2021 9 16   

LT

Europos Sąjungos oficialusis leidinys

L 328/15

EUROPOS CENTRINIO BANKO SPRENDIMAS (ES) 2021/1486

2021 m. rugsėjo 7 d. kuriuo patvirtinamos vidaus taisyklės dėl duomenų subjektų teisių apribojimų Europos Centriniam Bankui vykdant su prudencine kredito įstaigų priežiūra susijusius uždavinius

(ECB/2021/42)

EUROPOS CENTRINIO BANKO VYKDOMOJI VALDYBA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į Europos centrinių bankų sistemos ir Europos Centrinio Banko statutą, ypač į jo 11 straipsnio 6 dalį,

atsižvelgdama į 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (1), ypač į jo 25 straipsnį,

kadangi:

(1)

Europos Centrinis Bankas (ECB) vykdo savo uždavinius pagal Sutartis ir Tarybos reglamentą (ES) Nr. 1024/2013 (2);

(2)

vadovaujantis Reglamento (ES) 2018/1725 45 straipsnio 3 dalimi, Europos Centrinio Banko sprendime (ES) 2020/655 (ECB/2020/28) (3) nustatytos bendrosios Reglamento (ES) 2018/1725 įgyvendinimo ECB taisyklės. Visų pirma jame įtvirtintos taisyklės, susijusios su ECB duomenų apsaugos pareigūno (DAP) paskyrimu ir vaidmeniu, įskaitant DAP uždavinius, pareigas ir įgaliojimus;

(3)

kai vykdydamas jam pavestus uždavinius ECB, visų pirma atitinkamas jo organizacinis padalinys, vienas ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones, jis veikia kaip duomenų valdytojas;

(4)

pagal Reglamento (ES) Nr. 1024/2013 4 straipsnio 1 dalį ECB turi išimtinę kompetenciją priežiūros tikslais ir siekdamas užtikrinti kredito įstaigų saugumą ir patikimumą bei finansų sistemos stabilumą vykdyti specialius uždavinius visų kredito įstaigų, įsteigtų bendrame priežiūros mechanizme (BPM) dalyvaujančiose valstybėse narėse, atžvilgiu;

(5)

vykdydamas šiuos specialius uždavinius ECB tvarko keleto kategorijų informaciją, kuri gali būti susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, pavyzdžiui, tapatybės duomenis, kontaktinius duomenis, profesinius duomenis, finansinius ar administracinius duomenis, iš konkrečių šaltinių gautus duomenis, elektroninių ryšių ir elektroninių duomenų srauto duomenis, duomenis apie teistumą, finansinių ir nefinansinių interesų aprašymus, duomenis apie asmens ar jo artimųjų giminaičių ryšius su prižiūrimais subjektais arba su prižiūrimų subjektų valdymo organų nariais ir duomenis, susijusius su pareigomis, į kurias asmuo buvo arba gali būti paskirtas. Asmens duomenys taip pat gali būti įtraukti į vertinimą, įskaitant atvejus, kai vertinimas atliekamas išduodant ar panaikinant kredito įstaigos veiklos leidimą, atliekant su kvalifikuotąją akcijų paketo dalimi susijusią procedūrą; dėl prižiūrimo subjekto įsisteigimo teisės; siekiant nustatyti, ar laikomasi kompetencijos ir tinkamumo reikalavimų; dėl svarbaus prižiūrimo subjekto atlyginimų politikos ir dėl kreditų, kuriuos toks subjektas suteikia savo aukštesnio rango darbuotojams ir su šiais darbuotojais susijusiems asmenims; kilus įtarimų dėl galimų Reglamento (ES) Nr. 1024/2013 4 straipsnio 3 dalyje nurodytų teisės aktų pažeidimų;

(6)

vykdydamas šiuos specialius uždavinius ECB siekia svarbių Sąjungos bendrojo viešojo intereso tikslų. Dėl šios priežasties tokių uždavinių vykdymas turėtų būti apsaugotas, kaip nustatyta Reglamente (ES) 2018/1725, ypač jo 25 straipsnio 1 dalies c ir g punktuose. Vykdydamas minėtus uždavinius ECB visų pirma veikia Sąjungos bendrojo viešojo intereso labui kaip valdžios institucija, kuriai pavesta priežiūros tikslais vykdyti specialius uždavinius visų kredito įstaigų, įsteigtų BPM dalyvaujančiose valstybėse narėse, atžvilgiu. Tarp tokių uždavinių – stebėsenos, tikrinimo ar reguliavimo funkcijos, susijusios su viešosios valdžios funkcijų vykdymu atliekant prudencinę kredito įstaigų priežiūrą;

(7)

šiuo atžvilgiu tikslinga nurodyti, kokiu pagrindu ECB gali apriboti duomenų subjektų teises, susijusias su duomenimis, gautais vykdant jo priežiūros uždavinius pagal Reglamentą (ES) Nr. 1024/2013;

(8)

vadovaujantis Reglamento (ES) 2018/1725 25 straipsnio 1 dalimi, to reglamento 14–22, 35, 36 straipsnių ir 4 straipsnio (tiek, kiek jo nuostatos atitinka 14–22 straipsniuose numatytas teises ir prievoles) taikymas gali būti apribotas vidaus taisyklėmis arba remiantis Sutartimis priimtais teisės aktais. Taigi ECB turėtų nustatyti taisykles, pagal kurias vykdydamas savo priežiūros uždavinius galėtų apriboti duomenų subjektų teises;

(9)

šiame sprendime išdėstytos taisyklės, pagal kurias ECB gali apriboti duomenų subjektų teises vykdydamas savo priežiūros uždavinius, o Vykdomoji valdyba ketina priimti atskirą sprendimą, kuriuo bus patvirtintos vidaus taisyklės dėl tokių teisių apribojimo, kai ECB tvarko asmens duomenis vykdydamas vidaus funkcijas;

(10)

ECB pagal Reglamentą (ES) 2018/1725 gali taikyti išimtį, įskaitant pirmiausia minėto reglamento 15 straipsnio 4 dalyje, 16 straipsnio 5 dalyje, 19 straipsnio 3 dalyje ir 35 straipsnio 3 dalyje nustatytas išimtis, ir tokiais atvejais apribojimų taikyti nebūtina. Kai duomenys tvarkomi archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų arba statistiniais tikslais, ECB gali taikyti Reglamento (ES) 2018/1725 16 straipsnio 5 dalies b punkte arba 19 straipsnio 3 dalies d punkte nustatytas išimtis;

(11)

dėl naudojimosi Reglamento (ES) 2018/1725 17, 18, 20, 21, 22 ir 23 straipsniuose nurodytomis duomenų subjektų teisėmis tam tikrus tikslus, atitinkamai įskaitant archyvavimo viešojo intereso labui, mokslinių ar istorinių tyrimų arba statistinius tikslus, pasiekti gali tapti neįmanoma arba tam gali iškilti rimtų kliūčių. Todėl, remiantis Reglamento (ES) 2018/1725 25 straipsnio 3 arba 4 dalimi, šiame sprendime turėtų būti išdėstyta su tomis teisėmis susijusi nukrypti leidžianti nuostata, o ją taikant kartu būtų taikomos atitinkamas apsaugos priemones;

(12)

ECB turėtų pagrįsti, kodėl tokie duomenų subjektų teisių apribojimai yra demokratinėje visuomenėje būtinai reikalinga ir proporcinga priemonė, skirta apsaugoti ECB tikslams, kurių ECB siekia vykdydamas viešosios valdžios ir su tuo susijusias funkcijas, ir kaip nustatydamas bet kuriuos iš tokių apribojimų ECB gerbia pagrindinių teisių ir laisvių esmę;

(13)

pagal šią tvarką ECB privalo kiek galėdamas labiau gerbti pagrindines duomenų subjektų teises, ypač susijusias su teise gauti informaciją, teise susipažinti su duomenimis ir reikalauti juos ištaisyti, teise reikalauti juos ištrinti, apriboti duomenų tvarkymą, teise į tai, kad duomenų subjektui būtų pranešta apie asmens duomenų saugumo pažeidimą, arba teise į pranešimų konfidencialumą, kaip nustatyta Reglamente (ES) 2018/1725;

(14)

tačiau tam, kad ECB galėtų apsaugoti savo priežiūros uždavinių vykdymą, ypač savo vykdomus tyrimus ir procedūras, kitų valdžios institucijų vykdomus tyrimus ir procedūras bei kitų asmenų, susijusių su jo tyrimais arba kitomis procedūromis, pagrindines teises ir laisves, ECB gali tekti apriboti duomenų subjektams teikiamą informaciją ir duomenų subjektų teises;

(15)

ta apimtimi, kuria jau taikomas apribojimas nebėra reikalingas, ECB jį turėtų panaikinti;

(16)

ECB DAP turėtų peržiūrėti apribojimų taikymą siekdamas užtikrinti atitiktį šiam sprendimui ir Reglamentui (ES) 2018/1725;

(17)

vadovaujantis Reglamento (ES) 2018/1725 41 straipsnio 2 dalimi konsultuotasi su Europos duomenų apsaugos priežiūros pareigūnu, kuris pateikė nuomonę 2021 m. kovo 12 d.,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Dalykas ir taikymo sritis

1.   Šiame sprendime nustatytos taisyklės, pagal kurias ECB apriboja duomenų subjektų teises, kai ECB, vykdydamas priežiūros uždavinius pagal Reglamentą (ES) Nr. 1024/2013, vykdo asmens duomenų tvarkymo veiklą, nurodytą centriniame registre.

2.   Gali būti apribotos duomenų subjektų teisės, nurodytos šiuose Reglamento (ES) 2018/1725 straipsniuose:

a)

14 straipsnyje (Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos);

b)

15 straipsnyje (Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto);

c)

16 straipsnyje (Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto);

d)

17 straipsnyje (Duomenų subjekto teisė susipažinti su duomenimis);

e)

18 straipsnyje (Teisė reikalauti ištaisyti duomenis);

f)

19 straipsnyje (Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“));

g)

20 straipsnyje (Teisė apriboti duomenų tvarkymą);

h)

21 straipsnyje (Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą);

i)

22 straipsnyje (Teisė į duomenų perkeliamumą);

j)

35 straipsnyje (Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą);

k)

36 straipsnyje (Elektroninių pranešimų konfidencialumas);

l)

4 straipsnyje – ta apimtimi, kuria jo nuostatos atitinka Reglamento (ES) 2018/1725 14–22 straipsniuose nurodytas teises ir prievoles.

2 straipsnis

Apibrėžtys

Šiame sprendime vartojamų sąvokų apibrėžtys:

1)

duomenų tvarkymas – duomenų tvarkymas, kaip apibrėžta Reglamento (ES) 2018/1725 3 straipsnio 3 punkte;

2)

asmens duomenys – asmens duomenys, kaip apibrėžta Reglamento (ES) 2018/1725 3 straipsnio 1 punkte;

3)

duomenų subjektas – fizinis asmuo, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti; fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

4)

centrinis registras – Sprendimo (ES) 2020/655 (ECB/2020/28) 9 straipsnyje nurodyta ECB DAP tvarkoma viešai prieinama visos ECB vykdomos asmens duomenų tvarkymo veiklos duomenų saugykla;

5)

duomenų valdytojas – ECB, visų pirma kompetentingas ECB organizacinis padalinys, kuris vienas ar kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones ir yra atsakingas už duomenų tvarkymo operaciją;

6)

Sąjungos institucijos ir organai – Sąjungos institucijos ir organai, kaip apibrėžta Reglamento (ES) 2018/1725 3 straipsnio 10 punkte.

3 straipsnis

Apribojimų taikymas

1.   Duomenų valdytojas gali apriboti 1 straipsnio 2 dalyje nurodytas teises, kad apsaugotų Reglamento (ES) 2018/1725 25 straipsnio 1 dalyje nurodytus interesus ir tikslus, ypač tais atvejais, kai naudojimasis tomis teisėmis keltų pavojų arba darytų kitokį neigiamą poveikį:

a)

ECB priežiūros uždavinių vykdymui pagal Reglamentą (ES) Nr. 1024/2013, įskaitant tinkamą priežiūros sistemos veikimą;

b)

kredito įstaigų saugumui ir patikimumui bei finansų sistemos stabilumui Sąjungoje ir kiekvienoje valstybėje narėje;

c)

pranešimo apie pažeidimus pagal Reglamento (ES) Nr. 1024/2013 23 straipsnį veiksmingumui.

2.   Siekdamas apsaugoti Reglamento (ES) 2018/1725 25 straipsnio 1 dalyje nurodytus interesus ir tikslus, duomenų valdytojas gali apriboti 1 straipsnio 2 dalyje nurodytas teises, susijusias su asmens duomenimis, gautais iš kitų Sąjungos institucijų ir organų ir valstybių narių ar trečiųjų šalių kompetentingų institucijų arba tarptautinių organizacijų, bet kuriomis iš šių aplinkybių:

a)

kai kitos Sąjungos institucijos ir organai, iš kurių buvo gauti asmens duomenys, remdamiesi kitais Reglamento (ES) 2018/1725 25 straipsnyje nurodytais aktais, pagal minėto reglamento IX skyrių arba kitų Sąjungos institucijų ir organų steigimo aktus gali apriboti naudojimąsi tomis teisėmis;

b)

kai valstybių narių, iš kurių buvo gauti asmens duomenys, kompetentingos institucijos, remdamosi Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (4) 23 straipsnyje nurodytais aktais arba nacionalinėmis priemonėmis, kuriomis į nacionalinę teisę perkelta Europos Parlamento ir Tarybos direktyvos (ES) 2016/680 (5) 13 straipsnio 3 dalis, 15 straipsnio 3 dalis arba 16 straipsnio 3 dalis, gali apriboti naudojimąsi tomis teisėmis;

c)

kai naudojimasis tomis teisėmis ECB vykdant savo uždavinius galėtų statyti į pavojų arba kitaip neigiamai paveikti ECB bendradarbiavimą su trečiosiomis šalimis arba tarptautinėmis organizacijomis, iš kurių buvo gauta informacija, išskyrus tuos atvejus, kai duomenų subjektų interesai arba pagrindinės teisės ir laisvės yra viršesnės už ECB bendradarbiavimo interesą.

3.   Prieš taikydamas apribojimą 2 dalies a ir b punktuose nurodytomis aplinkybėmis, duomenų valdytojas:

a)

atsižvelgia į susitarimus, sudarytus su atitinkamomis Sąjungos institucijomis ir organais arba valstybių narių kompetentingomis institucijomis ir

b)

konsultuojasi su atitinkamomis Sąjungos institucijomis, organais arba valstybių narių kompetentingomis institucijomis, nebent duomenų valdytojui būtų aišku, kad to apribojimo taikymas yra numatytas kuriame nors iš 2 dalies a ir b punktuose nurodytų aktų ar priemonių.

4.   Duomenų valdytojas apribojimą gali taikyti tik tada, jei, įvertinęs kiekvieną konkretų atvejį, padaro išvadą, kad apribojimas:

a)

yra būtinas ir proporcingas atsižvelgiant į riziką duomenų subjekto teisėms ir laisvėms ir

b)

nepažeidžia demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmės.

5.   Duomenų valdytojas savo vertinimą išdėsto vidaus vertinimo pažymoje, kurioje nurodo apribojimo teisinį pagrindą, priežastis, apribotas duomenų subjektų teises, paveiktus duomenų subjektus, paaiškina apribojimo būtinumą ir proporcingumą ir nurodo numatomą apribojimo trukmę.

6.   Duomenų valdytojo sprendimas apriboti duomenų subjekto teises pagal šį sprendimą priimamas atitinkamos veiklos srities vadovo arba vadovo pavaduotojo, kurio veiklos srityje vykdoma pagrindinė su asmens duomenimis susijusi duomenų tvarkymo operacija, lygmeniu.

4 straipsnis

Nukrypti leidžiančios nuostatos

1.   Duomenų tvarkymui mokslinių ar istorinių tyrimų arba statistiniais tikslais duomenų valdytojas gali taikyti Reglamento (ES) 2018/1725 25 straipsnio 3 dalyje nurodytas nukrypti leidžiančias nuostatas. Tuo tikslu duomenų valdytojas gali taikyti nukrypti leidžiančias nuostatas Reglamento (ES) 2018/1725 17, 18, 20 ir 23 straipsniuose nurodytų teisių atžvilgiu, laikydamasis to reglamento 25 straipsnio 3 dalyje nustatytų sąlygų.

2.   Duomenų tvarkymui archyvavimo tikslais viešojo intereso labui duomenų valdytojas gali taikyti Reglamento (ES) 2018/1725 25 straipsnio 4 dalyje nurodytas nukrypti leidžiančias nuostatas. Tuo tikslu duomenų valdytojas gali taikyti nukrypti leidžiančias nuostatas Reglamento (ES) 2018/1725 17, 18, 20, 21, 22 ir 23 straipsniuose nurodytų teisių atžvilgiu, laikydamasis to reglamento 25 straipsnio 4 dalyje nustatytų sąlygų.

3.   Taikant minėtas nukrypti leidžiančias nuostatas taikomos atitinkamos Reglamento (ES) 2018/1725 13 straipsnyje ir šio sprendimo 8 straipsnyje nurodytos apsaugos priemonės.

5 straipsnis

Bendros informacijos apie apribojimus teikimas

Bendrą informaciją apie galimą duomenų subjektų teisių apribojimą duomenų valdytojas teikia taip:

a)

duomenų valdytojas nurodo, kurios teisės gali būti apribotos, apribojimo priežastis ir galimą trukmę;

b)

duomenų valdytojas a punkte nurodytą informaciją įtraukia į savo pranešimus apie duomenų apsaugą, pranešimus apie privatumą ir Reglamento (ES) 2018/1725 31 straipsnyje nurodytus duomenų tvarkymo veiklos įrašus.

6 straipsnis

Duomenų subjektų teisės susipažinti su duomenimis, teisės reikalauti ištaisyti duomenis, teisės reikalauti ištrinti duomenis arba teisės apriboti duomenų tvarkymą apribojimas

1.   Jeigu duomenų valdytojas visiškai arba iš dalies apriboja teisę susipažinti su duomenimis, teisę reikalauti ištaisyti duomenis, teisę reikalauti ištrinti duomenis arba teisę apriboti duomenų tvarkymą, nurodytas atitinkamai Reglamento (ES) 2018/1725 17, 18 straipsniuose, 19 straipsnio 1 dalyje ir 20 straipsnio 1 dalyje, per Sprendimo (ES) 2020/655 (ECB/2020/28) 11 straipsnio 5 dalyje nurodytą laikotarpį jis pateikia rašytinį atsakymą į prašymą ir jame informuoja atitinkamą duomenų subjektą apie taikomą apribojimą, pagrindines apribojimo priežastis, galimybę pateikti skundą Europos Sąjungos duomenų apsaugos priežiūros pareigūnui arba imtis teisminių teisių gynimo priemonių Europos Sąjungos Teisingumo Teisme.

2.   Duomenų valdytojas saugo 3 straipsnio 5 dalyje nurodytą vidaus vertinimo pažymą ir, jei tai taikoma, dokumentus, kuriuose išdėstyti pagrindiniai faktai ir teisiniai aspektai, o jei to prašoma, pateikia juos Europos duomenų apsaugos priežiūros pareigūnui.

3.   Duomenų valdytojas gali atidėti informacijos apie 1 dalyje nurodyto apribojimo priežastis pateikimą, informacijos nepateikti arba atsisakyti ją pateikti, jeigu informacijos pateikimas pakenktų apribojimo tikslui. Nustatęs, kad informacijos pateikimas apribojimo tikslui nebekenkia, duomenų valdytojas tą informaciją iš karto pateikia duomenų subjektui.

7 straipsnis

Apribojimų trukmė

1.   Duomenų valdytojas panaikina apribojimą iš karto, kai išnyksta aplinkybės, dėl kurių jis buvo nustatytas.

2.   Jeigu duomenų valdytojas pagal 1 dalį panaikina apribojimą, jis nedelsdamas:

a)

jeigu to dar nepadarė, informuoja duomenų subjektą apie pagrindines priežastis, dėl kurių apribojimas buvo taikytas;

b)

informuoja duomenų subjektą apie jo teisę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba imtis teisminių teisių gynimo priemonių Europos Sąjungos Teisingumo Teisme;

c)

suteikia duomenų subjektui teisę, kuriai buvo taikytas panaikintas apribojimas.

3.   Duomenų valdytojas kas šešis mėnesius pakartotinai įvertina, ar pagal šį sprendimą taikomą apribojimą reikia taikyti toliau, ir savo pakartotinį įvertinimą išdėsto vidaus vertinimo pažymoje.

8 straipsnis

Apsaugos priemonės

Siekdamas užkirsti kelią piktnaudžiavimui, neteisėtai prieigai prie duomenų ar jų perdavimui, ECB taiko priede nurodytas organizacines ir technines apsaugos priemones.

9 straipsnis

Duomenų apsaugos pareigūno atliekama peržiūra

1.   Apribodamas duomenų subjekto teisių taikymą duomenų valdytojas į šį procesą visą laiką privalo įtraukti DAP. Visų pirma:

a)

duomenų valdytojas nepagrįstai nedelsdamas konsultuojasi su DAP;

b)

DAP prašymu duomenų valdytojas suteikia DAP galimybę susipažinti su visais dokumentais apie pagrindinius faktus ir teisinius aspektus, įskaitant 3 straipsnio 5 dalyje nurodytą vidaus vertinimo pažymą;

c)

duomenų valdytojas dokumentuoja, kaip įtraukia DAP, įskaitant tai, kokia atitinkama informacija buvo keičiamasi, ir ypač pirmosios konsultacijos su DAP, kaip nurodyta a punkte, datą;

d)

DAP gali prašyti, kad duomenų valdytojas peržiūrėtų apribojimą;

e)

duomenų valdytojas raštu informuoja DAP apie prašytos atlikti peržiūros rezultatus nepagrįstai nedelsdamas ir bet kuriuo atveju prieš pradėdamas taikyti apribojimą.

2.   Duomenų valdytojas informuoja DAP apie apribojimo panaikinimą.

10 straipsnis

Įsigaliojimas

Šis sprendimas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Priimta Frankfurte prie Maino 2021 m. rugsėjo 7 d.

ECB Pirmininkė

Christine LAGARDE

(1)   OL L 295, 2018 11 21, p. 39.

(2)   2013 m. spalio 15 d. Tarybos reglamentas (ES) Nr. 1024/2013, kuriuo Europos Centriniam Bankui pavedami specialūs uždaviniai, susiję su rizikos ribojimu pagrįstos kredito įstaigų priežiūros politika (OL L 287, 2013 10 29, p. 63).

(3)   2020 m. gegužės 5 d. Europos Centrinio Banko sprendimas (ES) 2020/655, patvirtinantis duomenų apsaugos Europos Centriniame Banke įgyvendinimo taisykles ir panaikinantis Sprendimą ECB/2007/1 (ECB/2020/28) (OL L 152, 2020 5 15, p. 13).

(4)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(5)   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).

PRIEDAS

ECB organizacinės ir techninės apsaugos priemonės, kuriomis siekiama užkirsti kelią piktnaudžiavimui, neteisėtai prieigai prie duomenų ar jų perdavimui:

a)

taikomos asmenims:

i)

reikalavimas, kad visi asmenys, turintys prieigą prie neviešos ECB informacijos, išmanytų ECB politiką ir taisykles dėl informacijos valdymo ir konfidencialumo ir jas taikytų;

ii)

patikimumo patikrinimo procesas, kuriuo užtikrinama, kad į ECB patalpas galėtų patekti ir prieigą prie neviešos ECB informacijos turėtų tik įgalioti ir tam leidimą turintys asmenys;

iii)

IT, informavimo, informuotumo apie fizinį saugumą didinimo priemonės;

iv)

darbuotojams bei išorės paslaugų teikėjams reguliariai rengiami mokymai;

v)

reikalavimas, kad ECB darbuotojai laikytųsi griežtų taisyklių dėl profesinės paslapties, nustatytų ECB įdarbinimo sąlygose ir Personalo taisyklėse, ir už jų pažeidimą taikomos drausminės sankcijos;

vi)

susitarimuose su paslaugų teikėjais ir rangovais nustatytos taisyklės ir prievolės, susijusios su išorės paslaugų teikėjų arba rangovų prieiga prie neviešos ECB informacijos;

vii)

prieigos kontrolės priemonės, įskaitant saugumo zonų nustatymą, kuriomis užtikrinama, kad prieiga prie neviešos ECB informacijos asmenims būtų suteikiama ir ribojama atsižvelgiant į darbo poreikius ir saugumo reikalavimus;

b)

taikomos procesams:

i)

nustatyti procesai, kuriais užtikrinamas kontroliuojamas ECB darbe naudojamų IT taikomųjų programų diegimas, naudojimas ir priežiūra;

ii)

ECB darbe naudojamos ECB saugumo standartus atitinkančios IT taikomosios programos;

iii)

vykdoma kompleksinė fizinės apsaugos programa, pagal kurią nuolat vertinamos grėsmės saugumui ir taikomos tinkamą apsaugos lygį užtikrinančios fizinės apsaugos priemonės;

c)

taikomos technologijoms:

i)

visi elektroniniai duomenys saugomi ECB saugumo standartus atitinkančiose IT taikomosiose programose, todėl yra apsaugoti nuo neteisėtos prieigos ar pakeitimo;

ii)

IT taikomosios programos yra diegiamos, naudojamos ir prižiūrimos užtikrinant IT taikomųjų programų konfidencialumą, vientisumą ir prieinamumo poreikius, kurie nustatomi analizuojant poveikį veiklai, atitinkantį saugumo lygį;

iii)

IT taikomųjų programų saugumo lygis yra nuolat tikrinamas atliekant techninius ir netechninius saugumo vertinimus;

iv)

prieiga prie neviešos ECB informacijos suteikiama pagal principą „būtina žinoti“, o privilegijuota prieiga griežtai ribojama ir griežtai kontroliuojama;

v)

diegiamos kontrolės priemonės, padedančios nustatyti faktinius ir galimus saugumo pažeidimus ir pagal tai imtis tolesnių veiksmų.