16.9.2021   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 328/15

DEĊIŻJONI (UE) 2021/1486 TAL-BANK ĊENTRALI EWROPEW

tas-7 ta’ Settembru 2021

li tadotta regoli interni dwar restrizzjonijiet tad-drittijiet tas-suġġetti tad-data b’rabta mal-kompiti tal-Bank Ċentrali Ewropew fir-rigward tas-superviżjoni prudenzjali ta’ istituzzjonijiet ta’ kreditu (BĊE/2021/42)

IL-BORD EŻEKUTTIV tal-Bank Ċentrali Ewropew,

Wara li kkunsidra t-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidra l-Istatut tas-Sistema Ewropea ta’ Banek Ċentrali u tal-Bank Ċentrali Ewropew, u b’mod partikolari l-Artikolu 11.6 tiegħu,

Wara li kkunsidra r-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (1), u b’mod partikolari l- Artikolu 25 tiegħu,

Billi:

(1)

Il-Bank Ċentrali Ewropew (BĊE) iwettaq il-kompiti tiegħu skont it-Trattati u r-Regolament tal-Kunsill (UE) Nru 1024/2013 (2).

(2)

Skont l-Artikolu 45(3) tar-Regolament (UE) 2018/1725, id-Deċiżjoni (UE) 2020/655 tal-Bank Ċentrali Ewropew (BĊE/2020/28) (3) jistabbilixxi r-regoli ġenerali li jimplimentaw ir-Regolament (UE) 2018/1725 fir-rigward tal-BĊE. B’mod partikolari, jispeċifika r-regoli dwar il-ħatra u r-rwol tal-uffiċjal tal-protezzjoni tad-data tal-BĊE (UPD), inklużi l-kompiti, id-dmirijiet u s-setgħat tal-UPD.

(3)

Fl-eżerċizzju tal-kompiti kkonferiti lill-BĊE, il-BĊE u b’mod partikolari l-unità organizzattiva kkonċernata taġixxi bħala kontrollur tad-data sa fejn hija tiddetermina, waħedha jew flimkien ma’ oħrajn, l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali.

(4)

Skont l-Artikolu 4(1) tar-Regolament (UE) Nru 1024/2013, il-BĊE huwa esklussivament kompetenti biex iwettaq, għal għanijiet superviżorji, u bil-ħsieb li jiżgura s-sigurtà u s-solidità tal-istituzzjonijiet ta’ kreditu u l-istabbiltà tas-sistema finanzjarja, kompiti speċifiċi fir-rigward tal-istituzzjonijiet ta’ kreditu kollha stabbiliti fl-Istati Membri parteċipanti fil-Mekkaniżmu Superviżorju Uniku (MSU).

(5)

Fit-twettiq ta’ dawn il-kompiti speċifiċi, il-BĊE jipproċessa diversi kategoriji ta’ informazzjoni li jistgħu jkunu relatati ma’ persuna fiżika identifikata jew identifikabbli bħal data ta’ identifikazzjoni, data ta’ kuntatt, data professjonali, dettalji finanzjarji jew amministrattivi, data riċevuta minn sorsi speċifiċi, data dwar komunikazzjoni elettronika u data elettronika dwar it-traffiku, rekords kriminali, deskrizzjoni ta’ interessi finanzjarji u mhux finanzjarji, dettalji ta’ relazzjonijiet ta’ individwu jew il-qraba stretti tiegħu ma’ entitajiet taħt superviżjoni jew ma’ membri tal-korp maniġerjali ta’ entitajiet taħt superviżjoni, u data relatata mal-pożizzjoni li għaliha individwu ġie jew jista’ jiġi maħtur. Id-data personali tista’ tifforma wkoll parti minn valutazzjoni li tinkludi valutazzjoni mwettqa: għall-finijiet tal-awtorizzazzjoni ta’ istituzzjoni ta’ kreditu, l-irtirar tal-awtorizzazzjoni ta’ istituzzjoni ta’ kreditu u proċedura ta’ parteċipazzjoni azzjonarja kwalifikanti; fir-rigward tad-dritt ta’ stabbiliment għal entità sinifikanti taħt superviżjoni; biex jiġi ddeterminat jekk ġewx issodisfati r-rekwiżiti ta’ kompetenza u idoneità; fir-rigward tal-politiki ta’ rimunerazzjoni ta’ entità sinifikanti taħt superviżjoni u fir-rigward ta’ krediti minn tali entità lill-uffiċjali għolja tagħha stess u lill-persuni relatati ma’ dawn l-uffiċjali; u fir-rigward ta’ allegazzjonijiet relatati ma’ ksur potenzjali tal-atti legali msemmija fl-Artikolu 4(3) tar-Regolament (UE) Nru 1024/2013.

(6)

L-għan tal-BĊE fit-twettiq ta’ dawn il-kompiti speċifiċi huwa li jsegwi objettivi importanti ta’ interess pubbliku ġenerali tal-Unjoni. Għal din ir-raġuni, it-twettiq ta’ tali kompiti għandu jiġi ssalvagwardjat kif previst fir-Regolament (UE) 2018/1725, b’mod partikolari mill-Artikolu 25(1)(c) u (g) tiegħu. B’mod partikolari fit-twettiq ta’ tali kompiti, il-BĊE jaġixxi fl-interess pubbliku ġenerali tal-Unjoni bħala awtorità pubblika fdata bit-twettiq, għal għanijiet superviżorji, ta’ kompiti speċifiċi fir-rigward tal-istituzzjonijiet ta’ kreditu kollha stabbiliti fl-Istati Membri parteċipanti fl-MSU. Tali kompiti jinkludu funzjonijiet ta’ monitoraġġ, spezzjoni jew regolatorji marbuta mal-eżerċizzju ta’ awtorità uffiċjali relatata mas-superviżjoni prudenzjali ta’ istituzzjonijiet ta’ kreditu.

(7)

F’dan il-kuntest, huwa xieraq li jiġu speċifikati r-raġunijiet li fuqhom il-BĊE jista’ jirrestrinġi d-drittijiet tas-suġġetti tad-data fir-rigward tad-data miksuba fit-twettiq tal-kompiti superviżorji tiegħu skont ir-Regolament (UE) Nru 1024/2013.

(8)

F’konformità mal-Artikolu 25(1) tar-Regolament (UE) 2018/1725, ir-restrizzjonijiet tal-applikazzjoni tal-Artikoli 14 sa 22, 35 u 36 u, sa fejn id-dispożizzjonijiet tiegħu jikkorrispondu għad-drittijiet u l-obbligi previsti fl-Artikoli 14 sa 22, l-Artikolu 4 ta’ dak ir-Regolament għandu jiġi stabbilit fir-regoli interni jew fl-atti legali adottati abbażi tat-Trattati. Għaldaqstant, il-BĊE għandu jistabbilixxi r-regoli li skonthom jista’ jirrestrinġi d-drittijiet tas-suġġetti tad-data fit-twettiq tal-kompiti superviżorji tiegħu.

(9)

Filwaqt li din id-Deċiżjoni tistabbilixxi r-regoli li skonthom il-BĊE jista’ jirrestrinġi d-drittijiet tas-suġġetti tad-data fit-twettiq tal-kompiti superviżorji tiegħu, il-Bord Eżekuttiv għandu l-intenzjoni li jadotta deċiżjoni separata li tadotta regoli interni dwar ir-restrizzjoni ta’ dawk id-drittijiet meta l-BĊE jipproċessa data personali b’rabta mal-funzjonament intern tiegħu.

(10)

Il-BĊE jkun jista’ japplika eċċezzjoni skont ir-Regolament (UE) 2018/1725 li tagħmel il-ħtieġa li titqies restrizzjoni mhux meħtieġa inkluż b’mod partikolari dawk stabbiliti fl-Artikoli 15(4), 16(5), 19(3) u 35(3) ta’ dak ir-Regolament. Għall-ipproċessar għal għanijiet ta’ arkivjar fl-interess pubbliku, għal għanijiet ta’ riċerka xjentifika jew storika jew għal għanijiet ta’ statistika, il-BĊE jkun jista’ japplika eċċezzjoni stabbilita fil-punt (b) tal-Artikolu 16(5) jew il-punt (d) tal-Artikolu 19(3) tar-Regolament (UE) 2018/1725.

(11)

L-eżerċizzju tad-drittijiet tas-suġġetti tad-data msemmija fl-Artikoli 17, 18, 20, 21, 22 u 23 tar-Regolament (UE) 2018/1725 jista’ jagħmel impossibbli jew ixekkel serjament il-kisba ta’ ċerti għanijiet inkluż, kif applikabbli, għanijiet ta’ arkivjar fl-interess pubbliku, għanijiet ta’ riċerka xjentifika jew storika jew għanijiet ta’ statistika. Għalhekk din id-Deċiżjoni għandha tipprovdi għal deroga minn dawk id-drittijiet f’konformità mal-Artikolu 25(3) jew (4) tar-Regolament (UE) 2018/1725, soġġett għal salvagwardji xierqa.

(12)

Il-BĊE għandu jiġġustifika għaliex tali restrizzjonijiet tad-drittijiet tas-suġġetti tad-data huma strettament meħtieġa u proporzjonali f’soċjetà demokratika biex jissalvagwardjaw l-għanijiet segwiti fl-eżerċizzju tal-awtorità uffiċjali tiegħu u l-funzjonijiet marbuta magħha, u kif il-BĊE jirrispetta l-essenza tad-drittijiet u l-libertajiet fundamentali filwaqt li jimponi kwalunkwe restrizzjoni bħal din.

(13)

F’dan il-qafas il-BĊE huwa marbut li jirrispetta, sal-limitu massimu possibbli, id-drittijiet fundamentali tas-suġġetti tad-data, b’mod partikolari dawk relatati mad-dritt tal-għoti ta’ informazzjoni, l-aċċess u r-rettifika, id-dritt għat-tħassir, ir-restrizzjoni tal-ipproċessar, id-dritt ta’ komunikazzjoni ta’ ksur ta’ data personali lis-suġġett tad-data jew il-kunfidenzjalità tal-komunikazzjoni kif previst fir-Regolament (UE) 2018/1725.

(14)

Madankollu, il-BĊE jista’ jkun obbligat jirrestrinġi l-informazzjoni pprovduta lis-suġġetti tad-data u d-drittijiet ta’ suġġetti tad-data biex jipproteġi t-twettiq tal-kompiti superviżorji tiegħu, b’mod partikolari l-investigazzjonijiet u l-proċeduri tiegħu stess, l-investigazzjonijiet u l-proċeduri ta’ awtoritajiet pubbliċi oħra u d-drittijiet u l-libertajiet fundamentali ta’ persuni oħra relatati mal-investigazzjonijiet tiegħu jew proċeduri oħra.

(15)

Il-BĊE għandu jneħħi restrizzjoni li diġà ġiet applikata sal-punt li ma għadhiex meħtieġa.

(16)

L-UPD tal-BĊE għandu jirrieżamina l-applikazzjoni ta’ restrizzjonijiet bil-ħsieb li tiġi żgurata l-konformità ma’ din id-Deċiżjoni u mar-Regolament (UE) 2018/1725.

(17)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat skont l-Artikolu 41(2) tar-Regolament (UE) 2018/1725 u ta opinjoni fit-12 ta’ Marzu 2021.

ADOTTA DIN ID-DEĊIŻJONI:

Artikolu 1

Suġġett u kamp ta’ applikazzjoni

1.   Din id-Deċiżjoni tistabbilixxi regoli relatati mar-restrizzjoni tad-drittijiet tas-suġġetti tad-data mill-BĊE meta jwettaq attivitajiet ta’ pproċessar ta’ data personali kif irreġistrat fir-reġistru ċentrali fit-twettiq tal-kompiti superviżorji tiegħu skont ir-Regolament (UE) Nru 1024/2013.

2.   Id-drittijiet tas-suġġetti tad-data li jistgħu jiġu ristretti huma speċifikati fl-Artikoli li ġejjin tar-Regolament (UE) 2018/1725:

(a)

L-Artikolu 14 (informazzjoni, komunikazzjoni u modalitajiet trasparenti għall-eżerċitar tad-drittijiet tas-suġġett tad-data);

(b)

L-Artikolu 15 (informazzjoni li għandha tiġi pprovduta meta d-data tinġabar mis-suġġett tad-data);

(c)

L-Artikolu 16 (informazzjoni li għandha tiġi pprovduta meta d-data personali ma tkunx inkisbet mis-suġġett tad-data);

(d)

Artikolu 17 (dritt ta’ aċċess mis-suġġett tad-data);

(e)

Artikolu 18 (dritt ta’ rettifika);

(f)

Artikolu 19 (dritt għal tħassir (“dritt li wieħed ikun minsi”));

(g)

Artikolu 20 (dritt għal restrizzjoni tal-ipproċessar);

(h)

Artikolu 21 (obbligu ta’ notifika rigward rettifika jew tħassir ta’ data personali jew restrizzjoni tal-ipproċessar);

(i)

Artikolu 22 (dritt għall-portabbiltà tad-data);

(j)

Artikolu 35 (komunikazzjoni ta’ ksur ta’ data personali lis-suġġett tad-data);

(k)

Artikolu 36 (kunfidenzjalità ta’ komunikazzjonijiet elettroniċi);

(l)

L-Artikolu 4 sa fejn id-dispożizzjonijiet tiegħu jikkorrispondu għad-drittijiet u l-obbligi previsti fl-Artikoli 14 sa 22 tar-Regolament (UE) 2018/1725.

Artikolu 2

Definizzjonijiet

Għall-finijiet ta’ din id-Deċiżjoni, għandhom japplikaw id-definizzjonijiet li ġejjin:

(1)

‘ipproċessar’ tfisser proċessar kif definit fil-punt (3) tal-Artikolu 3 tar-Regolament (UE) 2018/1725;

(2)

data personali’ tfisser data personali kif definit fil-punt (1) tal-Artikolu 3 tar-Regolament (UE) 2018/1725;

(3)

‘suġġett tad-data’ tfisser persuna fiżika identifikata jew identifikabbli; persuna identifikabbli hija persuna li tista’ tiġi identifikata, direttament jew indirettament, b’mod partikolari b’referenza għal mezz ta’ identifikazzjoni bħal isem, numru ta’ identifikazzjoni, data ta’ lokalizzazzjoni, identifikatur online jew għal fattur wieħed jew aktar speċifiċi għall-identità fiżika, fiżjoloġika, ġenetika, mentali, ekonomika, kulturali jew soċjali ta’ dik il-persuna fiżika;

(4)

‘reġistru ċentrali’ tfisser ir-repożitorju disponibbli għall-pubbliku tal-attivitajiet kollha ta’ pproċessar ta’ data personali mwettqa fil-BĊE li jinżamm mill-UPD tal-BĊE u msemmi fl-Artikolu 9 tad-Deċiżjoni (UE) 2020/655 (BĊE/2020/28);

(5)

‘kontrollur’ tfisser il-BĊE, u b’mod partikolari l-unità organizzattiva kompetenti fi ħdan il-BĊE, li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali u li huwa responsabbli għall-operazzjoni ta’ pproċessar.

(6)

‘istituzzjonijiet u korpi tal-Unjoni’ tfisser istituzzjonijiet u korpi tal-Unjoni kif definit fil-punt (10) tal-Artikolu 3 tar-Regolament (UE) 2018/1725.

Artikolu 3

Applikazzjoni tar-restrizzjonijiet

1.   Il-kontrollur jista’ jirrestrinġi d-drittijiet imsemmija fl-Artikolu 1(2) biex jissalvagwardja l-interessi u l-objettivi msemmija fl-Artikolu 25(1) tar-Regolament (UE) 2018/1725, b’mod partikolari meta l-eżerċizzju ta’ dawk id-drittijiet jipperikola jew b’xi mod ieħor jaffettwa b’mod negattiv:

(a)

it-twettiq tal-kompiti superviżorji tal-BĊE skont ir-Regolament (UE) Nru 1024/2013, inkluż il-funzjonament xieraq tas-sistema superviżorja;

(b)

is-sigurtà u s-solidità tal-istituzzjonijiet ta’ kreditu u l-istabbiltà tas-sistema finanzjarja fl-Unjoni u f’kull Stat Membru;

(c)

l-effettività tar-rappurtar ta’ ksur skont l-Artikolu 23 tar-Regolament (UE) Nru 1024/2013.

2.   Sabiex jiġu ssalvagwardjati l-interessi u l-għanijiet msemmija fl-Artikolu 25(1) tar-Regolament (UE) 2018/1725, il-kontrollur jista’ jirrestrinġi d-drittijiet imsemmija fl-Artikolu 1(2) fir-rigward ta’ data personali miksuba minn istituzzjonijiet u korpi oħra tal-Unjoni u awtoritajiet kompetenti ta’ Stati Membri jew pajjiżi terzi jew organizzazzjonijiet internazzjonali, fi kwalunkwe waħda miċ-ċirkostanzi li ġejjin:

(a)

fejn l-eżerċizzju ta’ dawk id-drittijiet jista’ jiġi ristrett minn istituzzjonijiet u korpi oħra tal-Unjoni, li mingħandhom inkisbet id-data personali, abbażi ta’ atti oħra previsti fl-Artikolu 25 tar-Regolament (UE) 2018/1725 jew f’konformità mal-Kapitolu IX ta’ dak ir-Regolament jew mal-atti fundaturi ta’ istituzzjonijiet u korpi oħra tal-Unjoni;

(b)

fejn l-eżerċizzju ta’ dawk id-drittijiet ikun jista’ jiġi ristrett mill-awtoritajiet kompetenti tal-Istati Membri, li mingħandhom inkisbet id-data personali, abbażi tal-atti msemmija fl-Artikolu 23 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (4), jew skont miżuri nazzjonali li jittrasponu l-Artikoli 13(3), 15(3) jew 16(3) tad-Direttiva (UE) 2016/680 tal-Parlament Ewropew u tal-Kunsill (5);

(c)

meta l-eżerċitar ta’ dawk id-drittijiet jista’ jipperikola jew b’xi mod ieħor jaffettwa b’mod negattiv il-kooperazzjoni tal-BĊE ma’ pajjiżi terzi jew organizzazzjonijiet internazzjonali, li mingħandhom inkisbet l-informazzjoni, fit-twettiq tal-kompiti tiegħu, sakemm l-interess tal-BĊE fil-kooperazzjoni ma jkunx megħlub mill-interessi jew id-drittijiet u l-libertajiet fundamentali tas-suġġetti tad-data.

3.   Qabel ma tiġi applikata restrizzjoni fiċ-ċirkostanzi msemmija fil-paragrafi 2(a) u (b), il-kontrollur għandu:

(a)

jieħu nota tal-arranġamenti konklużi mal-istituzzjonijiet u l-korpi rilevanti tal-Unjoni jew mal-awtoritajiet kompetenti tal-Istati Membri; u

(b)

jikkonsulta mal-istituzzjonijiet u l-korpi rilevanti tal-Unjoni jew mal-awtoritajiet kompetenti tal-Istati Membri sakemm ma jkunx ċar għall-kontrollur li l-applikazzjoni ta’ dik ir-restrizzjoni tkun prevista minn wieħed mill-atti jew mill-miżuri msemmija fil-paragrafi 2 (a) u (b).

4.   Il-kontrollur jista’ japplika restrizzjoni biss meta fuq valutazzjoni ta’ każ b’każ huwa jikkonkludi li r-restrizzjoni:

(a)

tkun meħtieġa u proporzjonata b’kont meħud tar-riskji għad-drittijiet u l-libertajiet tas-suġġett tad-data; u

(b)

tirrispetta l-essenza tad-drittijiet u l-libertajiet fundamentali f’soċjetà demokratika.

5.   Il-kontrollur għandu jiddokumenta l-valutazzjoni tiegħu f’nota ta’ valutazzjoni interna li għandha tinkludi l-bażi ġuridika, ir-raġunijiet għar-restrizzjoni, id-drittijiet tas-suġġetti tad-data li huma ristretti, is-suġġetti tad-data affettwati, il-ħtieġa u l-proporzjonalità tar-restrizzjoni u t-tul probabbli tar-restrizzjoni.

6.   Deċiżjoni biex jiġu ristretti d-drittijiet ta’ suġġett tad-data skont din id-Deċiżjoni li għandha tittieħed mill-kontrollur għandha ssir fil-livell tal-kap jew deputat kap tal-qasam tan-negozju rilevanti li fil-qasam tan-negozju tiegħu titwettaq l-operazzjoni ewlenija tal-ipproċessar li tinvolvi d-data personali.

Artikolu 4

Derogi

1.   Għall-ipproċessar għal għanijiet ta’ riċerka xjentifika jew storika jew għal finijiet ta’ statistika, il-kontrollur jista’ japplika derogi f’konformità mal-Artikolu 25(3) tar-Regolament (UE) 2018/1725. Għal dan l-għan, il-kontrollur jista’ jidderoga mid-drittijiet imsemmija fl-Artikoli 17, 18, 20 u 23 tar-Regolament (UE) 2018/1725 skont il-kundizzjonijiet previsti fl-Artikolu 25(3) ta’ dak ir-Regolament.

2.   Għall-ipproċessar għal finijiet ta’ arkivjar fl-interess pubbliku, il-kontrollur jista’ japplika derogi f’konformità mal-Artikolu 25(4) tar-Regolament (UE) 2018/1725. Għal dak il-għan, il-kontrollur jista’ jidderoga mid-drittijiet imsemmija fl-Artikoli 17, 18, 20, 21, 22 u 23 tar-Regolament (UE) 2018/1725 skont il-kundizzjonijiet previsti fl-Artikolu 25(4) ta’ dak ir-Regolament.

3.   Tali derogi għandhom ikunu soġġetti għal salvagwardji xierqa skont l-Artikolu 13 tar-Regolament (UE) 2018/1725 u l-Artikolu 8 ta’ din id-Deċiżjoni.

Artikolu 5

Għoti ta’ informazzjoni ġenerali dwar restrizzjonijiet

Il-kontrollur għandu jipprovdi informazzjoni ġenerali dwar ir-restrizzjoni potenzjali tad-drittijiet tas-suġġett tad-data kif ġej:

(a)

il-kontrollur għandu jispeċifika d-drittijiet li jistgħu jiġu ristretti, ir-raġunijiet għar-restrizzjoni u t-tul ta’ żmien potenzjali;

(b)

il-kontrollur għandu jinkludi l-informazzjoni msemmija fil-punt (a) fl-avviżi tiegħu dwar il-protezzjoni tad-data, l-istqarrijiet ta’ privatezza, u r-rekords tal-attivitajiet ta’ pproċessar kif imsemmi fl-Artikolu 31 tar-Regolament (UE) 2018/1725.

Artikolu 6

Restrizzjoni tad-dritt ta’ aċċess mis-suġġetti tad-data, dritt ta’ rettifika, dritt ta’ tħassir jew restrizzjoni tal-ipproċessar

1.   Meta l-kontrollur jirrestrinġi, kompletament jew parzjalment, id-dritt ta’ aċċess, id-dritt ta’ rettifika, id-dritt ta’ tħassir jew id-dritt ta’ restrizzjoni tal-ipproċessar, rispettivament imsemmija fl-Artikoli 17, 18, 19(1) u 20(1) tar-Regolament (UE) 2018/1725, huwa għandu, fil-perijodu msemmi fl-Artikolu 11(5) tad-Deċiżjoni (UE) 2020/655 (BĊE/2020/28), jinforma lis-suġġett tad-data kkonċernat, fit-tweġiba bil-miktub tiegħu għat-talba, dwar ir-restrizzjoni applikata, ir-raġunijiet prinċipali għar-restrizzjoni u l-possibbiltà li jitressaq ilment quddiem il-Kontrollur Ewropew għall-Protezzjoni tad-Data jew li jfittex rimedju ġudizzjarju fil-Qorti tal-Ġustizzja tal-Unjoni Ewropea.

2.   Il-kontrollur għandu jżomm in-nota ta’ valutazzjoni interna msemmija fl-Artikolu 3(5) u, fejn applikabbli, id-dokumenti li jkun fihom l-elementi fattwali u legali sottostanti u jagħmilhom disponibbli għall-Kontrollur Ewropew għall-Protezzjoni tad-Data fuq talba.

3.   Il-kontrollur jista’ jiddifferixxi, iħalli barra jew jiċħad l-għoti ta’ informazzjoni dwar ir-raġunijiet għar-restrizzjoni msemmija fil-paragrafu 1 sakemm dak l-għoti ta’ informazzjoni jimmina l-għan tar-restrizzjoni. Hekk kif il-kontrollur jiddetermina li l-għoti tal-informazzjoni ma għadux jimmina l-iskop tar-restrizzjoni, il-kontrollur għandu jipprovdi dik l-informazzjoni lis-suġġett tad-data.

Artikolu 7

Tul ta’ żmien tar-restrizzjonijiet

1.   Il-kontrollur għandu jneħħi restrizzjoni hekk kif iċ-ċirkostanzi li ġġustifikaw dik ir-restrizzjoni ma jibqgħux japplikaw.

2.   Meta l-kontrollur ineħħi restrizzjoni skont il-paragrafu 1, il-kontrollur għandu minnufih:

(a)

sa fejn ma jkunx diġà għamel dan, jinforma lis-suġġett tad-data bir-raġunijiet prinċipali li fuqhom kienet ibbażata l-applikazzjoni ta’ restrizzjoni;

(b)

jinforma lis-suġġett tad-data dwar id-dritt tiegħu jew tagħha li jressaq ilment quddiem il-Kontrollur Ewropew għall-Protezzjoni tad-Data jew li jfittex rimedju ġudizzjarju quddiem il-Qorti tal-Ġustizzja tal-Unjoni Ewropea;

(c)

jagħtu lis-suġġett tad-data d-dritt li kien soġġett għar-restrizzjoni li tneħħiet.

3.   Il-kontrollur għandu jivvaluta mill-ġdid kull sitt xhur il-ħtieġa li tinżamm restrizzjoni applikata skont din id-Deċiżjoni u għandu jiddokumenta l-valutazzjoni mill-ġdid tiegħu f’nota ta’ valutazzjoni interna.

Artikolu 8

Salvagwardji

Il-BĊE għandu japplika salvagwardji organizzattivi u tekniċi kif stabbilit fl-Anness biex jipprevjeni l-abbuż jew l-aċċess jew it-trasferiment illegali.

Artikolu 9

Rieżami mill-uffiċjal tal-protezzjoni tad-data

1.   Meta l-kontrollur jirrestrinġi l-applikazzjoni tad-drittijiet ta’ suġġett tad-data, huwa għandu jinvolvi kontinwament lill-UPD. B’mod partikolari, għandu japplika dan li ġej:

(a)

il-kontrollur għandu, mingħajr dewmien żejjed, jikkonsulta lill-UPD;

(b)

fuq talba tal-UPD, il-kontrollur għandu jipprovdi lill-UPD b’aċċess għal kwalunkwe dokument li jkun fih elementi fattwali u legali sottostanti, inkluża n-nota ta’ valutazzjoni interna msemmija fl-Artikolu 3(5);

(c)

il-kontrollur għandu jiddokumenta kif kien involut l-UPD inkluża l-informazzjoni rilevanti li ġiet kondiviża, b’mod partikolari d-data tal-ewwel konsultazzjoni tiegħu kif imsemmi fil-punt (a);

(d)

l-UPD jista’ jitlob lill-kontrollur biex jirrevedi r-restrizzjoni;

(e)

il-kontrollur għandu jinforma lill-UPD bil-miktub dwar l-eżitu tar-rieżami mitlub mingħajr dewmien żejjed u fi kwalunkwe każ qabel ma tiġi applikata kwalunkwe restrizzjoni.

2.   Il-kontrollur għandu jinforma lill-UPD meta titneħħa r-restrizzjoni.

Artikolu 10

Dħul fis-seħħ

Din id-Deċiżjoni għandha tidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tagħha f’Il-Gurnal Ufficjali tal-Unjoni Ewropea.

Magħmul fi Frankfurt am Main, is-7 ta’ Settembru 2021.

Il-President tal-BĊE

Christine LAGARDE

(1)   ĠU L 295, 21.11.2018, p. 39.

(2)  Ir-Regolament tal-Kunsill (UE) Nru 1024/2013 tal-15 ta’ Ottubru 2013 li jikkonferixxi kompiti speċifiċi lill-Bank Ċentrali Ewropew fir-rigward ta’ politiki relatati mas-superviżjoni prudenzjali ta’ istituzzjonijiet ta’ kreditu (ĠU L 287, 29.10.2013, p. 63).

(3)  Id-Deċizjoni (UE) 2020/655 tal-Bank Ċentrali Ewropew tal-5 ta’ Mejju 2020 li tadotta regoli implimentattivi dwar il-protezzjoni tad-data fil-Bank Ċentrali Ewropew u li tħassar id-Deċiżjoni BĊE/2007/1 (BĊE/2020/28), (ĠU L 152, 15.5.2020, p. 13).

(4)  Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1).

(5)  Id-Direttiva (UE) 2016/680 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-awtoritajiet kompetenti għall-finijiet tal-prevenzjoni, l-investigazzjoni, is-sejbien jew il-prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u dwar il-moviment liberu ta’ tali data, u li tħassar id-Deċiżjoni Qafas tal-Kunsill 2008/977/JHA (ĠU L 119, 4.5.2016, p. 89).

ANNESS

Salvagwardji organizzattivi u tekniċi fil-BĊE għall-prevenzjoni ta’ abbuż jew aċċess jew trasferiment illegali jinkludu:

(a)

fir-rigward tal-persuni:

(i)

il-persuni kollha li jkollhom aċċess għal informazzjoni mhux pubblika tal-BĊE li jkunu responsabbli biex ikunu jafu u japplikaw il-politika u r-regoli tal-BĊE dwar il-ġestjoni u l-kunfidenzjalità tal-informazzjoni;

(ii)

proċess ta’ approvazzjoni tas-sigurtà li jiżgura li persuni skrutinizzati u awtorizzati biss ikollhom aċċess għall-bini tal-BĊE u għall-informazzjoni mhux pubblika tiegħu;

(iii)

miżuri ta’ IT, informazzjoni u għarfien dwar is-sigurtà fiżika;

(iv)

taħriġ li jsir b’mod regolari għall-membri tal-persunal u l-fornituri esterni tas-servizzi;

(v)

il-membri tal-persunal tal-BĊE soġġetti għal regoli stretti ta’ segretezza professjonali stabbiliti fil-Kondizzjonijiet tal-Impjieg u r-Regoli tal-Persunal tal-BĊE, li l-ksur tagħhom iwassal għal sanzjonijiet dixxiplinari;

(vi)

regoli u obbligi li jirregolaw l-aċċess tal-fornituri tas-servizzi esterni jew tal-kuntratturi għal informazzjoni mhux pubblika tal-BĊE li huma stabbiliti f’arranġamenti kuntrattwali;

(vii)

kontrolli tal-aċċess inkluż tqassim f’żoni tas-sigurtà li jiġu infurzati biex jiġi żgurat li l-aċċess ta’ persuni għal informazzjoni mhux pubblika tal-BĊE jkun awtorizzat u ristrett abbażi tal-ħtiġijiet tan-negozju u r-rekwiżiti tas-sigurtà;

(b)

fir-rigward tal-proċessi:

(i)

proċessi fis-seħħ biex jiżguraw l-implimentazzjoni, l-operat u l-manutenzjoni tal-applikazzjonijiet tal-IT kkontrollati li jappoġġaw in-negozju tal-BĊE;

(ii)

l-użu ta’ applikazzjonijiet tal-IT għan-negozju tal-BĊE li jikkonformaw mal-istandards ta’ sigurtà tal-BĊE;

(iii)

li jkun hemm programm komprensiv ta’ sigurtà fiżika fl-operat li jivvaluta kontinwament it-theddid għas-sigurtà u li jinkludi miżuri fiżiċi ta’ sigurtà biex jiġi żgurat livell adegwat ta’ protezzjoni;

(c)

fir-rigward tat-teknoloġija:

(i)

id-data elettronika kollha maħżuna f’applikazzjonijiet tal-IT li jikkonformaw mal-istandards ta’ sigurtà tal-BĊE u b’hekk ikunu protetti kontra aċċess jew alterazzjoni mhux awtorizzati;

(ii)

l-applikazzjonijiet tal-IT implimentati, operati u miżmuma f’livell ta’ sigurtà proporzjonat għall-ħtiġijiet tal-kunfidenzjalità, l-integrità u d-disponibbiltà tal-applikazzjonijiet tal-IT, li huma bbażati fuq analiżijiet tal-impatt fuq in-negozju;

(iii)

il-livell ta’ sigurtà tal-applikazzjonijiet tal-IT li jiġu vvalidati regolarment permezz ta’ valutazzjonijiet tas-sigurtà tekniċi u mhux tekniċi;

(iv)

jingħata aċċess għall-informazzjoni mhux pubblika tal-BĊE skont il-prinċipju tal-ħtieġa ta’ għarfien, u l-aċċess privileġġjat ikun strettament limitat u kkontrollat b’mod strett;

(v)

kontrolli li qed jiġu implimentati biex jidentifikaw u jsegwu l-ksur attwali u potenzjali tas-sigurtà.