16.9.2021   

SL

Uradni list Evropske unije

L 328/15

SKLEP EVROPSKE CENTRALNE BANKE (EU) 2021/1486

z dne 7. septembra 2021

o sprejetju notranjih pravil glede omejitev pravic posameznikov, na katere se nanašajo osebni podatki, v povezavi z nalogami Evropske centralne banke v zvezi z bonitetnim nadzorom kreditnih institucij (ECB/2021/42)

IZVRŠILNI ODBOR EVROPSKE CENTRALNE BANKE JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Statuta Evropskega sistema centralnih bank in Evropske centralne banke ter zlasti člena 11.6 Statuta,

ob upoštevanju Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (1) ter zlasti člena 25 Uredbe,

ob upoštevanju naslednjega:

(1)

Evropska centralna banka (ECB) opravlja svoje naloge v skladu s Pogodbama in Uredbo Sveta (EU) št. 1024/2013 (2).

(2)

Sklep Evropske centralne banke (EU) 2020/655 (ECB/2020/28) (3) v skladu s členom 45(3) Uredbe (EU) 2018/1725 določa splošna pravila o izvajanju Uredbe (EU) 2018/1725 glede ECB. Določa zlasti pravila o imenovanju in vlogi pooblaščene osebe za varstvo podatkov v ECB (POVP), vključno z njenimi nalogami, dolžnostmi in pooblastili.

(3)

ECB, zlasti zadevna organizacijska enota, je pri izvajanju nalog ECB upravljavec, kadar sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.

(4)

ECB je v skladu s členom 4(1) Uredbe (EU) št. 1024/2013 izključno pristojna za opravljanje posebnih nalog za namene nadzora v zvezi z vsemi kreditnimi institucijami s sedežem v državah članicah, ki sodelujejo v enotnem mehanizmu nadzora (EMN), in sicer z namenom zagotavljati varnost in trdnost kreditnih institucij ter stabilnost finančnega sistema.

(5)

ECB pri opravljanju teh posebnih nalog obdeluje več kategorij informacij, ki so lahko povezane z določenim ali določljivim posameznikom, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicnih dejavnostih, finančne ali upravne podrobnosti, podatki, prejeti iz posebnih virov, podatki o elektronski komunikaciji in elektronskem prometu, kazenske evidence, opis finančnih in nefinančnih interesov, podrobnosti o razmerjih posameznika ali njegovih bližnjih sorodnikov z nadzorovanimi subjekti ali člani upravljalnega organa nadzorovanih subjektov ter podatki v zvezi s položajem, za katerega je bil posameznik imenovan ali bi lahko bil imenovan. Osebni podatki so lahko tudi del ocene, kar vključuje ocene, ki se izvedejo: za namene izdaje dovoljenja kreditni instituciji, odvzema dovoljenja kreditni instituciji in postopka v zvezi s kvalificiranim deležem; v zvezi s pravico do ustanavljanja za pomemben nadzorovani subjekt; za ugotovitev, ali so izpolnjene zahteve glede sposobnosti in primernosti; v zvezi s politiko prejemkov pomembnega nadzorovanega subjekta in krediti takega subjekta njegovim višjim uslužbencem in z njimi povezanim osebam ter v zvezi s trditvami, povezanimi z morebitnimi kršitvami pravnih aktov iz člena 4(3) Uredbe (EU) št. 1024/2013.

(6)

Cilj ECB pri opravljanju teh posebnih nalog je doseganje pomembnih ciljev v splošnem javnem interesu Unije. Zato bi bilo treba zagotoviti opravljanje teh nalog, kakor je določeno v Uredbi (EU) 2018/1725, zlasti v členu 25(1)(c) in (g) navedene uredbe. Zlasti ECB pri opravljanju teh nalog deluje v splošnem javnem interesu Unije kot javni organ, ki mu je zaupano opravljanje posebnih nalog za namene nadzora v zvezi z vsemi kreditnimi institucijami s sedežem v državah članicah, ki sodelujejo v EMN. Te naloge vključujejo spremljanje, pregledovanje ali urejanje, povezano z izvajanjem javne oblasti v zvezi z bonitetnim nadzorom kreditnih institucij.

(7)

V tej zvezi je primerno določiti razloge, na podlagi katerih lahko ECB omeji pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi s podatki, ki jih pridobi pri opravljanju nadzorniških nalog v skladu z Uredbo (EU) št. 1024/2013.

(8)

V skladu s členom 25(1) Uredbe (EU) 2018/1725 bi bilo treba omejitve uporabe členov 14 do 22, 35 in 36 navedene uredbe ter člena 4 navedene uredbe, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, določiti v notranjih predpisih ali pravnih aktih, sprejetih na podlagi Pogodb. Tako bi morala ECB določiti pravila, v skladu s katerimi lahko pri opravljanju nadzorniških nalog omeji pravice posameznikov, na katere se nanašajo osebni podatki.

(9)

Ta sklep določa pravila, v skladu s katerimi lahko ECB omeji pravice posameznikov, na katere se nanašajo osebni podatki, pri opravljanju nadzorniških nalog, Izvršilni odbor pa namerava sprejeti ločen sklep o notranjih pravilih glede omejitve teh pravic, kadar ECB osebne podatke obdeluje v povezavi s svojim notranjim delovanjem.

(10)

ECB ima lahko možnost uporabiti izjemo v skladu z Uredbo (EU) 2018/1725, zaradi katere obravnava posamezne omejitve ni potrebna, kar velja zlasti za izjeme, ki so določene v členih 15(4), 16(5), 19(3) in 35(3) navedene uredbe. Za obdelavo za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ima ECB lahko možnost uporabiti izjemo, določeno v točki (b) člena 16(5) ali točki (d) člena 19(3) Uredbe (EU) 2018/1725.

(11)

Uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, iz členov 17, 18, 20, 21, 22 in 23 Uredbe (EU) 2018/1725 lahko onemogoči ali resno ovira doseganje nekaterih namenov, ki vključujejo namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, kakor je ustrezno. Zato bi bilo treba s tem sklepom določiti odstopanje od teh pravic v skladu s členom 25(3) ali (4) Uredbe (EU) 2018/1725 ob ustreznih zaščitnih ukrepih.

(12)

ECB bi morala utemeljiti, zakaj so take omejitve pravic posameznikov, na katere se nanašajo osebni podatki, nujno potrebne in sorazmerne v demokratični družbi za uresničevanje zastavljenih ciljev pri izvajanju njene javne oblasti in z njo povezanih funkcij, ter kako ECB ob uvajanju takih omejitev spoštuje bistvo temeljnih pravic in svoboščin.

(13)

V tem okviru mora ECB v največji možni meri spoštovati temeljne pravice posameznikov, na katere se nanašajo osebni podatki, zlasti v zvezi s pravico do zagotavljanja informacij, dostopa in popravka, pravico do izbrisa, pravico do omejitve obdelave, pravico do obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ter zaupnostjo sporočil, kakor je določeno v Uredbi (EU) 2018/1725.

(14)

Vendar pa je ECB lahko dolžna omejiti informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, in pravice posameznikov, na katere se nanašajo osebni podatki, da zaščiti opravljanje svojih nadzorniških nalog, zlasti svoje preiskave in postopke, preiskave in postopke drugih javnih organov ter temeljne pravice in svoboščine drugih oseb, ki so povezane z njenimi preiskavami ali drugimi postopki.

(15)

ECB bi morala preklicati omejitev, ki je že bila uporabljena, kolikor ni več potrebna.

(16)

Pooblaščena oseba za varstvo podatkov v ECB bi morala pregledati uporabo omejitev, da se zagotovi skladnost s tem sklepom in Uredbo (EU) 2018/1725.

(17)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 41(2) Uredbe (EU) 2018/1725 in ta je mnenje podal 12. marca 2021 –

SPREJEL NASLEDNJI SKLEP:

Člen 1

Vsebina in področje uporabe

1.   Ta sklep določa pravila o tem, kako ECB omejuje pravice posameznikov, na katere se nanašajo osebni podatki, kadar pri opravljanju nadzorniških nalog v skladu z Uredbo (EU) št. 1024/2013 izvaja dejavnosti obdelave osebnih podatkov, kakor so evidentirane v centralnem registru.

2.   Pravice posameznikov, na katere se nanašajo osebni podatki, ki se lahko omejijo, so določene v naslednjih členih Uredbe (EU) 2018/1725:

(a)

člen 14 (pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki);

(b)

člen 15 (informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki);

(c)

člen 16 (informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo);

(d)

člen 17 (pravica dostopa posameznika, na katerega se nanašajo osebni podatki);

(e)

člen 18 (pravica do popravka);

(f)

člen 19 (pravica do izbrisa („pravica do pozabe“));

(g)

člen 20 (pravica do omejitve obdelave);

(h)

člen 21 (obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave);

(i)

člen 22 (pravica do prenosljivosti podatkov);

(j)

člen 35 (sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov);

(k)

člen 36 (zaupnost elektronskih sporočil);

(l)

člen 4, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22 Uredbe (EU) 2018/1725.

Člen 2

Opredelitev pojmov

V tem sklepu se uporabljajo naslednje opredelitve pojmov:

(1)

„obdelava“ pomeni obdelavo, kakor je opredeljena v točki 3 člena 3 Uredbe (EU) 2018/1725;

(2)

„osebni podatki“ pomeni osebne podatke, kakor so opredeljeni v točki 1 člena 3 Uredbe (EU) 2018/1725;

(3)

„posameznik, na katerega se nanašajo osebni podatki“ pomeni določenega ali določljivega posameznika; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(4)

„centralni register“ pomeni javno dostopen register vseh dejavnosti obdelave osebnih podatkov v ECB, ki ga vodi pooblaščena oseba za varstvo podatkov v ECB in je naveden v členu 9 Sklepa (EU) 2020/655 (ECB/2020/28);

(5)

„upravljavec“ pomeni ECB, zlasti pristojno organizacijsko enoto znotraj ECB, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov in je odgovorna za dejanje obdelave;

(6)

„institucije in organi Unije“ pomeni institucije in organe Unije, kakor so opredeljeni v točki 10 člena 3 Uredbe (EU) 2018/1725.

Člen 3

Uporaba omejitev

1.   Upravljavec lahko omeji pravice iz člena 1(2), da zaščiti interese in cilje iz člena 25(1) Uredbe (EU) 2018/1725, zlasti kadar bi uresničevanje teh pravic ogrozilo ali kako drugače negativno vplivalo na:

(a)

opravljanje nadzorniških nalog ECB v skladu z Uredbo (EU) št. 1024/2013, vključno s pravilnim delovanjem sistema nadzora;

(b)

varnost in trdnost kreditnih institucij ter stabilnost finančnega sistema v Uniji in vsaki državi članici;

(c)

učinkovitost poročanja o kršitvah v skladu s členom 23 Uredbe (EU) št. 1024/2013.

2.   Za zaščito interesov in ciljev iz člena 25(1) Uredbe (EU) 2018/1725 lahko upravljavec omeji pravice iz člena 1(2) v zvezi z osebnimi podatki, pridobljenimi od drugih institucij in organov Unije ter pristojnih organov držav članic ali tretjih držav ali mednarodnih organizacij, v katerih koli naslednjih okoliščinah:

(a)

kadar bi uresničevanje teh pravic lahko omejile druge institucije in organi Unije, od katerih so bili osebni podatki pridobljeni, na podlagi drugih aktov iz člena 25 Uredbe (EU) 2018/1725 ali v skladu s poglavjem IX navedene uredbe ali ustanovitvenimi akti drugih institucij in organov Unije;

(b)

kadar bi uresničevanje teh pravic lahko omejili pristojni organi držav članic, od katerih so bili osebni podatki pridobljeni, na podlagi aktov iz člena 23 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (4) ali na podlagi nacionalnih ukrepov za prenos člena 13(3), 15(3) ali 16(3) Direktive (EU) 2016/680 Evropskega parlamenta in Sveta (5);

(c)

kadar bi uresničevanje teh pravic lahko ogrozilo ali kako drugače negativno vplivalo na sodelovanje ECB s tretjimi državami ali mednarodnimi organizacijami, od katerih so bile informacije pridobljene, pri opravljanju njenih nalog, razen če interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, prevladajo nad interesom ECB za sodelovanje.

3.   Upravljavec se pred uporabo omejitve v okoliščinah iz odstavkov 2(a) in (b):

(a)

seznani z dogovori, sklenjenimi z ustreznimi institucijami in organi Unije ali pristojnimi organi držav članicami, ter

(b)

posvetuje z ustreznimi institucijami in organi Unije ali pristojnimi organi držav članic, razen če je upravljavcu jasno, da je uporaba te omejitve predvidena v enem od aktov ali ukrepov iz odstavkov 2(a) in (b).

4.   Upravljavec lahko omejitev uporabi le, če na podlagi ocene za vsak primer posebej ugotovi, da:

(a)

je omejitev potrebna in sorazmerna ob upoštevanju tveganj za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ter

(b)

omejitev spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

5.   Upravljavec svojo oceno dokumentira v notranji oceni, ki vključuje pravno podlago, razloge za omejitev, pravice posameznikov, na katere se nanašajo osebni podatki, ki se omejijo, posameznike, na katere se nanašajo osebni podatki in na katere omejitev vpliva, nujnost in sorazmernost omejitve ter verjetno trajanje omejitve.

6.   Odločitev upravljavca o omejitvi pravic posameznika, na katerega se nanašajo osebni podatki, v skladu s tem sklepom se sprejme na ravni vodje ali namestnika vodje poslovnega področja, na katerem se izvaja glavno dejanje obdelave osebnih podatkov.

Člen 4

Odstopanja

1.   Za obdelavo za znanstveno- ali zgodovinskoraziskovalne ali statistične namene lahko upravljavec uporabi odstopanja v skladu s členom 25(3) Uredbe (EU) 2018/1725. Upravljavec ima za ta namen možnost odstopanja od pravic iz členov 17, 18, 20 in 23 Uredbe (EU) 2018/1725 v skladu s pogoji iz člena 25(3) navedene uredbe.

2.   Za obdelavo za namene arhiviranja v javnem interesu lahko upravljavec uporabi odstopanja v skladu s členom 25(4) Uredbe (EU) 2018/1725. Upravljavec ima za ta namen možnost odstopanja od pravic iz členov 17, 18, 20, 21, 22 in 23 Uredbe (EU) 2018/1725 v skladu s pogoji iz člena 25(4) navedene uredbe.

3.   Za taka odstopanja se uporabljajo ustrezni zaščitni ukrepi v skladu s členom 13 Uredbe (EU) 2018/1725 in členom 8 tega sklepa.

Člen 5

Zagotavljanje splošnih informacij o omejitvah

Upravljavec zagotovi splošne informacije o možni omejitvi pravic posameznika, na katerega se nanašajo osebni podatki, in sicer:

(a)

upravljavec opredeli pravice, ki se lahko omejijo, razloge za omejitev in možno trajanje;

(b)

upravljavec vključi informacije iz točke (a) v svoja obvestila o varstvu podatkov, izjave o varstvu osebnih podatkov in evidence o dejavnostih obdelave iz člena 31 Uredbe (EU) 2018/1725.

Člen 6

Omejitev pravice dostopa posameznikov, na katere se nanašajo osebni podatki, pravice do popravka, pravice do izbrisa ali pravice do omejitve obdelave

1.   Kadar upravljavec v celoti ali delno omeji pravico dostopa, pravico do popravka, pravico do izbrisa ali pravico do omejitve obdelave iz člena 17, 18, 19(1) oziroma 20(1) Uredbe (EU) 2018/1725, zadevnega posameznika, na katerega se nanašajo osebni podatki, v roku iz člena 11(5) Sklepa (EU) 2020/655 (ECB/2020/28) v pisnem odgovoru na zahtevo obvesti o uporabljeni omejitvi, o glavnih razlogih za omejitev in o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali uporabo pravnega sredstva pred Sodiščem Evropske unije.

2.   Upravljavec hrani notranjo oceno iz člena 3(5) in, kadar je ustrezno, dokumente, ki vsebujejo temeljna dejstva in pravne elemente, ter jih na zahtevo da na voljo Evropskemu nadzorniku za varstvo podatkov.

3.   Upravljavec lahko preloži, opusti ali zavrne zagotavljanje informacij v zvezi z razlogi za omejitev iz odstavka 1 za toliko časa, dokler bi zagotavljanje informacij ogrožalo namen omejitve. Takoj ko upravljavec ugotovi, da zagotavljanje informacij ne ogroža več namena omejitve, te informacije zagotovi posamezniku, na katerega se nanašajo osebni podatki.

Člen 7

Trajanje omejitev

1.   Upravljavec prekliče omejitev takoj, ko ni več okoliščin, ki so to omejitev upravičile.

2.   Kadar upravljavec prekliče omejitev v skladu z odstavkom 1, nemudoma stori naslednje:

(a)

če tega še ni storil, posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih je temeljila uporaba omejitve;

(b)

posameznika, na katerega se nanašajo osebni podatki, obvesti o njegovi pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov ali uporabe pravnega sredstva pred Sodiščem Evropske unije;

(c)

posamezniku, na katerega se nanašajo osebni podatki, podeli pravico, za katero je veljala preklicana omejitev.

3.   Upravljavec vsakih šest mesecev ponovno oceni potrebo po ohranitvi omejitve, ki jo je uporabil v skladu s tem sklepom, in ponovno oceno dokumentira v notranji oceni.

Člen 8

Zaščitni ukrepi

ECB za preprečitev zlorab ali nezakonitega dostopa ali prenosa uporabi organizacijske in tehnične zaščitne ukrepe, kakor so določeni v Prilogi.

Člen 9

Pregled, ki ga opravi pooblaščena oseba za varstvo podatkov

1.   Kadar upravljavec omeji uporabo pravic posameznika, na katerega se nanašajo osebni podatki, mora stalno vključevati pooblaščeno osebo za varstvo podatkov. Velja zlasti naslednje:

(a)

upravljavec se brez odlašanja posvetuje z uradno osebo za varstvo podatkov;

(b)

upravljavec pooblaščeni osebi za varstvo podatkov na zahtevo zagotovi dostop do vseh dokumentov, ki vsebujejo temeljna dejstva in pravne elemente, vključno z notranjo oceno iz člena 3(5);

(c)

upravljavec dokumentira, kako je bila vključena pooblaščena oseba za varstvo podatkov, vključno z relevantnimi informacijami, ki so bile izmenjane, zlasti datumom prvega posvetovanja iz točke (a);

(d)

pooblaščena oseba za varstvo podatkov lahko od upravljavca zahteva, da pregleda omejitev;

(e)

upravljavec pooblaščeno osebo za varstvo podatkov brez odlašanja in v vsakem primeru pred uporabo katere koli omejitve pisno obvesti o rezultatu zahtevanega pregleda.

2.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko se omejitev prekliče.

Člen 10

Začetek veljavnosti

Ta sklep začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

V Frankfurtu na Majni, 7. septembra 2021

Predsednica ECB

Christine LAGARDE

(1)   UL L 295, 21.11.2018, str. 39.

(2)  Uredba Sveta (EU) št. 1024/2013 z dne 15. oktobra 2013 o prenosu posebnih nalog, ki se nanašajo na politike bonitetnega nadzora kreditnih institucij, na Evropsko centralno banko (UL L 287, 29.10.2013, str. 63).

(3)  Sklep Evropske centralne banke (EU) 2020/655 z dne 5. maja 2020 o sprejetju izvedbenih pravil v zvezi z varstvom podatkov v Evropski centralni banki in razveljavitvi Sklepa ECB/2007/1 (ECB/2020/28) (UL L 152, 15.5.2020, str. 13).

(4)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(5)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).

PRILOGA

Organizacijski in tehnični zaščitni ukrepi v ECB za preprečitev zlorab ali nezakonitega dostopa ali prenosa vključujejo:

(a)

v zvezi z osebami:

(i)

odgovornost vseh oseb z dostopom do informacij ECB, ki niso javne, za poznavanje in uporabo politike in pravil ECB o upravljanju in zaupnosti informacij;

(ii)

postopek varnostnega preverjanja, ki zagotavlja, da imajo samo preverjene in pooblaščene osebe dostop do prostorov ECB in njenih informacij, ki niso javne;

(iii)

ukrepe za ozaveščanje o varnosti informacijske tehnologije in informacij ter fizični varnosti;

(iv)

usposabljanje, ki se redno izvaja za zaposlene in zunanje ponudnike storitev;

(v)

stroga pravila o varovanju poklicne skrivnosti iz Pogojev za zaposlitev v ECB in Pravil za zaposlene v ECB, ki veljajo za zaposlene v ECB in katerih kršitev privede do disciplinskih sankcij;

(vi)

pravila in obveznosti, ki urejajo dostop zunanjih ponudnikov storitev ali pogodbenih izvajalcev do informacij ECB, ki niso javne, in so določeni v pogodbenih dogovorih;

(vii)

izvajanje kontrol dostopa, vključno z ločevanjem varnostnih območij, s čimer se zagotavlja, da je dostop oseb do informacij ECB, ki niso javne, dovoljen in omejen na podlagi poslovnih potreb in varnostnih zahtev;

(b)

v zvezi s postopki:

(i)

vzpostavljenost postopkov za zagotavljanje nadzorovanega izvajanja, delovanja in vzdrževanja aplikacij informacijske tehnologije, ki podpirajo poslovanje ECB;

(ii)

za poslovanje ECB uporabo aplikacij informacijske tehnologije, ki so v skladu z varnostnimi standardi ECB;

(iii)

izvajanje celovitega programa fizičnega varovanja, po katerem se stalno ocenjujejo varnostne grožnje in ki obsega ukrepe fizičnega varovanja, da se zagotovi ustrezna raven zaščite;

(c)

v zvezi s tehnologijo:

(i)

hrambo vseh elektronskih podatkov v aplikacijah informacijske tehnologije, ki so v skladu z varnostnimi standardi ECB, ter s tem njihovo zaščito pred nedovoljenim dostopom ali spreminjanjem;

(ii)

izvajanje, upravljanje in vzdrževanje aplikacij informacijske tehnologije na ravni varnosti, ki je sorazmerna s potrebami teh aplikacij informacijske tehnologije glede zaupnosti, celovitosti in razpoložljivosti, ki temeljijo na analizah vpliva na poslovanje;

(iii)

redno preverjanje ravni varnosti aplikacij informacijske tehnologije s tehničnimi in netehničnimi varnostnimi ocenami;

(iv)

odobravanje dostopa do informacij ECB, ki niso javne, v skladu z načelom potrebe po seznanitvi ter strogo omejevanje in nadzorovanje privilegiranega dostopa;

(v)

izvajanje kontrol za odkrivanje dejanskih in možnih kršitev varnosti ter nadaljnje ukrepanje v zvezi z njimi.