herbas-L_spalvotas

LIETUVOS BANKO VALDYBA

NUTARIMAS

DĖL LIETUVOS BANKO VALDYBOS 2017 M. LAPKRIČIO 6 D. NUTARIMO NR. 03-176 „DĖL LIETUVOS BANKO MOKĖJIMO SISTEMOS CENTROLINK VEIKIMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2018 m. birželio 20 d. Nr. 03-109

Vilnius

Lietuvos banko valdyba n u t a r i a:

Pakeisti Lietuvos banko mokėjimo sistemos CENTROlink veikimo taisykles, patvirtintas Lietuvos banko valdybos 2017 m. lapkričio 6 d. nutarimu Nr. 03-176 „Dėl Lietuvos banko mokėjimo sistemos CENTROlink veikimo taisyklių patvirtinimo“:

1. papildyti 11 punktą 11.10 papunkčiu:

„11.10. informuoti savo klientus, kad mokėjimo nurodymuose ir mokėjimo valdymo nurodymuose pateikti asmens duomenys bus tvarkomi Sistemoje.“;

2. pakeisti 13 punktą ir jį išdėstyti taip:

„13. Netiesioginiams dalyviams taikomi Taisyklių 11.1, 11.2, 11.4, 11.5 ir 11.10 papunkčių reikalavimai.“;

3. pakeisti 18 punktą ir jį išdėstyti taip:

„18. ABIC turėtoju gali tapti juridinis asmuo, neregistruotas Sistemoje tiesioginiu ar netiesioginiu dalyviu, sudaręs atitinkamą sutartį su tiesioginiu dalyviu ir atitinkantis Taisyklių 11.1, 11.2, 11.4–11.8 ir 11.10 papunkčiuose nurodytus reikalavimus. ABIC turėtojais gali tapti ir tie juridiniai asmenys, kurie neturi teisės tapti tiesioginiais arba netiesioginiais Sistemos dalyviais.“;

4. papildyti nauju XIII skyriumi ir jį išdėstyti taip:

„XIII SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

153. Lietuvos bankas yra Sistemoje nurodytų asmens duomenų tvarkytojas ir tvarko duomenis Bendrojo duomenų apsaugos reglamento (2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo) 6 straipsnio 1 dalies e punkto pagrindu.

154. Duomenų tvarkymo tikslas – užtikrinti mokėjimo nurodymų vykdymą ir kontrolę.

155. Asmens duomenis sudaro: mokėtojo vardas ir pavardė, asmens kodas, sąskaitos numeris, gavėjo vardas ir pavardė, asmens kodas, sąskaitos numeris, mokėjimo suma, mokėjimo paskirtis ir kita mokėjimo nurodymuose bei mokėjimo valdymo nurodymuose pateikta informacija.

156. Lietuvos bankas, tvarkydamas asmens duomenis, nepasitelkia kitų duomenų tvarkytojų. Jeigu Lietuvos bankas ateityje nuspręstų pasitelkti kitus duomenų tvarkytojus tvarkyti Taisyklėse nurodytus asmens duomenis, Sistemos dalyviai duomenų valdytojai apie visus planuojamus pakeitimus bus informuojami iš anksto.

157. Lietuvos bankas, tvarkydamas asmens duomenis:

157.1. tvarko asmens duomenis pagal Europos Sąjungos ir Lietuvos Respublikos teisės aktus;

157.2. užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą arba jiems būtų taikoma atitinkama įstatuose nustatyta konfidencialumo prievolė;

157.3. atsižvelgdamas į tvarkomų duomenų pobūdį, padeda Sistemos dalyviams taikydamas tinkamas technines ir organizacines priemones, kad būtų įvykdyta Sistemos dalyvių, kaip duomenų valdytojų, prievolė atsakyti į prašymus pasinaudoti duomenų subjekto teisėmis;

157.4. suteiks Sistemos dalyviui duomenų valdytojui visą reikalingą informaciją, susijusią su duomenų saugai taikomomis techninėmis ir organizacinėmis priemonėmis, kiek tai nepažeidžia Lietuvos banko paslaptį sudarančios informacijos ar kitos jautrios informacijos, sudarančios Europos Centrinio Banko ar Europos centrinių bankų sistemos konfidencialią informaciją.

158. Sistemoje nustatytos administracinės, techninės, programinės ir kitos priemonės, apsaugančios sistemos duomenis nuo sunaikinimo, neteisėto pakeitimo, naudojimo ar atskleidimo:

158.1. prieigai prie Sistemos taikoma dviguba autentifikacija ir tik su skaitmeninio parašo sertifikatais;

158.2. Sistemos operatoriai gali atlikti tik tuos veiksmus, kuriuos leidžia jiems priskirtos teisės;

158.3. visi Sistemoje atlikti veiksmai protokoluojami;

158.4. prisijungti prie Sistemos galima iš uždaro tinklo arba per saugų ryšio kanalą, prisijungiant internetu, identifikuojamas dalyvio įrenginys, autentifikuojamas dalyvis, tinklo srautas šifruojamas ir filtruojamas;

158.5. kitos priemonės, nurodytos Lietuvos banko Organizacijos tarnybos Informacinių technologijų departamento direktoriaus ir Bankininkystės tarnybos Operacijų ir mokėjimų departamento direktoriaus 2017 m. gruodžio 5 d. patvirtintame (Nr. V 2017/(26.58.E-2602)-14-7) Mokėjimo sistemos CENTROlink apsaugos priemonių sąraše.

159. Asmens duomenys Sistemoje saugomi 10 metų nuo gavimo dienos. Pasibaigus duomenų saugojimo laikotarpiui duomenys neatkuriamai sunaikinami.

160. Asmens duomenis Lietuvos bankas teikia trečiosioms šalims tik Europos Sąjungos ir Lietuvos Respublikos teisės aktuose nustatytais atvejais. Siekdamas užtikrinti, kad Sistemos dalyvių mokėjimai pasiektų visą SEPA erdvę, Lietuvos bankas gali mokėjimo nurodymus su juose esančiais asmens duomenimis perduoti STEP2 sistemai ar kitai SEPA reikalavimus atitinkančiai kliringo sistemai.

161. Lietuvos bankas, sužinojęs apie asmens duomenų saugumo pažeidimą, nepagrįstai nedelsdamas, tačiau ne vėliau kaip per vieną darbo dieną praneša Sistemos dalyviui duomenų valdytojui saugumo pažeidimo datą ir laiką, aplinkybes, asmens duomenų, kurių saugumas pažeistas, skaičių, priemones, kurių imtasi siekiant pašalinti pažeidimą ar sumažinti jo pasekmes.

162. Sistemos dalyviai, atlikdami duomenų valdytojų pareigas, informuoja savo klientus, kad mokėjimo nurodymuose ir mokėjimo valdymo nurodymuose pateikti asmens duomenys bus tvarkomi Sistemoje.“;

5. buvusį XIII skyrių laikyti XIV skyriumi;

6. buvusį 153 punktą laikyti 163 punktu;

7. papildyti nauju 164 punktu ir jį išdėstyti taip:

„164. Siekdamas apsisaugoti nuo atsiskaitymo, operacinės, veiklos, reputacijos rizikų bei užtikrinti Sistemos finansinį ir veiklos stabilumą, Lietuvos bankas turi teisę vykdyti mokėjimo nurodymų stebėseną ir kontrolę.“;

8. buvusius 154–159 punktus laikyti atitinkamai 165–170 punktais;

9. pakeisti 167 punktą ir jį išdėstyti taip:

„167. Lietuvos bankas turi teisę vienašališkai keisti Taisykles, apie tai Sistemos dalyviams pranešęs prieš Taisyklių 166 punkte nurodytą terminą.“

Valdybos pirmininkas Vitas Vasiliauskas