Wat is EuReCa?
EuReCa is een centrale databank van de Europese Bankautoriteit (hierna “de EBA”) die ertoe strekt het instrumentarium voor de strijd tegen witwassen van geld en terrorismefinanciering (hierna “de SWG/FT”) te verstevigen. De wettelijke grondslag van EuReCa is artikel 9bis, lid 1 en 3, van Verordening (EU) 1093/2010 van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit). EuReCa bevat informatie over “ernstige tekortkomingen”, m.a.w. zware inbreuken op de SWG/FT-vereisten door een financiëlesectordeelnemer waardoor deze gevoelig wordt voor witwassen van geld en terrorismefinanciering, en informatie over de door de toezichthoudende autoriteiten genomen maatregelen als reactie op die ernstige tekortkomingen.
Voor het beheer van EuReCa werkt de EBA samen met de nationale autoriteiten binnen de Europese Unie, waaronder de Autoriteit voor Financiële Diensten en Markten (hierna “de FSMA”).
Wat zijn de respectieve verantwoordelijkheden van de EBA en de FSMA op het vlak van de gegevensbescherming in het kader van EuReCa?
Wat de gegevensbescherming betreft, houden de respectieve verplichtingen van de EBA en de FSMA het volgende in:
- de EBA is verantwoordelijk voor de naleving van de geldende verplichtingen bij de verwerking van persoonsgegevens voor wat betreft de analyse van de informatie die de rapporterende autoriteiten (waaronder de FSMA) via EuReCa verstrekken, en voor het beheren, opslaan en actualiseren van deze databank, inclusief de ondersteunende infrastructuur ervan. Voor meer informatie over EuReCa wordt verwezen naar het toepasselijke privacybeleid van de EBA (beschikbaar op haar website).
- de FSMA is, als rapporterende autoriteit (conform de Gedelegeerde Verordening van de Commissie (EU) 2024/595 van 9 november 2023), wettelijk verplicht en verantwoordelijk om EBA, via EuReCa, bepaalde informatie te bezorgen over de ernstige SWG/FT-tekortkomingen en over de ter zake genomen maatregelen (incl. het invullen van gegevens in de databank, het antwoorden op vragen van de EBA, het actualiseren van de gegevens, ...). Bovendien kan de FSMA bepaalde informatie uit EuReCa ontvangen die door andere rapporterende autoriteiten zijn verstrekt, hetzij op haar verzoek, hetzij als de EBA die op eigen initiatief verstrekt.
In het kader daarvan, en op basis van haar taken van algemeen belang, is het mogelijk dat de FSMA, als verwerkingsverantwoordelijke, in voorkomend geval, een beperkt aantal persoonsgegevens (hierna “de gegevens”) zal moeten verwerken van natuurlijke personen onder haar toezicht (de personen die hun activiteiten verrichten als natuurlijk persoon, de leden van leidinggevende organen, of de personen met een sleutelfunctie bij een financiëlesectordeelnemer), alsook van cliënten en uiteindelijke begunstigden. De verwerkte gegevens betreffen meer specifiek identificatiegegevens (naam, voornaam, geboortedatum, nationaliteit, KBO-nummer, land van verblijf), professionele gegevens, financiële gegevens en gerechtelijke gegevens in verband met de ernstige tekortkomingen en de maatregelen op het vlak van de SWG/FT. Voor meer informatie over de manier waarop de FSMA de gegevens verwerkt bij de uitoefening van haar taken van algemeen belang, verwijzen wij u naar het toepasselijke privacybeleid van de FSMA (incl. de punten “wat zijn uw rechten en hoe kan u ze uitoefenen?” en “hoe kan u ons contacteren?”).
Wat bevat de door de FSMA en de EBA overeengekomen regeling van de gezamenlijke verwerkingsverantwoordelijkheid?
De FSMA en de EBA hebben hun respectieve verplichtingen in het kader van het gebruik van de centrale EuReCa-databank nader geformaliseerd via de regeling van de gezamenlijke verwerkingsverantwoordelijkheid, teneinde hun respectieve verantwoordelijkheden te bepalen met betrekking tot de bescherming van de gegevens die ze onderling uitwisselen van en naar de centrale EuReCa-databank. De krachtlijnen van die regeling luiden als volgt:
- Wederzijdse bijstand: de FSMA en de EBA verlenen elkaar redelijke wederzijdse bijstand in verband met hun respectieve verplichtingen krachtens de toepasselijke gegevensbeschermingswetgeving, met name in verband met de verzoeken van betrokken personen die hun rechten uitoefenen krachtens de AVG, en de inbreuken in verband met persoonsgegevens.
- Verzoeken van de betrokkenen: Meer specifiek zal de FSMA elk verzoek dat een betrokken persoon over de in EuReCa opgenomen gegevens tot haar richt, systematisch aan de EBA overleggen. In dat geval zal de EBA dat verzoek (zo nodig) behandelen met de hulp van de FSMA (voor zover deze de EBA de persoonsgegevens heeft bezorgd waarop het verzoek slaat) en met elke andere autoriteit die alle of bepaalde van die persoonsgegevens via de EuReCa-databank heeft ontvangen. In al die gevallen zal de partij die het verzoek aanvankelijk van de betrokkene heeft ontvangen, verantwoordelijk zijn om deze een antwoord te bezorgen (op basis van de analyse en de door de EBA overgelegde informatie).
- Kwaliteit van de gegevens: Bovendien vraagt de EBA de rapporterende autoriteiten, waaronder de FSMA, om de in EuReCa geregistreerde gegevens jaarlijks te onderzoeken om te garanderen dat ze pertinent, correct en up-to-date blijven, en om na te gaan of ze moeten worden geschrapt.
- Inbreuken in verband met persoonsgegevens: Tot slot moeten de FSMA en de EBA samenwerken als er inbreuken in verband met persoonsgegevens worden vastgesteld die een impact hebben op EuReCa: de FSMA moet de EBA en (in voorkomend geval) de bevoegde gegevensbeschermingsautoriteiten en de betrokken personen op de hoogte brengen van elke inbreuk waarvan zij kennis heeft.
Tot slot wordt vermeld dat de EBA de EuReCa-databank binnen de Europese Economische Ruimte opslaat en beheert.
Vragen?
Heeft u vragen over voornoemde regeling? Dan kan u de website van de EBA raadplegen of de DPO van de FSMA contacteren via het e-mailadres dataprotection@fsma.be.
Deze verklaring is geactualiseerd op 26/04/2024.