16.9.2021   

HR

Službeni list Europske unije

L 328/15

ODLUKA (EU) 2021/1486 EUROPSKE SREDIŠNJE BANKE

od 7. rujna 2021. o donošenju internih pravila koja se odnose na ograničenja prava ispitanika u vezi sa zadaćama Europske središnje banke u pogledu bonitetnog nadzora kreditnih institucija

(ESB/2021/42)

IZVRŠNI ODBOR EUROPSKE SREDIŠNJE BANKE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Statut Europskog sustava središnjih banaka i Europske središnje banke, a posebno njegov članak 11. stavak 6.,

uzimajući u obzir Uredbu (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (1), a posebno njezin članak 25.,

budući da:

(1)

Europska središnja banka (ESB) provodi svoje zadaće u skladu s Ugovorima i Uredbom Vijeća (EU) br. 1024/2013 (2).

(2)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2018/1725, Odluka (EU) 2020/655 Europske središnje banke (ESB/2020/28) (3) utvrđuje opća pravila za primjenu Uredbe (EU) 2018/1725 u pogledu ESB-a. Posebno, odluka određuje pravila koja se odnose na imenovanje i ulogu službenika za zaštitu podataka ESB-a uključujući zadatke, dužnosti i ovlaštenja službenika za zaštitu podataka.

(3)

U obavljanju zadaća dodijeljenih ESB-u ESB, a posebno odnosna organizacijska jedinica, djeluje kao voditelj obrade podataka u mjeri u kojoj određuje, sama ili zajedno s drugima, svrhu i sredstva obrade osobnih podataka.

(4)

U skladu s člankom 4. stavkom 1. Uredbe (EU) br. 1024/2013, ESB je isključivo nadležan za provođenje, u svrhu nadzora, i u svrhu osiguranja sigurnosti i stabilnosti kreditnih institucija i stabilnosti financijskog sustava, određenih zadaća u odnosu na sve kreditne institucije u državama članicama koje sudjeluju u Jedinstvenom nadzornom mehanizmu (SSM).

(5)

U izvršavanju ovih određenih zadaća, ESB obrađuje nekoliko kategorija podataka koji mogu biti povezani s pojedincem čiji je identitet utvrđen ili se može utvrditi kao što su identifikacijski podaci, podaci o ugovoru, profesionalni podaci, financijske ili administrativne pojedinosti, podaci dobiveni iz određenih izvora, podaci o elektroničkoj komunikaciji i podaci o elektroničkom prometu, kaznene evidencije, opis financijskih i nefinancijskih interesa, pojedinosti o odnosima pojedinaca ili njihovih bliskih srodnika prema nadziranim subjektima ili članovima uprave nadziranih subjekata i podaci koji se odnose na položaj za koji je pojedinac imenovan ili može biti imenovan. Osobni podaci također mogu biti dio ocjene koja uključuje procjenu provedenu: u svrhu odobrenja za rad kreditne institucije, oduzimanje odobrenja za rad kreditne institucije i postupak povezan sa stjecanjem kvalificiranog udjela; u odnosu na pravo poslovnog nastana za značajan nadzirani subjekt; kako bi se utvrdilo jesu li ispunjeni uvjeti za sposobnost i primjerenost; u vezi s politikama nagrađivanja značajnih nadziranih subjekata i u pogledu kredita od strane tog subjekta njegovim vlastitim višim službenicima i osobama koje su u srodstvu s tim službenicima, te u vezi s navodima u pogledu potencijalnih povreda pravnih akata iz članka 4. stavka 3. Uredbe (EU) br. 1024/2013.

(6)

Cilj ESB-a u izvršavanju ovih određenih zadaća je slijediti važne ciljeve od općeg javnog interesa Unije. Iz tog razloga, izvršavanje takvih zadaća treba biti zaštićeno na način predviđen Uredbom (EU) 2018/1725, posebno njenim člankom 25. stavkom 1. točkama (c) i (g). Posebno, u izvršavanju takvih zadaća ESB djeluje u općem interesu Unije kao javno tijelo kojem je povjereno izvršavanje, u nadzorne svrhe, određenih zadataka u odnosu na sve kreditne institucije osnovane u državama članicama koje sudjeluju u SSM-u. Takve zadaće uključuju nadzor, inspekciju ili regulatorne funkcije povezane s izvršavanjem službenih ovlasti u vezi s bonitetnim nadzorom kreditnih institucija.

(7)

U tom je kontekstu prikladno navesti osnove na kojima ESB može ograničiti prava ispitanika u odnosu na podatke dobivene u obavljanju svojih nadzornih zadaća u skladu s Uredbom (EU) br. 1024/2013.

(8)

U skladu s člankom 25. stavkom 1. Uredbe (EU) 2018/1725, ograničenja primjene članaka 14. do 22, 35. i 36. te, ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima 14. do 22., članka 4. te Uredbe, trebaju se propisati internim pravilima ili pravnim aktima donesenima na temelju Ugovora. U skladu s tim, ESB treba odrediti pravila prema kojima može, u obavljanju svojih nadzornih zadaća, ograničiti prava ispitanika.

(9)

Iako ova odluka utvrđuje pravila prema kojima ESB može ograničiti prava ispitanika u obavljanju svojih nadzornih zadaća, Izvršni odbor namjerava usvojiti posebnu odluku kojom usvaja interna pravila koja se odnose na ograničenje ovih prava kada ESB obrađuje osobne podatke u vezi sa svojim internim funkcioniranjem.

(10)

ESB će možda moći primijeniti iznimku u skladu s Uredbom (EU) 2018/1725, koja čini potrebu za ograničenjem nepotrebnom, uključujući posebno one navedene u članku 15. stavku 4., članku 16. stavku 5., članku 19. stavku 3. i članku 35. stavku 3. te Uredbe. Za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, ESB će možda moći primijeniti iznimku navedenu u točki (b) članka 16. stavka 5. ili točki (d) članka 19. stavka 3. Uredbe (EU) 2018/1725.

(11)

Ostvarivanja prava ispitanika iz članaka 17., 18., 20., 21., 22. i 23. Uredbe (EU) 2018/1725 može onemogućiti ili ozbiljno narušiti postizanje određenih svrha uključujući, prema potrebi, svrhe arhiviranja u javnom interesu, svrhe znanstvenog ili povijesnog istraživanja ili statističke svrhe. Stoga ova odluka treba omogućiti odstupanje od ovih prava u skladu s člankom 25 stavkom 3. ili 4. Uredbe (EU) 2018/1725 podložno odgovarajućim zaštitnim mjerama.

(12)

ESB treba obrazložiti zašto su takva ograničenja prava ispitanika nužna i proporcionalna u demokratskom društvu kako bi se zaštitili ciljevi kojima se teži u izvršavanju njegovih službenih ovlasti i s njima povezanim funkcijama te kako ESB poštuje bit temeljnih prava i sloboda dok nameće sva takva ograničenja.

(13)

U ovom okviru ESB je dužan u najvećoj mogućoj mjeri poštovati temeljna prava ispitanika, posebno ona koja se odnose na pravo pružanja informacija, pristup i ispravak, pravo na brisanje, ograničavanje obrade, pravo obavješćivanja ispitanika o povredi osobnih podataka ili povjerljivosti komunikacija kako je predviđeno u Uredbi (EU) 2018/1725.

(14)

Međutim, ESB može biti obvezan ograničiti informacije koje se daju ispitanicima i prava drugih ispitanika kako bi zaštitio izvršavanje svojih nadzornih zadaća, posebno vlastitih istraga i postupaka, istraga i postupaka drugih tijela javne vlasti i temeljna prava i slobode drugih osoba povezanih s istragom ili drugim postupcima.

(15)

ESB bi trebao ukinuti ograničenje koje je već primijenjeno u mjeri u kojoj više nije potrebno.

(16)

ESB-ov službenik za zaštitu podataka bi trebao razmotriti primjenu ograničenja s ciljem osiguranja poštivanja ove Odluke i Uredbe (EU) 2018/1725.

(17)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 41. stavkom 2. Uredbe (EU) 2018/1725 koji je donio mišljenje 12. ožujka 2021.,

DONIO JE OVU ODLUKU:

Članak 1.

Predmet i područje primjene

1.   Ovom odlukom utvrđuju se pravila koja se odnose na ograničenje prava ispitanika od strane ESB-a prilikom provođenja aktivnosti obrade osobnih podataka kako je evidentirano u središnjem registru, u obavljanju svojih nadzornih zadaća u skladu s Uredbom (EU) br. 1024/2013.

2.   Prava ispitanika koja se mogu ograničiti navedena su u sljedećim člancima Uredbe (EU) 2018/1725:

(a)

članak 14. (transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika);

(b)

članak 15. (informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika);

(c)

članak 16. (informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika);

(d)

članak 17. (pravo ispitanika na pristup);

(e)

članak 18. (pravo na ispravak);

(f)

članak 19. (pravo na brisanje („pravo na zaborav”));

(g)

članak 20. (pravo na ograničenje obrade);

(h)

članak 21. (obveza obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade);

(i)

članak 22. (pravo na prenosivost podataka);

(j)

članak 35. (obavješćivanje ispitanika o povredi osobnih podataka);

(k)

članak 36. (povjerljivost elektroničkih komunikacija);

(l)

članak 4. ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima od 14. do 22. Uredbe (EU) 2018/1725.

Članak 2.

Definicije

Za potrebe ove Odluke primjenjuju se sljedeće definicije:

1.

„obrada” znači obrada kako je utvrđena u točki 3. članka 3. Uredbe (EU) 2018/725;

2.

„osobni podaci” znače osobni podaci kako su utvrđeni točkom 1. članka 3. Uredbe (EU) 2018/1725;

3.

„ispitanik” znači pojedinac čiji je identitet utvrđen ili se može utvrditi; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

4.

„središnji registar” znači javno dostupan repozitorij svih aktivnosti obrade osobnih podataka koje se provode u ESB-u, koji vodi službenik za zaštitu podataka ESB-a, iz članka 9. Odluke (EU) 2020/655 (ESB/2020/28);

5.

„voditelj obrade” znači ESB, a posebno nadležna organizacijska jedinica u okviru ESB-a koja, samostalno ili zajedno s ostalima, određuje svrhe i sredstva obrade osobnih podataka i koja je odgovorna za postupak obrade.

6.

„institucije i tijela Unije” znači institucije i tijela Unije kako su utvrđena člankom 3. točkom 10. Uredbe (EU) 2018/1725;

Članak 3.

Primjena ograničenja

1.   Voditelj obrade može ograničiti prava iz članka 1. stavka 2. kako bi zaštitio interese i ciljeve navedene u članku 25. stavku 1. Uredbe (EU) 2018/1725, a posebno kada izvršavanje ovih prava ugrožava ili na drugi način negativno utječe na:

(a)

izvršavanje ESB-ovih nadzornih zadaća temeljem Uredbe (EU) br. 1024/2013, uključujući pravilno funkcioniranje nadzornog sustava;

(b)

sigurnost i pouzdanost bankovnog sustava te stabilnost financijskog sustava u Europskoj uniji i svakoj državi članici;

(c)

učinkovitost izvještavanja o povredama u skladu s člankom 23. Uredbe (EU) br. 1024/2013;

2.   Kako bi zaštitio interese i ciljeve navedene u članku 25. stavku 1. Uredbe (EU) 2018/1725, voditelj obrade može ograničiti prava navedena u članku 1. stavku 2. u pogledu osobnih podataka pribavljenih od drugih institucija i tijela Unije i nadležnih tijela država članica ili trećih zemalja ili međunarodnih organizacija, u bilo kojoj od sljedećih okolnosti:

(a)

kada bi izvršavanje ovih prava mogle ograničiti druge institucije i tijela Unije, od kojih su osobni podaci dobiveni na temelju drugih akata predviđenih člankom 25. Uredbe (EU) 2018/1725 ili u skladu s poglavljem IX. te Uredbe ili s aktima o osnivanju drugih institucija i tijela Unije;

(b)

kada bi izvršavanje ovih prava mogla ograničiti nadležna tijela država članica od kojih su dobiveni osobni podaci na temelju akata iz članka 23. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (4) ili prema nacionalnim mjerama kojima se prenose članak 13. stavak 3., članak 15. stavak 3. ili članak 16. stavak 3. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća (5);

(c)

kada bi izvršavanje ovih prava moglo ugroziti ili na drugi način negativno utjecati na suradnju ESB-a s trećim zemljama ili međunarodnim organizacijama od kojih su informacije pribavljene, u izvršavanju njegovih zadaća, osim ako interes ESB-a za suradnju ima prednost pred interesima ili temeljnim pravima i slobodama ispitanika.

3.   Prije primjene ograničenja u okolnostima navedenim u točkama (a) i (b) stavka 2., voditelj obrade:

(a)

prima na znanje dogovore sklopljene s relevantnim institucijama i tijelima Unije ili nadležnim tijelima država članica; i

(b)

savjetuje se s relevantnim institucijama i tijelima Unije ili nadležnim tijelima država članica osim ako voditelju obrade nije jasno da je primjena tog ograničenja predviđena jednim od akata ili mjera iz točaka (a) i (b) stavka 2.

4.   Voditelj obrade može primijeniti ograničenje samo ako na procjeni od slučaja do slučaja zaključi da je ograničenje:

(a)

potrebno i proporcionalno uzimajući u obzir rizike za prava i slobode ispitanika; i

(b)

poštuje bit temeljnih prava i sloboda u demokratskom društvu.

5.   Voditelj obrade dokumentira svoju procjenu u bilješci o internoj procjeni koja uključuje pravnu osnovu, razloge ograničenja, prava ispitanika koja su ograničena, pogođene ispitanike, nužnost i proporcionalnost ograničenja i moguće trajanje ograničenja.

6.   Odluka o ograničenju prava ispitanika u skladu s ovom odlukom koju donosi voditelj obrade, donosi se na razini odgovarajućeg voditelja poslovnog područja ili zamjenika voditelja u čijem se poslovnom području provodi glavna obrada koja uključuje osobne podatke.

Članak 4.

Odstupanja

1.   Za obradu u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe, voditelj obrade može primijeniti odstupanja u skladu s člankom 25. stavkom 3. Uredbe (EU) 2018/1725. U tu svrhu voditelj obrade može odstupiti od prava navedenih u člancima 17., 18., 20. i 23. Uredbe (EU) 2018/1725 u skladu s uvjetima navedenim u članku 25. stavak 3. te Uredbe.

2.   Za obradu u svrhe arhiviranja od javnog interesa, voditelj obrade može primijeniti odstupanja u skladu s člankom 25. stavkom 4. Uredbe (EU) 2018/1725. U tu svrhu voditelj obrade može odstupiti od prava navedenih u člancima 17., 18., 20., 21., 22. i 23. Uredbe (EU) 2018/1725 u skladu s uvjetima navedenim u članku 25. stavku 4. te Uredbe.

3.   Takva odstupanja su podložna odgovarajućim zaštitnim mjerama u skladu s člankom 13. Uredbe (EU) 2018/1725 i člankom 8. ove Odluke.

Članak 5.

Pružanje općih informacija o ograničenjima

Voditelj obrade pruža opće informacije o mogućim ograničenjima prava ispitanika kako slijedi:

(a)

voditelj obrade navodi prava koja se mogu ograničiti, razloge za ograničenje i moguće trajanje;

(b)

voditelj obrade uključuje informacije navedene u točki (a) u svojim obavijestima o zaštiti podataka, izjavama o zaštiti privatnosti i evidencijama aktivnosti obrade kako je navedeno u članku 31. Uredbe (EU) 2018/1725.

Članak 6.

Ograničenje prava pristupa ispitanicima, pravo na ispravak, pravo na brisanje ili ograničenje obrade

1.   Kada voditelj obrade ograniči, u cijelosti ili djelomično, pravo pristupa, pravo na ispravak, pravo na brisanje ili pravo na ograničenje obrade, navedene u člancima 17., 18., 19. stavak 1. i 20. stavak 1. Uredbe (EU) 2018/1725, u roku navedenom u članku 11 stavku 5. Odluke (EU) 2020/655 (ESB/2020/28), obavijestit će odnosnog ispitanika, u svom pisanom odgovoru na zahtjev, o primijenjenim ograničenjima, glavnim razlozima za ograničenje i mogućnosti da podnese pritužbu Europskom nadzorniku za zaštitu podataka ili da zatraži pravni lijek na Sudu Europske Unije.

2.   Voditelj obrade čuva bilješku o internoj procjeni navedenu u članku 3. stavku 5. te, kada je to primjenjivo, dokumente koji sadrže temeljne činjenične i pravne elemente te ih na zahtjev stavlja na raspolaganje Europskom nadzorniku za zaštitu podataka.

3.   Voditelj obrade može odgoditi, izostaviti ili uskratiti davanje podataka u vezi s razlozima ograničenja iz stavka 1. sve dok bi to pružanje podataka narušavalo svrhu ograničenja. Čim voditelj obrade utvrdi da davanje podataka više ne narušava svrhu ograničenja, voditelj obrade će te podatke dati ispitaniku.

Članak 7.

Trajanje ograničenja

1.   Voditelj obrade ukida ograničenje čim više ne vrijede okolnosti koje opravdavaju to ograničenje.

2.   Ako voditelj obrade ukine ograničenje u skladu sa stavkom 1., voditelj obrade će odmah:

(a)

u mjeri u kojoj to već nije učinio, obavijestiti ispitanika o glavnim razlozima na kojima se temeljila primjena ograničenja;

(b)

obavijestiti ispitanika o njegovom ili njezinom pravu da podnese pritužbu Europskom nadzorniku za zaštitu podataka ili da zatraži pravni lijek pred Sudom Europske unije;

(c)

dodijeliti ispitaniku pravo koje je bilo predmetom ukinutog ograničenja.

3.   Voditelj obrade će svakih šest mjeseci ponovo procijeniti potrebu za održavanjem ograničenja primijenjenog na temelju ove Odluke i dokumentirat će njegovu ponovnu procjenu u bilješci o internoj procjeni.

Članak 8.

Zaštitne mjere

ESB primjenjuje organizacijske i tehničke zaštitne mjere kako je navedeno u Prilogu radi sprečavanja zlouporabe ili nezakonitog pristupa ili prijenosa.

Članak 9.

Preispitivanje od strane službenika za zaštitu podataka

1.   Ako voditelj obrade ograničava primjenu prava ispitanika, on mora neprestano uključivati službenika za zaštitu podataka. Posebno, primjenjuje se sljedeće:

(a)

voditelj obrade će se bez odgode obratiti službeniku za zaštitu podataka;

(b)

na zahtjev službenika za zaštitu podataka, voditelj obrade osigurava službeniku za zaštitu podataka pristup svim dokumentima koji sadrže temeljne činjenične i pravne elemente, uključujući bilješku o internoj procjeni iz članka 3. stavka 5.;

(c)

voditelj obrade će dokumentirati na koji je način službenik za zaštitu podataka bio uključen, uključujući relevantne informacije koje su se podijelile, posebno datum njegovog prvog savjetovanja iz točke (a);

(d)

službenik za zaštitu podataka može zatražiti od voditelja obrade da revidira ograničenje;

(e)

voditelj obrade će obavijestiti službenika za zaštitu podataka u pisanom obliku o ishodu traženog pregleda bez odgode i u svakom slučaju prije nego što se primijeni bilo koje ograničenje.

2.   Voditelj obrade će obavijestiti službenika za zaštitu podataka kada se ograničenje ukine.

Članak 10.

Stupanje na snagu

Ova Odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Frankfurtu na Majni, 7. rujna 2021.

Predsjednica ESB-a

Christine LAGARDE

(1)   SL L 295, 21,11.2018., str. 39.

(2)  Uredba Vijeća (EU) br. 1024/2013 od 15. listopada 2013. o dodjeli određenih zadaća Europskoj središnjoj banci u vezi s politikama bonitetnog nadzora kreditnih institucija (SL L 287, 29.10.2013., str. 63.).

(3)  Odluka (EU) 2020/655 Europske središnje banke od 5. svibnja 2020. o donošenju provedbenih pravila o zaštiti podataka u Europskoj središnjoj banci i stavljanju izvan snage Odluke ESB/2007/1 (ESB/2020/28), (SL L 152, 15.5.2020., str. 13.).

(4)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(5)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/JHA (SL L 119, 4.5.2016., str. 89.).

PRILOG

Organizacijske i tehničke zaštitne mjere u ESB-u za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa uključuju sljedeće:

(a)

u pogledu osoba:

i.

sve osobe koje imaju pristup nejavnim informacijama ESB-a odgovorne su za poznavanje i primjenu politike i pravila ESB-a o upravljanju i povjerljivosti informacija;

ii.

postupak sigurnosne provjere koji osigurava da samo provjerene i ovlaštene osobe imaju pristup prostorijama ESB-a i njegovim nejavnim informacijama;

iii.

informatičke, informacijske i sigurnosne mjere;

iv.

obuke podizanja razine svijesti koje se redovito održavaju za članove osoblja i vanjske pružatelje usluga;

v.

članovi osoblja ESB-a podliježu strogim pravilima o poslovnoj tajni utvrđenim u Uvjetima zapošljavanja i Pravilniku o osoblju ESB-a, čija povreda dovodi do disciplinskih sankcija;

vi.

pravila i obveze kojima se regulira pristup nejavnim informacijama ESB-a vanjskim pružateljima usluga ili dobavljačima, koje su utvrđene u ugovornim pogodbama;

vii.

kontrole pristupa uključujući sigurnosno zoniranje koje se provodi osiguravajući da je pristup osobama nejavnim informacijama ESB-a odobren i ograničen na temelju poslovnih potreba i sigurnosnih zahtjeva;

(b)

u pogledu postupaka:

i.

postoje postupci koji osiguravaju kontroliranu implementaciju, rad i održavanje informatičkih aplikacija koje podržavaju poslovanje ESB-a;

ii.

upotreba informatičkih aplikacija za poslovanje ESB-a koje su u skladu sa sigurnosnim standardima ESB-a;

iii.

postojanje sveobuhvatnog programa fizičke zaštite koji kontinuirano procjenjuje sigurnosne prijetnje i obuhvaća mjere fizičke sigurnosti kako bi se osigurala odgovarajuća razina zaštite;

(c)

u pogledu tehnologije:

i.

svi elektronički podaci pohranjeni su u informatičkim aplikacijama u skladu sa sigurnosnim standardima ESB-a i na taj način su zaštićeni od neovlaštenog pristupa ili promjene;

ii.

informatičke aplikacije koje se implementiraju, kojima se upravlja i koje se održavaju na razini sigurnosti proporcionalnoj potrebama povjerljivosti, integriteta i dostupnosti informatičkih aplikacije, a koje se temelje na analizama učinka na poslovanje;

iii.

razina sigurnosti informatičkih aplikacija koja se redovito provjerava tehničkim i netehničkim procjenama sigurnosti;

iv.

pristup nejavnim informacijama ESB-a odobrava se u skladu s načelom nužnosti pristupa informacijama, a privilegirani pristup strogo je ograničen i strogo kontroliran;

v.

provodi se kontrola za otkrivanje i praćenje stvarnih i potencijalnih narušavanja sigurnosti.