o podmiotach przetwarzających

Konsorcjum Atos – Cosmote Global Solutions N.V., jako podmiot zapewniający wsparcie informatyczne
Cosmote Global Solutions N.V. – Avenue des Arts 56, Brussels, Belgia; Atos Luxembourg – 12 rue du Château d’Eau, Leudelange, Luksemburg
Kontakt: it-con-2022-12@ote.griopapafi@ote.gr

Jakie dane osobowe w ramach bazy EuReCA są przetwarzane, w jakim celu, kto może mieć do nich dostęp i jak długo są przechowywane?

Centralna baza danych EuReCA gromadzi od organów zgłaszających informacje związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu. Identyfikacja osób fizycznych nie jest głównym celem centralnej bazy danych EuReCA. Dane osobowe osób fizycznych są przekazywane przez europejskie organy zgłaszające i przetwarzane w celu wykrywania i analizowania istotnych uchybień dotyczących przestrzegania wymogów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, w ramach sprawowanego nadzoru nad działalnością podmiotów finansowych oraz podatności i ryzyk związanych z praniem pieniędzy i finansowaniem terroryzmu w sektorze finansowym w sytuacji podejrzenia, że te osoby fizyczne są powiązane z tymi istotnymi uchybieniami. 

Dane osobowe mogą być podawane w określonych polach w centralnej bazie danych EuReCA, gdy dana osoba fizyczna jest bezpośrednio powiązana ze stwierdzonym istotnym uchybieniem i EBA zwraca się z prośbą
o wskazanie tych osób fizycznych. Dane niezbędne do zidentyfikowania właściwej osoby mogą być gromadzone w uporządkowanych polach (imię, nazwisko, data urodzenia, kraj zamieszkania, narodowość). Kategorie osób i zakres danych osobowych są szczegółowo określone w załączniku II do rozporządzenia delegowanego Komisji (UE) 2024/595. Zakres przetwarzanych danych osobowych może obejmować:

a) w stosunku do klienta lub beneficjenta rzeczywistego: imię, nazwisko, data urodzenia, państwo rezydencji podatkowej, obywatelstwo, wskazanie czy klient lub beneficjent rzeczywisty jest lub był również członkiem organu zarządzającego lub osobą pełniącą najważniejsze funkcje w podmiocie sektora finansowego lub oddziale, rola, wskazanie czy klient lub beneficjent rzeczywisty posiada lub posiadał – bezpośrednio lub pośrednio – akcje lub udziały w podmiocie sektora finansowego, wskazanie czy podmiot sektora finansowego, oddział, agent lub dystrybutor uznają danego klienta za „klienta wysokiego ryzyka”, powód, dla którego organ zgłaszający uważa, że dana osoba fizyczna wydaje się powiązana z istotnym niedociągnięciem;
b) w stosunku do członka organu zarządzającego lub osób pełniących najważniejsze funkcje: imię, nazwisko, data urodzenia, państwo rezydencji podatkowej, obywatelstwo, funkcja w podmiocie sektora finansowego lub w oddziale, podmiocie pełniącym funkcję agenta lub dystrybutora;
c) powody, dla których organ zgłaszający uważa, że dana osoba fizyczna wydaje się powiązana z istotnym niedociągnięciem. 

Dane osobowe są analizowane i udostępniane zgodnie z zasadą „wiedzy koniecznej” i zasadą poufności podmiotom zgłaszającym oraz wyznaczonym organom zgodnie z definicją zawartą w art. 1 rozporządzenia delegowanego Komisji (UE) 2024/595 na poziomie krajowym i unijnym na potrzeby ich działalności nadzorczej (art. 9a ust. 2 oraz 3 rozporządzenia w sprawie ustanowienia EBA). W stosownym przypadku dane te będą przekazywane krajowym organom sądowym oraz Prokuraturze Europejskiej. 

EuReCA funkcjonuje w szerszym kontekście ścisłej współpracy między EBA i innymi organami zgłaszającymi na poziomie krajowym i unijnym, w tym Europejskim Bankiem Centralnym (EBC) i Jednolitą Radą ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB). W tym kontekście, w indywidualnych przypadkach dane osobowe mogą zostać również udostępnione EIOPA i ESMA w ramach ogólnego obowiązku współpracy przewidzianego w art. 2 ust. 4 rozporządzenia w sprawie ustanowienia EBA oraz krajowym jednostkom analityki finansowej na podstawie art. 9a ust. 1 lit. a) rozporządzenia w sprawie ustanowienia EBA.

Dane osobowe są również dostępne dla pracowników EBA zarządzających centralną bazą danych EuReCA oraz mogą być udostępniane osobom zapewniającym wsparcie informatyczne.

Jak określono w art. 14 rozporządzenia delegowanego Komisji (UE) 2024/595, dane osobowe zgromadzone w centralnej bazie danych EuReCA będą przechowywane w sposób umożliwiający identyfikacje osób, których dotyczą przez okres maksymalnie 10 lat od momentu ich zebrania przez EBA, a po upływie tego okresu zostaną usunięte.
W indywidualnych przypadkach, na podstawie corocznej oceny ich niezbędności dane osobowe będą mogły zostać usunięte przed końcem tego maksymalnego okresu.

Dlaczego i na jakiej podstawie prawnej przetwarzamy Państwa dane osobowe?

Dane osobowe są przetwarzane przez KNF w oparciu o przesłankę, o której mowa w art. 6 ust.1 lit. e) RODO, w celu podejmowania działań służących prawidłowemu funkcjonowaniu rynku finansowego na podstawie art. 4 ust. 1 pkt. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U z 2024 r. poz. 135, ze zm.) w związku z art. 9a rozporządzenia w sprawie ustanowienia EBA. Dane osobowe są przetwarzane przez EBA w celu umożliwienia EBA wypełniania obowiązku prawnego, o którym mowa w art. 9a ust. 1, art. 9a ust. 2 oraz art. 9a ust. 3 rozporządzenia w sprawie ustanowienia EBA.
Rozporządzenie delegowane Komisji (UE) 2024/595 zawiera szczegóły dotyczące wykonywania tych obowiązków.

Czy przetwarzanie Państwa danych osobowych obejmuje ich przekazywanie poza terytorium Europejskiego Obszaru Gospodarczego?

Państwa dane osobowe są przetwarzane na terytorium Europejskiego Obszaru Gospodarczego i nie będą przekazywane odbiorcom spoza tego terytorium.

Jakie prawa przysługują Państwu w związku z przetwarzaniem Państwa danych osobowych?

Osobie, której dane osobowe są przetwarzane, przysługują następujące prawa:

a) prawo dostępu do danych osobowych – mają Państwo prawo dostępu do swoich danych osobowych oraz stosownych informacji dotyczących sposobu, w jaki są one wykorzystywane;
b) prawo do sprostowania danych osobowych – mają Państwo prawo do sprostowania swoich danych osobowych, w przypadku ich nieprawidłowości lub niekompletności;
c) prawo do usunięcia danych osobowych – pod pewnymi warunkami mają Państwo prawo do żądania usunięcia Państwa danych osobowych;
d) prawo sprzeciwu wobec przetwarzania danych osobowych – mają Państwo prawo do sprzeciwu wobec przetwarzania Państwa danych osobowych z przyczyn związanych z Państwa szczególną sytuacją; jeśli wniosą Państwo taki sprzeciw, przetwarzanie Państwa danych osobowych może być kontynuowane wyłącznie w przypadku, gdy przetwarzanie danych ma nadrzędny charakter wobec Państwa interesów lub podstawowych praw i wolności lub gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń;
e) prawo do ograniczenia przetwarzania danych osobowych – pod pewnymi warunkami mają Państwo prawo zażądać od nas ograniczenia wykorzystywania Państwa danych osobowych lub natychmiastowego wstrzymania przetwarzania danych.

W przypadku skorzystania ze swoich praw, mogą Państwo przesłać żądanie drogą pocztową w zabezpieczonej kopercie lub pocztą elektroniczną na dane kontaktowe podane poniżej.

Informacja o prawie do wniesienia skargi

Jeśli mają Państwo uwagi lub wątpliwości dotyczące sposobu, w jaki są przetwarzane Państwa dane osobowe, zachęcamy do kontaktu z Inspektorem Ochrony Danych KNF lub Inspektorem Ochrony Danych EBA (zob. poniższa sekcja zawierająca dane kontaktowe).
W każdym przypadku mają Państwo prawo do wniesienia skargi do Europejskiego Inspektora Ochrony Danych właściwego dla EBA lub do Prezesa Urzędu Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych przez KNF.

Dane kontaktowe na potrzeby zapytań dotyczących Państwa danych osobowych

Punktem kontaktowym w zakresie przetwarzania danych osobowych w ramach centralnej bazy danych EuReCA jest EBA. Jeśli chcą Państwo skontaktować się z EBA w kwestiach dotyczących centralnej bazy danych EuReCa, zachęcamy do skorzystania z adresu e-mail: eureca@eba.europa.eu, z podaniem w temacie wiadomości „Zapytanie dotyczące ochrony danych”. 

Jeśli chcą Państwo skontaktować się z Inspektorem Danych Osobowych EBA mogą Państwo wysłać e-mail na adres dpo@eba.europa.eu lub pismo drogą pocztową na adres EBA, z dopiskiem „do wiadomości inspektora ochrony danych EBA”. 

Adres pocztowy EBA: DEFENSE 4 – EUROPLAZA, 20 Avenue André Prothin, CS 30154, 92927 Paris La Défense CEDEX, Francja. 

Dane kontaktowe mogą Państwo też znaleźć na stronie internetowej EBA: https://eba.europa.eu/contacts 

Z KNF jako współadministratorem danych osobowych można się kontaktować pisemnie, kierując korespondencję na adres: ul. Piękna 20, skr. poczt. 419, kod pocztowy: 00-549 Warszawa lub pocztą elektroniczną na adres: knf@knf.gov.pl

Jeżeli chcą Państwo skontaktować się z Inspektorem Danych Osobowych KNF mogą Państwo wysłać e-mail na adres iod@knf.gov.pl lub drogą pocztową na adres korespondencyjny KNF. 

Szczegółowe informacje na temat europejskiego systemu raportowania w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w ramach centralnej bazy danych EuReCA, dostępne są na stronie internetowej EBA: https://eba.europa.eu