ID-kaart


Lihtotsing

Prindi    I    Salvesta DOC failina    I    Tagasi
🔍
Euroopa Keskpanga otsus (EL) 2021/1486, 7. september 2021, millega võetakse vastu sise-eeskirjad andmesubjektide õiguste piiramise kohta seoses Euroopa Keskpanga ülesannetega krediidiasutuste usaldatavusnõuete täitmise järelevalvel, (EKP/2021/42)
Euroopa Keskpank 07.09.2021 otsus number 1486; jõustumiskuupäev 06.10.2021

16.9.2021   

ET

Euroopa Liidu Teataja

L 328/15


EUROOPA KESKPANGA OTSUS (EL) 2021/1486,

7. september 2021, millega võetakse vastu sise-eeskirjad andmesubjektide õiguste piiramise kohta seoses Euroopa Keskpanga ülesannetega krediidiasutuste usaldatavusnõuete täitmise järelevalvel

(EKP/2021/42)

EUROOPA KESKPANGA JUHATUS,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Keskpankade Süsteemi ja Euroopa Keskpanga põhikirja, eelkõige selle artiklit 11.6,

võttes arvesse Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, 23. oktoober 2018, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (1) eelkõige selle artiklit 25,

ning arvestades järgmist:

(1)

Euroopa Keskpank (EKP) täidab oma ülesandeid kooskõlas aluslepingute ja nõukogu määrusega (EL) nr 1024/2013 (2).

(2)

Vastavalt määruse (EL) 2018/1725 artikli 45 lõikele 3 kehtestab Euroopa Keskpanga otsus (EL) 2020/655 (EKP/2020/28) (3) EKP suhtes määrust (EL) 2018/1725 rakendavad üldsätted. Eelkõige täiendab see sätteid EKP andmekaitseametniku ametisse nimetamise ja ametiseisundi kohta, sh andmekaitseametniku ülesannete, kohustuste ja pädevuse osas.

(3)

EKP-le antud ülesannete täitmisel tegutseb EKP, täpsemalt EKP organisatsiooniline üksus, vastutava töötlejana, kui ta iseseisvalt või koostöös määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

(4)

Määruse (EL) nr 1024/2013 artikli 4 lõike 1 kohaselt on EKP-l ainupädevus täita usaldatavusnõuete täitmise järelevalve eesmärgil ning krediidiasutuste turvalisuse ja toimekindluse ja finantssüsteemi stabiilsuse tagamiseks eriülesandeid seoses kõigi ühtses järelevalvemehhanismis osalevates liikmesriikides asutatud krediidiasutustega.

(5)

Nende eriülesannete täitmisel töötleb EKP erinevat liiki teavet, mis võib olla seotud tuvastatud või tuvastatava füüsilise isikuga, näiteks tuvastusandmed, kontaktandmed, ametialased andmed, finants- või haldusandmed, konkreetsetest allikatest saadud andmed, elektroonilise side andmed ja elektroonilised liiklusandmed, karistusregistri andmed, finants- ja mittefinantshuvide kirjeldus, teave isiku või tema lähedaste suhete kohta järelevalve alla kuuluvate üksuste või järelevalve alla kuuluvate üksuste juhtorgani liikmetega, ning andmed selle kohta, millisele ametikohale isik on määratud või võidakse määrata. Isikuandmeid võidakse kasutada ka hindamiste läbiviimisel, sh hindamiste, mis viiakse läbi: krediidiasutusele tegevusloa andmise, krediidiasutuse tegevusloa kehtetuks tunnistamise ja olulise osaluse menetluses; seoses järelevalve alla kuuluva olulise üksuse asutamisõigusega; et teha kindlaks, kas sobivuse ja nõuetekohasuse nõuded on täidetud; seoses järelevalve alla kuuluva olulise üksuse tasustamispoliitikaga ja sellise üksuse poolt oma kõrgema astme juhtidele ja nendega seotud isikutele antud krediidiga; ning seoses määruse (EL) nr 1024/2013 artikli 4 lõikes 3 osutatud õigusaktide väidetava rikkumisega.

(6)

EKP eesmärk nende eriülesannete täitmisel on viia ellu liidu avaliku huviga seotud olulisi eesmärke. Seetõttu tuleks selliste ülesannete täitmine tagada vastavalt määrusele (EL) 2018/1725, eelkõige selle artikli 25 lõike 1 punktidele c ja g. Eelkõige selliste ülesannete täitmisel tegutseb EKP liidu üldistes avalikes huvides avaliku sektori asutusena, kellele on järelevalve eesmärgil antud eriülesanded seoses kõigi ühtses järelevalvemehhanismis osalevates liikmesriikides asutatud krediidiasutustega. Asjaomaste ülesannete hulka kuuluvad järelevalve-, kontrolli- või regulatiivsed funktsioonid, mis on seotud avaliku võimu teostamisega krediidiasutuste usaldatavusnõuete täitmise järelevalvel.

(7)

Sellega seoses on asjakohane täpsustada, millistel alustel võib EKP piirata andmesubjektide õigusi seoses andmetega, mis on saadud EKP järelevalveülesannete täitmisel vastavalt määrusele (EL) nr 1024/2013.

(8)

Vastavalt määruse (EL) 2018/1725 artikli 25 lõikele 1 tuleks artiklite 14–22, 35 ja 36 ning samuti artikli 4 kohaldamist, kui selle sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele, piirata aluslepingute alusel vastu võetud sise-eeskirjadega või õigusaktidega. Sellest tulenevalt peaks EKP sätestama eeskirjad, mille alusel ta võib piirata andmesubjektide õigusi oma järelevalveülesannete täitmisel.

(9)

Eeskirjad, mille alusel EKP võib piirata andmesubjektide õigusi oma järelevalveülesannete täitmisel, sätestatakse käesolevas otsuses, kuid EKP juhatus kavatseb vastu võtta ka eraldi otsuse, millega kehtestatakse sise-eeskirjad asjaomaste õiguste piiramise kohta isikuandmete töötlemisel seoses EKP sisemise toimimisega.

(10)

EKP-l on määruse (EL) 2018/1725 kohaselt erandi tegemise õigus, mille puhul puudub vajadus kaaluda piirangu kehtestamist, eelkõige määruse artikli 15 lõikes 4, artikli 16 lõikes 5, artikli 19 lõikes 3 ja artikli 35 lõikes 3 sätestatud piirangute osas. Isikuandmete töötlemisel avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil võib EKP kohaldada erandeid, mis on sätestatud määruse (EL) 2018/1725 artikli 16 lõike 5 punktis b või artikli 19 lõike 3 punktis d.

(11)

Määruse (EL) 2018/1725 artiklites 17, 18, 20, 21, 22 ja 23 osutatud andmesubjektide õiguste kasutamine võib muuta võimatuks teatavate eesmärkide saavutamise või seda suurel määral häirida, sealhulgas avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Seetõttu tuleks käesoleva otsusega ette näha erand asjaomastest õigustest kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 3 või 4, võttes arvesse asjakohaseid kaitsemeetmeid.

(12)

EKP peaks põhjendama, miks sellised andmesubjektide õiguste piirangud on demokraatlikus ühiskonnas rangelt vajalikud ja proportsionaalsed EKP avaliku võimu teostamisel ja sellega seotud ülesannete täitmisel taotletavate eesmärkide saavutamiseks, ning kuidas EKP võtab selliste piirangute kehtestamisel arvesse põhiõiguste ja -vabaduste olemust.

(13)

Selles raamistikus on EKP kohustatud võimalikult suurel määral austama andmesubjektide põhiõigusi, eelkõige põhiõigusi, mis on seotud õigusega saada teavet, õigusega andmetega tutvuda, õigusega andmete parandamisele, õigusega andmete kustutamisele, õigusega töötlemise piiramisele, õigusega olla teavitatud andmesubjekti isikuandmetega seotud rikkumisest ning side andmete konfidentsiaalsusega, nagu on sätestatud määruses (EL) 2018/1725.

(14)

EKP-l võib siiski olla kohustus piirata andmesubjektidele antavat teavet ja teiste andmesubjektide õigusi, et kaitsta oma järelevalveülesannete täitmist, eelkõige EKP juurdluste ja menetluste läbiviimist, muude avaliku võimu organite juurdluste ja menetluste läbiviimist ning EKP juurdluste või muude menetlustega seotud muude isikute põhiõigusi ja -vabadusi.

(15)

EKP peaks kohaldatud piirangu kaotama selles ulatuses, milles see ei ole enam vajalik.

(16)

EKP andmekaitseametnik peaks piirangute kohaldamise läbi vaatama, et tagada käesoleva otsuse ja määruse (EL) 2018/1725 nõuete täitmine.

(17)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EL) 2018/1725 artikli 41 lõikega 2 ja ta esitas oma arvamuse 12. märtsil 2021.

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Reguleerimisese ja kohaldamisala

1.   Käesolevas otsuses sätestatakse eeskirjad, mis käsitlevad EKP poolt andmesubjektide õiguste piiramist keskregistrisse kantud isikuandmete töötlemise toimingute tegemisel EKP järelevalveülesannete täitmisel vastavalt määrusele (EL) nr 1024/2013.

2.   Andmesubjektide õigused, mida võib piirata, on sätestatud määruse (EL) 2018/1725 järgmistes artiklites:

a)

artikkel 14 (selge teave, teavitamine ja andmesubjekti õiguste teostamise kord);

b)

artikkel 15 (teave, mis tuleb esitada juhul, kui isikuandmed on kogutud andmesubjektilt);

c)

artikkel 16 (teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt);

d)

artikkel 17 (andmesubjekti õigus tutvuda andmetega);

e)

artikkel 18 (õigus andmete parandamisele);

f)

artikkel 19 (õigus andmete kustutamisele („õigus olla unustatud“));

g)

artikkel 20 (õigus isikuandmete töötlemise piiramisele);

h)

artikkel 21 (kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest);

i)

artikkel 22 (andmete ülekandmise õigus);

j)

artikkel 35 (andmesubjekti teavitamine isikuandmetega seotud rikkumisest);

k)

artikkel 36 (elektroonilise side konfidentsiaalsus);

l)

artikkel 4, kui selle sätted vastavad määruse (EL) 2018/1725 artiklites 14–22 sätestatud õigustele ja kohustustele.

Artikkel 2

Mõisted

Käesolevas otsuses kasutatakse järgmisi mõisteid:

1)

„töötlemine“ – isikuandmete töötlemine määruse (EL) 2018/1725 artikli 3 punktis 3 määratletud tähenduses;

2)

„isikuandmed“ – isikuandmed määruse (EL) 2018/1725 artikli 3 punktis 1 määratletud tähenduses;

3)

„andmesubjekt“ – tuvastatud või tuvastatav füüsiline isik; tuvastatav isik tähendab isikut, keda saab otseselt või kaudselt tuvastada, eelkõige järgmiste tunnuste abil: nimi, isikukood, asukoha andmed, online-tunnuskood või muud asjaolud, mis iseloomustavad füüsilise isiku füüsilist, füsioloogilist, geneetilist, mentaalset, majanduslikku, kultuurilist või sotsiaalset olemust;

4)

„keskregister“ – otsuse (EL) 2020/655 (EKP/2020/28) artiklis 9 osutatud EKP andmekaitseametniku peetav avalik andmehoidla, mis sisaldab kõiki EKPs teostatavaid isikuandmete töötlemise toiminguid;

5)

„vastutav töötleja“ – EKP, täpsemalt EKP pädev organisatsiooniline üksus, kes iseseisvalt või koostöös määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid, ning kes vastutab töötlemise toimingute eest;

6)

„liidu institutsioonid ja asutused“ – määruse (EL) 2018/1725 artikli 3 punktis 10 määratletud liidu institutsioonid ja organid.

Artikkel 3

Piirangute kohaldamine

1.   Vastutav töötleja võib piirata artikli 1 lõikes 2 osutatud õigusi, et kaitsta määruse (EL) 2018/1725 artikli 25 lõikes 1 osutatud huve ja eesmärke, eelkõige juhul, kui nende õiguste kasutamine ohustaks või muul viisil kahjustaks:

a)

EKP järelevalveülesannete täitmist määruse (EL) nr 1024/2013 alusel, sh järelevalvesüsteemi nõuetekohast toimimist;

b)

krediidiasutuste turvalisust ja toimekindlust ning finantssüsteemi stabiilsust liidus ja igas liikmesriigis;

c)

rikkumistest teavitamise tulemuslikkust kooskõlas määruse (EL) nr 1024/2013 artikliga 23.

2.   Määruse (EL) 2018/1725 artikli 25 lõikes 1 osutatud huvide ja eesmärkide kaitsmiseks võib vastutav töötleja piirata artikli 1 lõikes 2 osutatud õigusi seoses muudelt liidu institutsioonidelt ja asutustelt ning liikmesriikide või kolmandate riikide pädevatelt asutustelt või rahvusvahelistelt organisatsioonidelt saadud isikuandmetega järgmistel juhtudel:

a)

kui nende õiguste kasutamist võivad piirata muud liidu institutsioonid ja asutused, kellelt isikuandmed on saadud, määruse (EL) 2018/1725 artiklis 25 sätestatud muude õigusaktide alusel või kooskõlas selle määruse IX peatükiga või muude liidu institutsioonide ja asutuste asutamisaktidega;

b)

kui nende õiguste kasutamist võivad piirata liikmesriikide pädevad asutused, kellelt isikuandmed saadi, Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (4) artiklis 23 osutatud õigusaktide alusel või riiklike meetmete alusel, millega võetakse üle Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 (5) artikli 13 lõige 3, artikli 15 lõige 3 või artikli 16 lõige 3;

c)

kui nende õiguste kasutamine võib ohustada või muul viisil kahjustada EKP koostööd kolmandate riikide või rahvusvaheliste organisatsioonidega, kellelt andmed saadi, EKP ülesannete täitmisel, välja arvatud juhul, kui EKP koostööhuvi kaaluvad üles andmesubjektide huvid või põhiõigused ja -vabadused.

3.   Enne piirangu kohaldamist lõike 2 punktides a ja b osutatud asjaoludel peab vastutav töötleja:

a)

võtma teadmiseks asjaomaste liidu institutsioonide ja asutustega või liikmesriikide pädevate asutustega sõlmitud kokkulepped;

b)

konsulteerima asjaomaste liidu institutsioonide ja asutustega või liikmesriikide pädevate asutustega, välja arvatud juhul, kui vastutav töötleja on veendunud, et kõnealuse piirangu kohaldamine on ette nähtud mõne lõike 2 punktides a ja b osutatud õigusakti või meetmega.

4.   Vastutav töötleja võib piirangut kohaldada vaid juhul, kui ta otsustab iga üksikjuhu hindamisel eraldi, et piirang:

a)

on vajalik ja proportsionaalne, võttes arvesse ohtu andmesubjekti õigustele ja vabadustele; ja

b)

austab põhiõiguste ja -vabaduste olemust demokraatlikus ühiskonnas.

5.   Vastutav töötleja dokumenteerib oma hinnangu asutusesiseses hindamisteatises, mis sisaldab õiguslikku alust, piirangu kohaldamise põhjuseid, andmesubjektide õigusi, mida on piiratud, mõjutatud andmesubjekte, piirangu kohaldamise vajalikkust ja proportsionaalsust ning piirangu tõenäolist kestust.

6.   Vastutava töötleja langetatav otsus andmesubjekti õiguste piiramise kohta vastavalt käesolevale otsusele tehakse ärivaldkonna juhi või asejuhi tasandil, kelle ärivaldkonnas isikuandmetega seotud töötlemistoimingud läbi viiakse.

Artikkel 4

Erandid

1.   Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil, võib vastutav töötleja kohaldada erandeid kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 3. Selleks võib vastutav töötleja teha erandi määruse (EL) 2018/1725 artiklites 17, 18, 20 ja 23 osutatud õigustest kooskõlas selle määruse artikli 25 lõikes 3 sätestatud tingimustega.

2.   Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib vastutav töötleja kohaldada erandeid kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 4. Selleks võib vastutav töötleja teha erandi määruse (EL) 2018/1725 artiklites 17, 18, 20, 21, 22 ja 23 osutatud õigustest kooskõlas selle määruse artikli 25 lõikes 4 sätestatud tingimustega.

3.   Selliste erandite suhtes kohaldatakse asjakohaseid kaitsemeetmeid kooskõlas määruse (EL) 2018/1725 artikliga 13 ja käesoleva otsuse artikliga 8.

Artikkel 5

Piirangute kohta üldise teabe andmine

Vastutav töötleja esitab üldise teabe andmesubjekti õiguste võimaliku piiramise kohta järgmiselt:

a)

vastutav töötleja täpsustab, milliseid õigusi võib piirata, piirangu põhjused ja võimaliku kestuse;

b)

vastutav töötleja lisab punktis a osutatud teabe oma isikuandmete kaitse teadetesse, isikuandmete kaitse põhimõtetesse ja töötlemistoimingute registrisse, nagu on osutatud määruse (EL) 2018/1725 artiklis 31.

Artikkel 6

Andmesubjekti õigus andmetega tutvuda, õigus andmete parandamisele, õigus andmete kustutamisele ja õigus andmete töötlemise piiramisele

1.   Kui vastutav töötleja piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklis 17, artiklis 18, artikli 19 lõikes 1 ja artikli 20 lõikes 1 osutatud õigust andmetega tutvuda, õigust andmete parandamisele, õigust andmete kustutamisele või õigust andmete töötlemise piiramisele, teatab ta oma kirjalikus vastuses asjaomasele andmesubjektile otsuse (EL) 2020/655 (EKP/2020/28) artikli 11 lõikes 5 osutatud tähtaja jooksul kohaldatud piirangust, piirangu peamistest põhjustest ja võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

2.   Vastutav töötleja säilitab artikli 3 lõikes 5 osutatud asutusesisese hindamisteatise ning vajaduse korral faktilisi ja õiguslikke asjaolusid sisaldavad dokumendid, ning teeb need taotluse korral kättesaadavaks Euroopa Andmekaitseinspektorile.

3.   Vastutav töötleja võib lõikes 1 osutatud piirangu põhjustega seotud teabe esitamise edasi lükata, selle ära jätta või selle andmisest keelduda, niikaua kui teabe esitamine kahjustaks piirangu eesmärki. Kui vastutav töötleja on veendunud, et teabe esitamine ei kahjusta enam piirangu eesmärki, esitab vastutav töötleja selle teabe andmesubjektile.

Artikkel 7

Piirangute kestus

1.   Vastutav töötleja kaotab piirangu kohe, kui piirangu aluseks olnud asjaolud enam ei kehti.

2.   Kui vastutav töötleja kaotab piirangu vastavalt lõikele 1, teeb ta viivitamata järgmist:

a)

teavitab andmesubjekti piirangu kohaldamise peamistest põhjustest, kui ta ei ole seda veel teinud;

b)

teavitab andmesubjekti tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse;

c)

annab andmesubjektile tagasi õiguse, mille suhtes kaotatud piirangut kohaldati.

3.   Vastutav töötleja hindab käesoleva otsuse alusel kohaldatud piirangu jätkuva kohaldamise vajadust iga kuue kuu järel ning dokumenteerib oma hinnangu asutusesiseses hindamisteatises.

Artikkel 8

Kaitsemeetmed

EKP kohaldab lisas sätestatud korralduslikke ja tehnilisi kaitsemeetmeid, et vältida kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist.

Artikkel 9

Läbivaatamine andmekaitseametniku poolt

1.   Kui vastutav töötleja piirab andmesubjekti õiguste kohaldamist, peab ta kaasama andmekaitseametniku. Eelkõige kohaldatakse järgmisi nõudeid:

a)

vastutav töötleja konsulteerib andmekaitseametnikuga põhjendamatu viivituseta;

b)

andmekaitseametniku taotlusel võimaldab vastutav töötleja andmekaitseametnikul tutvuda kõikide faktilisi ja õiguslikke asjaolusid sisaldavate dokumentidega, sealhulgas artikli 3 lõikes 5 osutatud asutusesisese hindamisteatisega;

c)

vastutav töötleja dokumenteerib andmekaitseametniku kaasamise, sealhulgas jagatud teabe, eelkõige punktis a osutatud esimese konsulteerimise kuupäeva;

d)

andmekaitseametnik võib nõuda vastutavalt töötlejalt piirangu läbivaatamist;

e)

vastutav töötleja teavitab andmekaitseametnikku läbivaatamise tulemustest kirjalikult ilma põhjendamatu viivituseta ning igal juhul enne piirangute kohaldamist.

2.   Vastutav töötleja teavitab andmekaitseametnikku piirangu kaotamisest.

Artikkel 10

Jõustumine

Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Frankfurt Maini ääres, 7. september 2021

EKP president

Christine LAGARDE


(1)  ELT L 295, 21.11.2018, lk 39.

(2)  Nõukogu 15. oktoobri 2013. aasta määrus (EL) nr 1024/2013, millega antakse Euroopa Keskpangale eriülesanded seoses krediidiasutuste usaldatavusnõuete täitmise järelevalve poliitikaga (ELT L 287, 29.10.2013, lk 63).

(3)  Euroopa Keskpanga 5. mai 2020. aasta otsus (EL) 2020/655, millega võetakse vastu Euroopa Keskpanga andmekaitse rakendussätted ja tunnistatakse kehtetuks otsus EKP/2007/1 (EKP/2020/28) (ELT L 152, 15.5.2020, lk 13).

(4)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(5)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).


LISA

EKP korralduslikud ja tehnilised kaitsemeetmed kuritarvitamise, ebaseadusliku andmetega tutvumise või nende edastamise vältimiseks hõlmavad järgmist:

a)

seoses isikutega:

i)

kõik isikud, kellel on juurdepääs EKP mitteavalikule teabele, vastutavad EKP teabe haldamise ja konfidentsiaalsuse põhimõtete ja eeskirjade tundmise ja kohaldamise eest;

ii)

julgeolekukontrolli menetlus, millega tagatakse, et EKP ruumidele ja EKP mitteavalikule teabele pääsevad juurde üksnes kontrollitud ja volitatud isikud;

iii)

IT-, teabe- ja füüsilise julgeoleku alase teadlikkuse tõstmise meetmed;

iv)

töötajate ja väliste teenuseosutajate korrapärane koolitamine;

v)

EKP töötajate suhtes kohaldatakse rangeid ametisaladuse hoidmise eeskirju, mis on sätestatud EKP töölepingu tingimustes ja ametieeskirjades ning mille rikkumine toob kaasa distsiplinaarkaristuse;

vi)

lepingutes sätestatud eeskirjad ja kohustused, mis reguleerivad väliste teenuseosutajate või töövõtjate juurdepääsu EKP mitteavalikule teabele;

vii)

juurdepääsu reguleerimine, sealhulgas turvatsoonide kehtestamine, millega tagatakse, et isikute juurdepääs EKP mitteavalikule teabele on lubatud või piiratud vastavalt ärivajadustele ja turvanõuetele;

b)

seoses protsessidega:

i)

protsessid EKP tegevust toetavate IT-rakenduste kontrollitud juurutamise, käitamise ja hooldamise tagamiseks;

ii)

EKP turvastandarditele vastavate IT-rakenduste kasutamine EKP tegevuses;

iii)

põhjalik füüsilise julgeoleku programm, mille raames hinnatakse pidevalt julgeolekuohte ja mis hõlmab füüsilise julgeoleku meetmeid piisava kaitsetaseme tagamiseks;

c)

seoses tehnoloogiaga:

i)

kõiki elektroonilisi andmeid säilitatakse EKP turvastandarditele vastavates IT-rakendustes ning on seega kaitstud loata juurdepääsu või muutmise eest;

ii)

IT-rakenduste juurutamine, käitamine ja hooldamine turvalisuse tasemel, mis vastab IT-rakenduste konfidentsiaalsuse, tervikluse ja kättesaadavuse vajadustele ning põhineb ärimõju analüüsil;

iii)

IT-rakenduste turvalisuse tase, mida korrapäraselt valideeritakse tehniliste ja mittetehniliste turvahinnangutega;

iv)

juurdepääs EKP mitteavalikule teabele antakse teadmisvajaduse põhimõtte kohaselt ning eelisjuurdepääs on rangelt piiratud ja reguleeritud;

v)

kontrollmeetmed tegelike ja võimalike turvarikkumiste avastamiseks ja nende suhtes järelmeetmete võtmiseks.


Top