31998O0028

EUROPEISKA CENTRALBANKENS RIKTLINJE

av den 22 december 1998

om gemensamma regler och miniminormer för att insynsskydda vissa individuella statistiska uppgifter som samlats in av Europeiska centralbanken med hjälp av de nationella centralbankerna

(ECB/1998/NP28)

EUROPEISKA CENTRALBANKENS RÅD HAR ANTAGIT DENNA RIKTLINJE

med beaktande av Stadgan för Europeiska centralbankssystemet och Europeiska centralbanken (nedan kallad stadgan), särskilt artiklarna 5, 12.1, 14.3 och 38 i denna,

med beaktande av rådets förordning (EG) nr 2533/98 av den 23 november 1998 om Europeiska centralbankens insamling av statistik(1), särskilt artikel 8 i denna, och

av följande skäl:

(1) I artikel 8.3 i ovan nämnda förordning (EG) nr 2533/98 föreskrivs att uppgiftslämnare skall underrättas om vad de statistiska uppgifter som de lämnat kan komma att användas till på det statistiska området och övriga, administrativa, områden. I artikeln föreskrivs även att uppgiftslämnare skall ha rätt att få information om den rättsliga grunden för överlämnandet och de vidtagna skyddsåtgärderna.

(2) Enligt artikel 8.9 i samma förordning (EG) nr 2533/98 skall Europeiska centralbanken (ECB) och de nationella centralbankerna vidta alla nödvändiga rättsliga, administrativa, tekniska och organisatoriska åtgärder för att säkerställa skyddet av insynsskyddade statistiska uppgifter. ECB skall enligt samma artikel utarbeta gemensamma regler och miniminormer för att förhindra olagligt röjande och otillåten användning av insynsskyddade statistiska uppgifter.

(3) Såväl ECB som de nationella centralbankerna har interna rutiner som ger en hög skyddsnivå för insynsskyddade statistiska uppgifter i ECB och de nationella centralbankerna. Syftet med kravet på gemensamma regler och miniminormer i artikel 8.9 i förordning (EG) nr 2533/98 kan därför nås genom att en grundskyddsnivå fastställs för hela Europeiska centralbankssystemet, utan att detta påverkar den eventuellt högre nivå som uppnås genom de skyddsåtgärder som nu gäller inom ECB och de nationella centralbankerna och utan att det påverkar dessa skyddsrutiner eller ålägger ECB och de nationella centralbankerna särskilda tekniska lösningar, förutsatt att de gemensamma reglerna och miniminormerna uppfylls.

(4) ECB behöver regelbunden information från de nationella centralbankerna om de aktuella skyddsåtgärderna för att kunna fullgöra sin uppgift att utarbeta de gemensamma regler och miniminormer som anges i artikel 8.9 i förordning (EG) nr 2533/98 och för att kunna bedöma om den nödvändiga grundskyddsnivån är uppfylld.

(5) I överensstämmelse med artiklarna 12.1 och 14.3 i stadgan utgör ECB:s riktlinjer en integrerad del av gemenskapsrätten.

HÄRIGENOM FÖRESKRIVS FÖLJANDE

Artikel 1

Definitioner

I denna riktlinje avses med

1. insynsskyddade statistiska uppgifter: statistiska uppgifter som definieras som insynsskyddade enligt artikel 8.1 i förordning (EG) nr 2533/98,

2. skyddsåtgärder: lämpliga metoder för att skydda insynsskyddade statistiska uppgifter, både genom skydd av mjukvaran och fysiskt skydd,

3. mjukvaruskydd: skyddsåtgärder som hindrar otillåten tillgång till själva de insynsskyddade statistiska uppgifterna,

4. fysiskt skydd: skyddsåtgärder som hindrar otillåten tillgång till lokalerna och till datorer och övrig datamateriel,

5. lokaler: alla de delar av en byggnad som innehåller datorer och övrig datamateriel på vilka de insynsskyddade statistiska uppgifterna lagras eller via vilka de överförs,

6. datorer och övrig datamateriel: utskrifter (papper) och hårdvara (däribland datautrustning och lagringsutrustning) på vilka insynsskyddade statistiska uppgifter lagras eller behandlas.

Artikel 2

Mjukvaruskydd

1. ECB och de nationella centralbankerna skall var för sig utarbeta och införa regler för personalens tillgång till mjukvaran avseende insynsskyddade statistiska uppgifter samt införa skyddsåtgärder härför.

2. Utan att det påverkar kontinuiteten i systemets funktion skall minimiskyddsåtgärden vara ett unikt identifieringsmärke för användaren och ett personligt password.

3. Alla nödvändiga åtgärder skall vidtas för att säkerställa att insynsskyddade statistiska uppgifter ordnas på så sätt att alla offentliggjorda uppgifter omfattar minst tre ekonomiska aktörer. Då en eller två ekonomiska aktörer utgör så stor del av ett material att deras identitet kan härledas, skall offentliggjorda uppgifter ordnas på så sätt att detta inte kan ske. Dessa regler skall inte gälla om uppgiftslämnare, övriga fysiska eller juridiska personer, enheter eller filialer som kan identifieras uttryckligen har givit sitt medgivande till att uppgifterna röjs.

Artikel 3

Fysiskt skydd

Utan att det påverkar artikel 4 i denna riktlinje skall ECB och de nationella centralbankerna var för sig utarbeta och införa regler för personalens tillträde till samtliga lokaler samt dithörande skyddsåtgärder.

Artikel 4

Tredjemans tillgång till uppgifter

Om tredje man har tillgång till insynsskyddade statistiska uppgifter skall ECB och de nationella centralbankerna genom lämpliga åtgärder säkerställa, där så är möjligt genom avtal, att kraven på insynsskydd i förordning (EG) nr 2533/98 och i denna riktlinje respekteras av tredje man.

Artikel 5

Överföring av uppgifter och nätverk

1. I de fall överföring extra muros av insynsskyddade statistiska uppgifter är tillåtet enligt artikel 8 i förordning (EG) nr 2533/98 skall detta göras elektroniskt efter kryptering.

2. ECB och de nationella centralbankerna skall var för sig utarbeta regler om tillstånd för sådan överföring av insynsskyddade statistiska uppgifter.

3. För interna nätverk skall lämpliga skyddsåtgärder vidtas för att förhindra otillåten tillgång.

4. Interaktiv tillgång till insynsskyddade statistiska uppgifter från nätverk med låg säkerhet skall förbjudas.

Artikel 6

Dokumentation och personalens medvetenhet

ECB och de nationella centralbankerna skall säkerställa att samtliga regler och rutiner som rör skydd av insynsskyddade statistiska uppgifter dokumenteras och att denna dokumentation hålls aktuell. Personalen skall underrättas om vikten av att insynsskyddade statistiska uppgifter skyddas och skall fortlöpande hållas underrättad om samtliga regler och rutiner som rör arbetet.

Artikel 7

Rapportering

1. De nationella centralbankerna skall underrätta ECB minst en gång om året om de problem man upptäckt under den senaste perioden, vilka åtgärder som vidtagits i anledning härav samt planerade förbättringar vad gäller skyddet av insynsskyddade statistiska uppgifter. ECB skall avfatta en motsvarande rapport.

2. ECB-rådet skall utvärdera genomförandet av denna riktlinje minst en gång om året. Som en förberedelse inför denna bedömning skall ECB informeras om, och rapportera om, de tillståndsregler och typer av skyddsåtgärder som tillämpas av ECB och de nationella centralbankerna i enlighet med artiklarna 2, 3 och 5 i denna riktlinje.

Artikel 8

Slutbestämmelser

Denna riktlinje riktar sig till de deltagande medlemsstaternas nationella centralbanker.

Denna riktlinje träder i kraft den 1 januari 1999.

Utfärdad i Frankfurt am Main den 22 december 1998.

För ECB-rådet

Willem F. Duisenberg

(1) EGT L 318, 27.11.1998, s. 8.