Decyzja EBC/2021/42 (2021/1486) przyjmująca zasady wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z zadaniami Europejskiego Banku Centralnego w odniesieniu do nadzoru ostrożnościowego nad instytucjami kredytowymi

Dzienniki UE

Dz.U.UE.L.2021.328.15

Akt obowiązujący
Wersja od: 11 kwietnia 2024 r.

DECYZJA EUROPEJSKIEGO BANKU CENTRALNEGO (UE) 2021/1486
z dnia 7 września 2021 r.
przyjmująca zasady wewnętrzne dotyczące ograniczeń praw osób, których dane dotyczą, w związku z zadaniami Europejskiego Banku Centralnego w odniesieniu do nadzoru ostrożnościowego nad instytucjami kredytowymi (EBC/2021/42)

ZARZĄD EUROPEJSKIEGO BANKU CENTRALNEGO,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając Statut Europejskiego Systemu Banków Centralnych i Europejskiego Banku Centralnego, w szczególności art. 11 ust. 6,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE 1 , w szczególności art. 25,

a także mając na uwadze, co następuje:

(1) Europejski Bank Centralny (EBC) wykonuje swoje zadania zgodnie z Traktatami i rozporządzeniem Rady (UE) nr 1024/2013 2 .

(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2018/1725 decyzja Europejskiego Banku Centralnego (UE) 2020/655 (EBC/2020/28) 3  określa ogólne zasady wdrażające rozporządzenie (UE) 2018/1725 w odniesieniu do EBC. W szczególności decyzja ta określa zasady powoływania i rolę inspektora ochrony danych w EBC, w tym jego zadania, obowiązki i uprawnienia.

(3) Wykonując powierzone mu zadania, EBC - a w szczególności dana jednostka organizacyjna - pełni funkcję administratora danych w zakresie, w jakim samodzielnie lub wspólnie z innymi jednostkami określa cele i sposoby przetwarzania danych osobowych.

(4) Zgodnie z art. 4 ust. 1 rozporządzenia (UE) nr 1024/2013 EBC posiada wyłączną kompetencję w zakresie wykonywania, do celów nadzoru, oraz w celu zapewnienia bezpieczeństwa i dobrej kondycji instytucji kredytowych oraz stabilności systemu finansowego, szczególnych zadań w odniesieniu do wszystkich instytucji kredytowych mających siedzibę w państwach członkowskich uczestniczących w Jednolitym Mechanizmie Nadzorczym.

(5) Wykonując te szczególne zadania, EBC przetwarza szereg kategorii informacji, które mogą dotyczyć zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, takich jak dane dotyczące ustalenia tożsamości, dane kontaktowe, dane zawodowe, dane finansowe lub administracyjne, dane otrzymane z określonych źródeł, dane dotyczące łączności elektronicznej i danych o ruchu elektronicznym, informacje z rejestrów karnych, informacje dotyczące interesów finansowych i niefinansowych, szczegółowe informacje na temat relacji osoby fizycznej lub jej bliskich z nadzorowanymi podmiotami lub członkami organu zarządzającego nadzorowanych podmiotów oraz dane dotyczące stanowiska, na które dana osoba została lub może zostać wyznaczona. Dane osobowe mogą również stanowić część oceny, w tym oceny przeprowadzanej do celów udzielenia zezwolenia instytucji kredytowej, cofnięcia zezwolenia instytucji kredytowej oraz procedury udzielenia zezwolenia na nabycie znacznego pakietu akcji, w odniesieniu do prawa utworzenia istotnego nadzorowanego podmiotu, w celu ustalenia, czy spełnione są wymogi dotyczące kompetencji i reputacji, w odniesieniu do polityki wynagrodzeń istotnego nadzorowanego podmiotu oraz w odniesieniu do kredytów udzielanych przez taki podmiot urzędnikom wyższego szczebla takiego podmiotu i osobom powiązanym z tymi urzędnikami oraz w odniesieniu do zarzutów dotyczących potencjalnego naruszenia aktów prawnych, o których mowa w art. 4 ust. 3 rozporządzenia (UE) nr 1024/2013.

(6) Celem EBC przy wykonywaniu tych szczególnych zadań jest realizacja ważnych założeń leżących w ogólnym interesie publicznym Unii. Z tego względu wykonywanie takich zadań powinno być zapewnione zgodnie z rozporządzeniem (UE) 2018/1725, w szczególności jego art. 25 ust. 1 lit. c) i g). W szczególności wykonując takie zadania, EBC działa w ogólnym interesie publicznym Unii jako organ publiczny, któremu powierzono wykonywanie, do celów nadzorczych, szczególnych zadań w odniesieniu do wszystkich instytucji kredytowych mających siedzibę w państwach członkowskich uczestniczących w Jednolitym Mechanizmie Nadzorczym. Zadania te obejmują funkcje kontrolne, inspekcyjne lub regulacyjne związane z wykonywaniem władzy publicznej w związku z nadzorem ostro- żnościowym nad instytucjami kredytowymi.

(7) W tym kontekście należy określić podstawy, w oparciu o które EBC może ograniczać prawa osób, których dane dotyczą, w odniesieniu do danych uzyskanych w ramach wykonywania zadań nadzorczych zgodnie z rozporządzeniem (UE) nr 1024/2013.

(8) Zgodnie z art. 25 ust. 1 rozporządzenia (UE) 2018/1725 ograniczenia w stosowaniu art. 14-22, art. 35 i 36 oraz - w zakresie, w jakim jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 - art. 4 tego rozporządzenia należy określić w przepisach wewnętrznych lub aktach prawnych przyjętych na podstawie Traktatów. W związku z tym EBC powinien określić zasady, na podstawie których może ograniczać prawa osób, których dane dotyczą, w wykonywaniu swoich zadań nadzorczych.

(9) Podczas gdy niniejsza decyzja określa zasady, zgodnie z którymi EBC może ograniczać prawa osób, których dane dotyczą, wykonując swoje zadania nadzorcze, Zarząd zamierza przyjąć odrębną decyzję przyjmującą zasady wewnętrzne dotyczące ograniczenia tych praw przy przetwarzaniu przez EBC danych osobowych w związku ze swoim funkcjonowaniem wewnętrznym.

(10) EBC może mieć możliwość zastosowania wyjątku zgodnie z rozporządzeniem (UE) 2018/1725, w szczególności art. 15 ust. 4, art. 16 ust. 5, art. 19 ust. 3 lub art. 35 ust. 3 tego rozporządzenia, w wyniku czego zastosowanie ograniczenia praw nie będzie niezbędne. W przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych EBC może mieć możliwość zastosowania wyjątku określonego w art. 16 ust. 5 lit. b) lub art. 19 ust. 3 lit. d) rozporządzenia (UE) 2018/1725.

(11) Wykonywanie przez osoby, których dane dotyczą, praw, o których mowa w art. 17, 18, 20, 21, 22 i 23 rozporządzenia (UE) 2018/1725, może uniemożliwić lub poważnie utrudnić osiągnięcie określonych celów, w tym, w zależności od przypadku, celów archiwalnych leżących w interesie publicznym, celów związanych z badaniami naukowymi lub historycznymi lub celów statystycznych. W związku z powyższym niniejsza decyzja powinna przewidywać odstępstwo od tych praw zgodnie z art. 25 ust. 3 lub 4 rozporządzenia (UE) 2018/1725, z zastrzeżeniem odpowiednich zabezpieczeń.

(12) EBC powinien uzasadnić, dlaczego takie ograniczenia praw osób, których dane dotyczą, są niezbędne i proporcjonalne w społeczeństwie demokratycznym w celu ochrony celów realizowanych w ramach sprawowania przez niego władzy publicznej oraz funkcji z nią związanych, a także określić, w jaki sposób EBC szanuje istotę podstawowych praw i wolności przy nakładaniu takich ograniczeń.

(13) W tym kontekście EBC jest zobowiązany do przestrzegania, w możliwie najszerszym zakresie, praw podstawowych osób, których dane dotyczą, w szczególności w odniesieniu do prawa do żądania udzielenia informacji, dostępu do danych i ich sprostowania, prawa do usunięcia danych, ograniczenia przetwarzania, prawa osoby, której dane dotyczą, do bycia zawiadomionym o naruszeniu dotyczącym ochrony danych osobowych, czy też prawa do poufności komunikacji, zgodnie z rozporządzeniem (UE) 2018/1725.

(14) EBC może być jednak zobowiązany do ograniczenia informacji przekazywanych osobom, których dane dotyczą, oraz praw osób, których dane dotyczą, w celu zagwarantowania wykonywania swoich zadań, w szczególności własnych dochodzeń i procedur, dochodzeń i procedur innych organów publicznych oraz podstawowych praw i wolności innych osób związanych z dochodzeniami lub innymi procedurami.

(15) EBC powinien znieść ograniczenie, które zostało zastosowane, jeżeli przestanie być ono potrzebne.

(16) Inspektor ochrony danych EBC powinien dokonywać przeglądu stosowania ograniczeń w celu zapewnienia zgodności z niniejszą decyzją i rozporządzeniem (UE) 2018/1725.

(17) Zgodnie z art. 41 ust. 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 12 marca 2021 r.,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Przedmiot i zakres regulacji

1. 
Niniejsza decyzja określa zasady dotyczące ograniczania przez EBC praw osób, których dane dotyczą, podczas wykonywania zarejestrowanych rejestrze centralnym czynności związanych z przetwarzaniem danych osobowych w ramach wykonywania zadań nadzorczych zgodnie z rozporządzeniem (UE) nr 1024/2013.
2. 
Prawa osób, których dane dotyczą, które mogą zostać ograniczone, są określone w następujących artykułach rozporządzenia (UE) 2018/1725:
a)
art. 14 (przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą);
b)
art. 15 (informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą);
c)
art. 16 (informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą);
d)
art. 17 (prawo dostępu przysługujące osobie, której dane dotyczą);
e)
art. 18 (prawo do sprostowania danych);
f)
art. 19 (prawo do usunięcia danych ("prawo do bycia zapomnianym"));
g)
art. 20 (prawo do ograniczenia przetwarzania);
h)
art. 21 (obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania);
i)
art. 22 (prawo do przenoszenia danych);
j)
art. 35 (zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych);
k)
art. 36 (poufność łączności elektronicznej);
l)
art. 4 w zakresie, w jakim jego postanowienia odpowiadają prawom i obowiązkom przewidzianym w art. 14-22 rozporządzenia (UE) 2018/1725.
Artykuł  2

Definicje

Użyte w niniejszej decyzji określenia oznaczają:

1)
"przetwarzanie" - przetwarzanie w rozumieniu art. 3 pkt 3 rozporządzenia (UE) 2018/1725;
2)
"dane osobowe" - dane osobowe w rozumieniu art. 3 pkt 1 rozporządzenia (UE) 2018/1725;
3)
"osoba, której dane dotyczą" - zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
4)
"rejestr centralny" - publicznie dostępne repozytorium wszystkich czynności przetwarzania danych osobowych prowadzonych w EBC, które jest prowadzone przez inspektora ochrony danych EBC i o którym mowa w art. 9 decyzji (UE) 2020/655 (EBC/2020/28);
5)
"administrator" - EBC, a w szczególności właściwą jednostkę organizacyjną w ramach EBC, która - samodzielnie lub wspólnie z innymi jednostkami - określa cele i sposoby przetwarzania danych osobowych i która jest odpowiedzialna za operację przetwarzania danych;
6)
"instytucje i organy Unii" - instytucje i organy Unii w rozumieniu art. 3 pkt 10 rozporządzenia (UE) 2018/1725.
Artykuł  3

Stosowanie ograniczeń

1. 
Administrator może ograniczać prawa, o których mowa w art. 1 ust. 2, w celu ochrony interesów i celów, o których mowa w art. 25 ust. 1 rozporządzenia (UE) 2018/1725, w szczególności jeżeli wykonywanie tych praw zagroziłoby lub w inny sposób negatywnie wpłynęło na:
a)
wykonywanie zadań nadzorczych EBC wynikających z rozporządzenia (UE) nr 1024/2013, w tym zadań dotyczących prawidłowego funkcjonowania systemu nadzoru;
b)
bezpieczeństwo i dobrą kondycję instytucji kredytowych oraz stabilność systemu finansowego w Unii i w każdym z państw członkowskich;
c)
skuteczność zgłaszania naruszeń zgodnie z art. 23 rozporządzenia (UE) nr 1024/2013.
2. 
Aby chronić interesy i cele, o których mowa w art. 25 ust. 1 rozporządzenia (UE) 2018/1725, administrator może ograniczać prawa, o których mowa w art. 1 ust. 2, w odniesieniu do danych osobowych uzyskanych od innych instytucji i organów Unii oraz od właściwych organów państw członkowskich lub państw trzecich, lub też od organizacji międzynarodowych, w każdym z następujących przypadków:
a)
jeżeli wykonywanie tych praw może być ograniczone przez inne instytucje i organy Unii, od których uzyskano dane osobowe, na podstawie innych aktów przewidzianych w art. 25 rozporządzenia (UE) 2018/1725 lub zgodnie z rozdziałem IX tego rozporządzenia lub aktami założycielskimi innych instytucji i organów Unii;
b)
jeżeli wykonywanie tych praw mogłoby zostać ograniczone przez właściwe organy państw członkowskich, od których uzyskano dane osobowe, na podstawie aktów, o których mowa w art. 23 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 4 , lub na mocy krajowych środków transponujących art. 13 ust. 3, art. 15 ust. 3 lub art. 16 ust. 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 5 ;
c)
jeżeli wykonywanie tych praw mogłoby zagrozić współpracy EBC z państwami trzecimi lub organizacjami międzynarodowymi, od których uzyskano informacje, podczas wykonywania jego zadań, lub w inny sposób negatywnie wpłynąć na tę współpracę, chyba że nad interesami EBC w ramach współpracy przeważają podstawowe prawa i wolności osób, których dane dotyczą.
3. 
Przed zastosowaniem ograniczenia w okolicznościach, o których mowa w ust. 2 lit. a) i b), administrator:
a)
zapoznaje się uzgodnieniami zawartymi z odpowiednimi instytucjami i organami Unii lub właściwymi organami państw członkowskich;
b)
konsultuje się z odpowiednimi instytucjami i organami Unii lub właściwymi organami państw członkowskich, chyba że w opinii administratora jasne jest, że stosowanie danego ograniczenia jest przewidziane w jednym z aktów lub środków, o których mowa w ust. 2 lit. a) i b).
4. 
Administrator może zastosować dane ograniczenie tylko wtedy, gdy w wyniku indywidualnej oceny stwierdzi, że ograniczenie to:
a)
jest konieczne i proporcjonalne, biorąc pod uwagę ryzyko naruszenia praw i wolności osób, których dane dotyczą;
b)
jest zgodne z istotą podstawowych praw i wolności w społeczeństwie demokratycznym.
5. 
Administrator dokumentuje swoją ocenę w raporcie z oceny wewnętrznej, który zawiera podstawę prawną, przyczyny ograniczenia, dotknięte ograniczeniem prawa osób, których dane dotyczą, konieczność i proporcjonalność ograniczenia oraz prawdopodobny czas trwania ograniczenia.
6.  6
 Decyzja administratora o ograniczeniu praw osoby, której dane dotyczą, zgodnie z ust. 1 lub 2, podejmowana jest na poziomie kierownika właściwego obszaru organizacyjnego, w ramach którego przeprowadzana jest główna operacja przetwarzania danych osobowych. Jeżeli taka główna operacja przetwarzania danych prowadzona jest w ramach funkcji niebędącej częścią żadnego obszaru organizacyjnego, decyzja taka podejmowana jest na poziomie osoby pełniącej tę funkcję.
7.  7
 Na potrzeby ust. 6, jeżeli kierownik danego obszaru organizacyjnego i jest niedostępny z powodu nieobecności, zachodzi w jego przypadki faktyczny lub domniemany konflikt interesów, lub też gdy ma on dostęp do odpowiednich informacji poufnych, decyzję administratora o ograniczeniu praw osoby, której dane dotyczą, zgodnie z ust. 1 lub 2, podejmuje zastępca kierownika obszaru organizacyjnego, w ramach którego prowadzona jest główna operacja przetwarzania danych osobowych.

W przypadku braku zastępcy kierownika obszaru organizacyjnego, decyzję taką podejmuje bezpośredni przełożony właściwy w przypadku nieobecności kierownika danego obszaru organizacyjnego, zachodzącego w jego przypadku konfliktu interesów lub w przypadku posiadania przez niego dostępu do odpowiednich informacji poufnych.

Artykuł  4

Wyłączenia

1. 
W przypadku przetwarzania do celów badań naukowych lub historycznych lub do celów statystycznych administrator może zastosować odstępstwa zgodnie z art. 25 ust. 3 rozporządzenia (UE) 2018/1725. W tym celu administrator może zastosować odstępstwa od praw, o których mowa w art. 17, 18, 20 i 23 rozporządzenia (UE) 2018/1725, zgodnie z warunkami określonymi w art. 25 ust. 3 tego rozporządzenia.
2. 
W przypadku przetwarzania do celów archiwalnych w interesie publicznym administrator może zastosować odstępstwa zgodnie z art. 25 ust. 4 rozporządzenia (UE) 2018/1725. W tym celu administrator może zastosować odstępstwa od praw, o których mowa w art. 17, 18, 20, 21, 22 i 23 rozporządzenia (UE) 2018/1725, zgodnie z warunkami określonymi w art. 25 ust. 4 tego rozporządzenia.
3. 
Takie odstępstwa podlegają odpowiednim zabezpieczeniom zgodnie z art. 13 rozporządzenia (UE) 2018/1725 i art. 8 niniejszej decyzji.
Artykuł  5

Udzielanie ogólnych informacji na temat ograniczeń

Administrator udziela ogólnych informacji na temat potencjalnego ograniczenia praw osób, których dane dotyczą, w następujący sposób:

a)
administrator określa prawa, które mogą zostać ograniczone, przyczyny i potencjalny czas trwania ograniczenia;
b)
administrator zamieszcza informacje, o których mowa w lit. a), w swoich informacjach o ochronie danych, oświadczeniach o ochronie prywatności i rejestrach czynności przetwarzania, o których mowa w art. 31 rozporządzenia (UE) 2018/1725.
Artykuł  6

Ograniczenie prawa dostępu do danych osób, których dane dotyczą, prawa do sprostowania danych, prawa do usunięcia danych lub prawa do ograniczenia przetwarzania

1. 
Jeżeli administrator ogranicza, całkowicie lub częściowo, prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych lub prawo do ograniczenia ich przetwarzania, o których mowa odpowiednio w art. 17, 18, art. 19 ust. 1 i art. 20 ust. 1 rozporządzenia (UE) 2018/1725, w terminie, o którym mowa w art. 11 ust. 5 decyzji (UE) 2020/655 (EBC/2020/28), administrator informuje daną osobę, której dane dotyczą, w swojej pisemnej odpowiedzi na jej wniosek o zastosowanym ograniczeniu, o podstawowych powodach zastosowania ograniczenia oraz o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej.
2. 
Administrator przechowuje raport z oceny wewnętrznej, o którym mowa w art. 3 ust. 5, oraz, w stosownych przypadkach, dokumenty zawierające podstawowe okoliczności faktyczne i prawne, i udostępnia je Europejskiemu Inspektorowi Ochrony Danych na jego wniosek.
3. 
Administrator może wstrzymać udzielanie informacji dotyczących przyczyn ograniczenia, o którym mowa w ust. 1, pominąć je lub odmówić takiego udzielenia informacji tak długo, jak długo zagrażać będzie ono celowi ograniczenia. Gdy tylko administrator stwierdzi, że udzielenie informacji nie zagraża już celowi ograniczenia, przekazuje te informacje osobie, której dane dotyczą.
Artykuł  7

Okres obowiązywania ograniczeń

1. 
Administrator znosi ograniczenie niezwłocznie po ustaniu okoliczności je uzasadniających.
2. 
W przypadku zniesienia przez administratora ograniczenia zgodnie z ust. 1 ma on obowiązek niezwłocznie:
a)
w zakresie, w jakim jeszcze tego nie zrobił, poinformować osobę, której dane dotyczą, o podstawowych powodach zastosowania ograniczenia;
b)
poinformować osobę, której dane dotyczą, o przysługującym jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub do wniesienia środka ochrony prawnej do Trybunału Sprawiedliwości Unii Europejskiej;
c)
przyznać osobie, której dane dotyczą, prawo, które było przedmiotem zniesionego ograniczenia.
3. 
Co sześć miesięcy administrator ponownie ocenia potrzebę utrzymania ograniczenia zastosowanego zgodnie z niniejszą decyzją i dokumentuje swoją ponowną ocenę w wewnętrznym raporcie z oceny.
Artykuł  8

Zabezpieczenia

EBC stosuje zabezpieczenia organizacyjne i techniczne określone w załączniku w celu zapobiegania nadużyciom lub niezgodnemu z prawem dostępowi do danych lub ich przekazywaniu.

Artykuł  9

Przegląd dokonywany przez inspektora ochrony danych

1. 
W przypadku ograniczenia stosowania praw osoby, której dane dotyczą, administrator ma obowiązek utrzymywania stałego zaangażowania inspektora ochrony danych. W szczególności:
a)
administrator bez zbędnej zwłoki zasięga opinii inspektora ochrony danych;
b)
na wniosek inspektora ochrony danych administrator zapewnia mu dostęp do wszelkich dokumentów zawierających podstawowe okoliczności faktyczne i prawne, w tym do raportu z oceny wewnętrznej, o którym mowa w art. 3 ust. 5;
c)
administrator dokumentuje sposób zaangażowania inspektora ochrony danych, w tym istotne informacje, które zostały udostępnione, w szczególności datę pierwszego zasięgnięcia opinii zgodnie z lit. a);
d)
inspektor ochrony danych może zwrócić się do administratora o dokonanie przeglądu ograniczenia;
e)
administrator bez zbędnej zwłoki, a w każdym razie przed zastosowaniem ograniczenia, informuje inspektora ochrony danych na piśmie o wyniku żądanego przeglądu.
2. 
Administrator informuje inspektora ochrony danych o zniesieniu ograniczenia.
Artykuł  10

Wejście w życie

Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono we Frankfurcie nad Menem dnia 7 września 2021 r.
Christine LAGARDE
Prezes EBC

ZAŁĄCZNIK

Zabezpieczenia organizacyjne i techniczne w EBC zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu obejmują:
a)
w odniesieniu do osób:
(i)
obowiązek znajomości i stosowania polityki EBC oraz zasad dotyczących zarządzania informacjami i poufności informacji, obejmujący wszystkie osoby mające dostęp do niepublicznych informacji EBC;
(ii)
procedurę poświadczania bezpieczeństwa, która gwarantuje, że jedynie zweryfikowane i upoważnione osoby mają prawo wstępu do siedziby EBC i prawo dostępu do jego informacji niepublicznych;
(iii)
środki w zakresie świadomości dotyczącej bezpieczeństwa informatycznego, informacyjnego i fizycznego;
(iv)
szkolenia, które są regularnie organizowane dla pracowników i usługodawców zewnętrznych;
(v)
podleganie przez pracowników EBC surowym zasadom dotyczącym tajemnicy zawodowej określonym w warunkach zatrudnienia i regulaminie pracowniczym EBC, których naruszenie skutkuje sankcjami dyscyplinarnymi;
(vi)
określone w ustaleniach umownych zasady i obowiązki dotyczące dostępu do informacji niepublicznych EBC przez usługodawców zewnętrznych lub wykonawców zewnętrznych;
(vii)
kontrole dostępu, w tym strefy bezpieczeństwa, które są egzekwowane w celu zapewnienia, aby dostęp osób do informacji niepublicznych EBC był przyznawany i ograniczany w zależności od potrzeb biznesowych i wymogów bezpieczeństwa;
b)
w odniesieniu do procesów:
(i)
obowiązywanie procedur mających na celu zapewnienie kontrolowanego wdrażania, stosowania i utrzymywania aplikacji informatycznych wspierających działalność EBC;
(ii)
wykorzystanie w działalności EBC aplikacji informatycznych, które spełniają standardy bezpieczeństwa EBC;
(iii)
funkcjonowanie kompleksowego programu bezpieczeństwa fizycznego, który dokonuje stałej oceny zagrożeń dla bezpieczeństwa i obejmuje środki bezpieczeństwa fizycznego mające na celu zapewnienie odpowiedniego poziomu ochrony;
c)
w odniesieniu do technologii:
(i)
przechowywanie wszystkich danych elektronicznych w aplikacjach informatycznych zgodnych ze standardami bezpieczeństwa EBC, a tym samym zapewniających ich ochronę przed nieuprawnionym dostępem lub zmianą;
(ii)
wdrażanie, obsługiwanie i utrzymywanie aplikacji informatycznych na poziomie bezpieczeństwa współmiernym do potrzeb związanych z poufnością, integralnością i dostępnością aplikacji informatycznych, w oparciu o analizy wpływu na działalność;
(iii)
poddawanie poziomu bezpieczeństwa aplikacji informatycznych regularnemu zatwierdzaniu w drodze technicznych i nietechnicznych ocen bezpieczeństwa;
(iv)
przyznawanie dostępu do informacji niepublicznych EBC w oparciu o zasadę ograniczonego dostępu oraz poddawanie uprzywilejowanego dostępu ścisłym ograniczeniom i ścisłej kontroli;
(v)
wdrażanie kontroli mających na celu wykrywanie rzeczywistych i potencjalnych naruszeń bezpieczeństwa oraz podejmowanie działań następczych w związku z takimi naruszeniami.
1 Dz.U. L 295 z 21.11.2018, s. 39.
2 Rozporządzenie Rady (UE) nr 1024/2013 z dnia 15 października 2013 r. powierzające Europejskiemu Bankowi Centralnemu szczególne zadania w odniesieniu do polityki związanej z nadzorem ostrożnościowym nad instytucjami kredytowymi (Dz.U. L 287 z 29.10.2013, s. 63).
3 Decyzja Europejskiego Banku Centralnego (UE) 2020/655 z dnia 5 maja 2020 r. przyjmująca zasady wykonawcze w zakresie ochrony danych w Europejskim Banku Centralnym i uchylająca decyzję EBC/2007/1 (EBC/2020/28) (Dz.U. L 152 z 15.5.2020, s. 13).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
5 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89).
6 Art. 3 ust. 6 zmieniony przez art. 1 pkt 1 decyzji nr EBC/2024/10 (2024/902) z dnia 12 marca 2024 r. (Dz.U.UE.L.2024.902) zmieniającej nin. decyzję z dniem 11 kwietnia 2024 r.
7 Art. 3 ust. 7 dodany przez art. 1 pkt 2 decyzji nr EBC/2024/10 (2024/902) z dnia 12 marca 2024 r. (Dz.U.UE.L.2024.902) zmieniającej nin. decyzję z dniem 11 kwietnia 2024 r.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .