Dokument je izvleček s spletišča EUR-Lex.
Dokument 0ba4392e-fc02-11ee-a251-01aa75ed71a1
Decision (EU) 2021/1486 of the European Central Bank of 7 September 2021 adopting internal rules concerning restrictions of rights of data subjects in connection with the European Central Bank’s tasks relating to the prudential supervision of credit institutions (ECB/2021/42)
Konsolidirano besedilo: Решение (ЕС) 2021/1486 на Европейската централна банка от 7 септември 2021 година за приемане на вътрешни правила относно ограниченията на правата на субектите на данни във връзка със задачите на Европейската централна банка, свързани с пруденциалния надзор над кредитните институции (ЕЦБ/2021/42)
Решение (ЕС) 2021/1486 на Европейската централна банка от 7 септември 2021 година за приемане на вътрешни правила относно ограниченията на правата на субектите на данни във връзка със задачите на Европейската централна банка, свързани с пруденциалния надзор над кредитните институции (ЕЦБ/2021/42)
02021D1486 — BG — 11.04.2024 — 001.001
Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ
|
РЕШЕНИЕ (ЕС) 2021/1486 НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА от 7 септември 2021 година за приемане на вътрешни правила относно ограниченията на правата на субектите на данни във връзка със задачите на Европейската централна банка, свързани с пруденциалния надзор над кредитните институции (ОВ L 328, 16.9.2021 г., стp. 15) |
Изменено с:
|
|
|
Официален вестник |
||
|
№ |
страница |
дата |
||
|
РЕШЕНИЕ (ЕС) 2024/902 НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА от 12 март 2024 година |
L 902 |
1 |
22.3.2024 |
|
РЕШЕНИЕ (ЕС) 2021/1486 НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА
от 7 септември 2021 година за приемане на вътрешни правила относно ограниченията на правата на субектите на данни във връзка със задачите на Европейската централна банка, свързани с пруденциалния надзор над кредитните институции
(ЕЦБ/2021/42)
Член 1
Предмет и приложно поле
Правата на субектите на данни, които могат да бъдат ограничавани, са уредени в следните членове от Регламент (ЕС) 2018/1725:
член 14 (прозрачна информация, комуникация и условия за упражняването на правата на субекта на данните);
член 15 (информация, която се предоставя, когато от субекта на данните се събират лични данни);
член 16 (информация, която се предоставя, когато личните данни не са получени от субекта на данните);
член 17 (право на достъп на субекта на данните);
член 18 (право на коригиране);
член 19 (право на изтриване – „право да бъдеш забравен“);
член 20 (право на ограничаване на обработването);
член 21 (задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването);
член 22 (право на преносимост на данните);
член 35 (съобщаване на субекта на данните за нарушение на сигурността на личните данни);
член 36 (поверителност на електронните съобщения);
член 4, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—22 от Регламент (ЕС) 2018/1725.
Член 2
Определения
За целите на настоящото решение се прилагат следните определения:
„обработване“ означава обработване съгласно определението в член 3, точка 3 от Регламент (ЕС) 2018/1725;
„лични данни“ означава лични данни съгласно определението в член 3, точка 1 от Регламент (ЕС) 2018/1725;
„субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождението, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице;
„централен регистър“ означава публично достъпното хранилище на всички дейности по обработване на лични данни, извършени в ЕЦБ, поддържано от ДЛЗД на ЕЦБ и предвидено в член 9 от Решение (ЕС) 2020/655 (ЕЦБ/2020/28);
„администратор“ означава ЕЦБ и по-специално компетентното организационно звено на ЕЦБ, което самостоятелно или съвместно с други, определя целите и средствата на обработването на лични данни и отговаря за операцията по обработването;
„институции и органи на Съюза“ означава институции и органи на Съюза съгласно определението в член 3, точка 10 от Регламент (ЕС) 2018/1725.
Член 3
Прилагане на ограниченията
Администраторът може да ограничи правата, посочени в член 1, параграф 2, за да гарантира интересите и целите, посочени в член 25, параграф 1 от Регламент (ЕС) 2018/1725, по-специално когато упражняването на тези права би застрашило или би засегнало неблагоприятно:
изпълнението на надзорните задачи на ЕЦБ съгласно Регламент (ЕС) № 1024/2013, включително правилното функциониране на системата за надзор;
сигурността и стабилността на кредитните институции и стабилността на финансовата система в рамките на Съюза и на всяка държава членка;
ефективността на съобщаването за нарушения съгласно член 23 от Регламент (ЕС) № 1024/2013;
За да гарантира интересите и целите, посочени в член 25, параграф 1 от Регламент (ЕС) 2018/1725, администраторът може да ограничи правата, посочени в член 1, параграф 2, по отношение на личните данни, получени от други институции и органи на Съюза, от компетентните органи на държавите членки или на трети държави или от международни организации, в следните случаи:
когато упражняването на тези права може да бъде ограничено от други институции и органи на Съюза, от които са получени личните данни, или въз основа на други актове, предвидени в член 25 от Регламент (ЕС) 2018/1725, или в съответствие с глава IX от Регламент (ЕС) 2018/1725, или в съответствие с учредителните актове на други институции и органи на Съюза;
когато упражняването на тези права може да бъде ограничено от компетентните органи на държавите членки, от които са получени личните данни, въз основа на актовете, посочени в член 23 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета ( 1 ), или съгласно националните мерки за транспониране на член 13, параграф 3, член 15, параграф 3 или член 16, параграф 3 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета ( 2 );
когато упражняването на тези права би могло да застраши или да засегне неблагоприятно сътрудничеството на ЕЦБ с трети държави или международни организации, от които е получена информацията, при изпълнението на нейните задачи, освен ако интересите или основните права и свободи на субектите на данни надделяват над интереса на ЕЦБ от сътрудничество.
Преди да приложи ограничение в случаите, посочени в параграф 2, букви а) и б), администраторът:
се осведомява за договореностите, сключени със съответните институции и органи на Съюза или с компетентните органи на държавите членки; и
провежда консултации със съответните институции и органи на Съюза или с компетентните органи на държавите членки, освен ако за него е ясно, че прилагането на това ограничение е предвидено в някой от актовете или мерките, посочени в параграф 2, букви а) и б).
Администраторът може да прилага ограничение само когато въз основа на оценка на всеки отделен случай стигне до заключението, че ограничението:
е необходимо и пропорционално, като се вземат предвид рисковете за правата и свободите на субекта на данните; и
е съобразено със същността на основните права и свободи в едно демократично общество.
Когато няма такъв заместник-ръководител, това решение се взема от прекия ръководител, който е компетентен да направи това в случай на отсъствие, конфликт на интереси или достъп до съответна поверителна информация на ръководителя на съответното структурно.
Член 4
Дерогации
Член 5
Предоставяне на обща информация относно ограниченията
Администраторът предоставя обща информация относно потенциалното ограничаване на правата на субектите на данни, както следва:
администраторът посочва правата, които могат да бъдат ограничени, причините за ограничението и потенциалната му продължителност;
администраторът включва информацията, посочена в буква а), в своите съобщения за защита на данните, декларации за поверителност и регистри на дейностите по обработване, предвидени в член 31 от Регламент (ЕС) 2018/1725.
Член 6
Ограничаване на правото на достъп на субектите на данни, правото на коригиране, правото на изтриване или правото на ограничаване на обработването
Член 7
Продължителност на ограниченията
Когато отмени ограничение съгласно параграф 1, администраторът незабавно:
доколкото все още не е направил това, информира субекта на данните за основните причини, на които се основава прилагането на ограничение;
информира субекта на данните за правото му да подаде жалба до Европейския надзорен орган по защита на данните или да потърси съдебна защита пред Съда на Европейския съюз;
предоставя на субекта на данните правото, което е било предмет на отмененото ограничение;
Член 8
Гаранции
ЕЦБ прилага организационни и технически гаранции, както е посочено в приложението, за предотвратяване на злоупотреби и на неправомерен достъп или прехвърляне.
Член 9
Преглед от длъжностното лице по защита на данните
Когато администраторът ограничава прилагането на правата на субекта на данни, през цялото време той трябва да работи с ДЛЗД. По-специално се прилага следното:
администраторът се консултира без ненужна забава с ДЛЗД;
по искане на ДЛЗД администраторът му предоставя достъп до всички документи, съдържащи основните фактически и правни елементи, включително вътрешната бележка за оценка, посочена в член 3, параграф 5;
администраторът документира как е участвало ДЛЗД, включително относимата информация, която е била обменена, по-специално датата на първата консултация, посочена в буква а);
ДЛЗД може да поиска от администратора да преразгледа ограничението;
администраторът информира в писмен вид ДЛЗД за резултата от поискания преглед без ненужно забавяне и при всички случаи преди прилагането на ограничението.
Член 10
Влизане в сила
Настоящото решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
ПРИЛОЖЕНИЕ
Организационните и технически гаранции в ЕЦБ за предотвратяване на злоупотреби и на неправомерен достъп или прехвърляне включват:
по отношение на лицата:
всички лица, които имат достъп до непублична информация на ЕЦБ, носят отговорност за познаването и прилагането на политиката и правилата на ЕЦБ за управлението и поверителността на информацията;
процедура за разрешение на достъпа, която гарантира, че само проверени и упълномощени лица имат достъп до помещенията на ЕЦБ и до нейната непублична информация;
информационно-технологични мерки, информационни мерки и мерки за повишаване на осведомеността за физическата сигурност;
обучения, които се провеждат редовно за членовете на персонала и външните доставчици на услуги;
по отношение на членовете на персонала на ЕЦБ се прилагат строги правила за професионална тайна, определени в Условията за работа и Правилата за персонала на ЕЦБ, чието нарушаване води до дисциплинарни санкции
правила и задължения, уреждащи достъпа на външни доставчици на услуги или изпълнители на договори до непублична информация на ЕЦБ, които са определени в договорни споразумения;
контрол на достъпа, включително зониране за сигурност, които се прилагат, като се гарантира, че достъпът на лица до непублична информация на ЕЦБ е разрешен и ограничен въз основа на оперативните нужди и изискванията за сигурност;
по отношение на процесите:
наличие на процеси за осигуряване на контролирано внедряване, експлоатация и поддръжка на ИТ приложенията, които подпомагат дейността на ЕЦБ;
използване на ИТ приложения за дейността на ЕЦБ, които отговарят на стандартите за сигурност на ЕЦБ;
наличие на всеобхватна програма за физическа сигурност, чрез която постоянно оценяват заплахите за сигурността и която включва мерки за физическа сигурност, за да се гарантира адекватно ниво на защита;
по отношение на технологиите:
всички електронни данни се съхраняват в ИТ приложения, отговарящи на стандартите за сигурност на ЕЦБ, и по този начин са защитени срещу неразрешен достъп или промяна;
ИТ приложенията се внедряват, експлоатират и поддържат при ниво на сигурност, съответстващо на изискванията за поверителност, цялост и наличност на ИТ приложенията, които се основават на анализи на въздействието върху дейността;
нивото на сигурност на ИТ приложенията редовно се проверява чрез технически и нетехнически оценки на сигурността;
достъпът до непублична информация на ЕЦБ се предоставя в съответствие с принципа „необходимост да се знае“, а привилегированият достъп е строго ограничен и строго контролиран;
осъществяване на контрол за откриване и проследяване на действителни и потенциални нарушения на сигурността.
( 1 ) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).
( 2 ) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).