Consumenten
Professionelen
search_api_autocomplete
Home

GDPR-bijlage

  • De FSMA treedt op als verwerkingsverantwoordelijke voor de persoonsgegevens die zij verwerkt in het kader van interne meldingen van integriteitsschendingen. Zij verwerkt deze gegevens met het oog op het ontvangen en opvolgen van de meldingen, het nagaan van de juistheid van de in de melding gedane beweringen, het desgevallend nemen van maatregelen om de integriteitsschending aan te pakken, en de bescherming tegen represailles. De verwerking van persoonsgegevens is bijgevolg noodzakelijk voor het vervullen van de taken van algemeen belang of taken in het kader van de uitoefening van het openbaar gezag, die aan de FSMA zijn toevertrouwd in de Wet Integriteitsschendingen.  
  • De FSMA zamelt persoonsgegevens in van de volgende categorieën van betrokkenen[1]:
    • de melder (tenzij het om een volledig anonieme melding gaat): het betreft met name identificatiegegevens, beroepsgegevens (bv. functie of aard van de werkrelatie tussen de melder en de FSMA) en eventuele andere persoonsgegevens die verband houden met de inhoud van de gedane melding;
    • de beschuldigde over wie een melding wordt gedaan: het betreft met name identificatiegegevens, beroepsgegevens (bv. functie), gerechtelijke gegevens (m.i.v. gegevens over strafbare feiten) en eventuele andere persoonsgegevens die aan de FSMA worden meegedeeld in het kader van de beschrijving van de integriteitsschending;
    • facilitators: het betreft met name identificatiegegevens en beroepsgegevens (bv. functie);
    • derden die verbonden zijn met de melder: het betreft met name identificatiegegevens en, in voorkomend geval, beroepsgegevens (bv. functie) en informatie over de relatie met de melder; en
    • personen die worden uitgenodigd om mee te werken aan het onderzoek: het betreft met name identificatiegegevens en beroepsgegevens (bv. functie).

    De FSMA ontvangt deze persoonsgegevens in de eerste plaats van de melder. Het is echter ook mogelijk dat de FSMA bij het onderzoek van de melding bijkomende persoonsgegevens ontvangt via de andere, hierboven vermelde personen.

  • De FSMA deelt de gegevens die zij inzamelt in het kader van een melding van een integriteitsschending enkel met anderen dan de gemachtigde personen binnen de grenzen van de strikte geheimhoudingsregels die ter zake gelden (zie hierover 'Welke geheimhoudingsregels gelden er?').
  • De dienst Interne Audit houdt een register bij van elke ontvangen melding van een inbreuk, waartoe enkel de gemachtigde personeelsleden toegang hebben. Alle relevante documenten met betrekking tot een onderzoek, de schriftelijke verslagen van de individuele verklaringen en de onderzoeksrapporten worden gedurende een periode van 10 jaar[2] bijgehouden. Indien echter een gerechtelijke procedure of tuchtmaatregel tegen de beschuldigde, de melder of een andere in het dossier vermelde persoon wordt ingeleid, worden de persoonsgegevens bewaard totdat de betrokken procedures beëindigd zijn, en de termijnen om in beroep te gaan verstreken zijn.
  • Op grond van de Algemene Verordening Gegevensbescherming (beter bekend als 'GDPR')[3] kunnen de melder en alle andere hierboven vermelde betrokkenen in principe een aantal rechten uitoefenen met betrekking tot hun persoonsgegevens. Zo kunnen zij de FSMA verzoeken om inzage, rectificatie of wissing van hun persoonsgegevens. Daarnaast hebben zij het recht om bezwaar te maken tegen de verwerking ervan omwille van specifieke legitieme redenen, en kunnen zij in bepaalde gevallen vragen dat de verwerking van hun persoonsgegevens wordt beperkt. De melder die aan de FSMA zijn toestemming heeft gegeven om zijn identiteit bekend te maken, kan deze toestemming ook te allen tijde intrekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking van die gegevens op basis van de toestemming vóór de intrekking daarvan. 
     

    De FSMA is echter niet in alle gevallen verplicht om gevolg te geven aan verzoeken tot uitoefening van voormelde privacyrechten:

    • Sommige van die rechten hebben een zeer specifiek toepassingsgebied of zijn in de GDPR onderworpen aan speciale voorwaarden of uitzonderingen die relevant zijn in het geval van de FSMA (bv. uitzonderingen in het kader van het algemeen belang).[4]
    • Om de vertrouwelijkheid van het onderzoek en de opvolging van de melding te waarborgen, kan de FSMA in de specifieke context van het interne meldingskanaal ook beperkingen op de volgende rechten toepassen:
      • het recht op informatie wanneer de persoonsgegevens niet van de betrokkene (zoals bedoeld in de GDPR) zelf zijn verkregen,
      • het recht op inzage in de persoonsgegevens; en
      • het recht op rectificatie.

      Voor de melder hebben deze beperkingen enkel betrekking op de opvolging van de melding. Voor andere personen zijn deze beperkingen ook toepasselijk op de melding zelf. Dit houdt concreet in dat de FSMA de uitoefening van de hierboven opgesomde rechten geheel of gedeeltelijk kan weigeren of uitstellen indien de uitoefening ervan nadelig zouden zijn voor de vertrouwelijkheid van het onderzoek, de opvolging van de melding of het geheim van het onderzoek. De FSMA zal dit dossier per dossier bekijken en afwegen.

      Deze beperkingen op de rechten gelden gedurende 10 jaar, vanaf de datum van de melding. Zij hebben geen betrekking op de gegevens die losstaan van het voorwerp van het onderzoek of van de controle die de weigering of beperking van inzage rechtvaardigt.

    • Omwille van het beroepsgeheim waaraan de FSMA is gebonden, zijn bovendien bepaalde rechten uit de GDPR (zoals het recht op toegang, rectificatie en bezwaar), meer algemeen beperkt wanneer de FSMA persoonsgegevens verwerkt met het oog op de uitoefening van een aan haar toevertrouwde wettelijke opdracht, wanneer die persoonsgegevens niet van de betrokkene zelf zijn verkregen[5].

    Indien u uw privacyrechten wenst uit te oefenen, verstuurt u een verzoek naar de dienst Interne Audit, die dit met respect voor de geheimhoudingsregels, in overleg met de DPO zal behandelen. Ten slotte kan u ook op elk ogenblik, als u meent dat uw rechten niet werden gerespecteerd, een klacht indienen bij de Gegevensbeschermingsautoriteit, Drukpersstraat 35, 1000 Brussel, e-mailadres: contact@apd-gba.be (zie ook www.gegevensbeschermingsautoriteit.be), of een vordering in rechte instellen bij de voorzitter van de rechtbank van eerste aanleg, zetelend zoals in kort geding[6].

  • Voor algemene vragen over de verwerking van persoonsgegevens door de FSMA in het kader van het interne meldingskanaal, kan u contact opnemen met de DPO (dataprotection@fsma.be).

 

 

[1]     Het betreft hier betrokkenen zoals bedoeld in de GDPR (geïdentificeerde of identificeerbare natuurlijke personen) en dus niet zoals gebruikt in de Wet Integriteitsschendingen (beperkt tot de beschuldigde).

[2]     Deze termijn begint te lopen vanaf de sluiting van het dossier.

[3]     Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG ('GDPR').

[4]     Zie hoofdstuk III van de GDPR.

[5] Artikel 46bis van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten.

[6] Zie artikel 209 e.v. van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.