Temeljne funkcije

ECMS politika privatnosti

Objavljeno: 26.9.2025.

Voditelj obrade osobnih podataka

Sustav upravljanja kolateralom Eurosustava (u nastavku teksta: ECMS) jedinstven je sustav za upravljanje imovinom koja se rabi kao kolateral u kreditnim operacijama Eurosustava. Prikazuje pojedinačne kolateralne i kreditne pozicije drugih ugovornih strana nacionalnih središnjih banaka.

ECMS je dostupan putem jedinstvenog portala za pristup tržišnoj infrastrukturi Eurosustava (engl. Eurosystem Single Market Infrastructure Gateway) zajedno s drugim uslugama Transeuropskoga automatiziranog sustava ekspresnih novčanih transakcija (u nastavku teksta: TARGET) i osigurava slobodno kretanje novca, vrijednosnih papira i kolaterala Europom.

Hrvatska narodna banka, Trg hrvatskih velikana 3, Zagreb, OIB: 95970281739 (u nastavku teksta: HNB) s Europskom središnjom bankom (u nastavku teksta: ESB) i s nacionalnim središnjim bankama Eurosustava (u nastavku teksta: NSB) smatra se zajedničkim voditeljem obrade osobnih podataka u ECMS-u u smislu članka 28. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (u nastavku teksta: EUDPR) i članka 26. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u nastavku teksta: GDPR) u odnosu na obradu osobnih podataka fizičkih osoba korisnika ECMS-a.

Pravni okvir

Svi osobni podaci obrađuju se u skladu sa zakonodavstvom Europske unije o zaštiti podataka, odnosno u skladu s GDPR-om i EUDPR-om.

Zajednički nadzor osobnih podataka koji se obrađuju u ECMS-u sastoji se od:

  1. ESB-a i NSB-a kao zajedničkih voditelja obrade osobnih podataka fizičkih osoba korisnika ECMS-a i
  2. ESB-a kao voditelja obrade u odnosu na ECMS Coordination Desk.

Četiri nacionalne središnje banke Eurosustava Deutsche Bundesbank, Banco de España, Banque de France i Banca d’Italia (u nastavku teksta: 4CB) u svojim ulogama središnjih banaka pružaju operativne usluge koje imaju posebne operativne odgovornosti u ECMS-u.

Odgovornost zajedničkih voditelja obrade regulirana je ugovorom.

Svrha i opis obrade

Osobni podaci obrađuju se (kako je definirano u EUDPR/GDPR) u tri svrhe, a to su:

  1. pristup fizičke osobe ECMS-u kao korisnika ECMS-a kojeg je ovlastio bilo koji od zajedničkih voditelja obrade ili druga ugovorna strana, a koji može pristupiti ECMS-u pomoću USB tokena ili drugoga tehničkog uređaja s certifikatom prepoznatljivog imena, imenom za prijavu i lozinkom
  2. operativno održavanje i ažuriranje popisa s podacima za kontakt i imenima upravitelja (ECMS National Service Desk manager i ECMS National Crisis manager) kao i kontakt liste za distribuciju
  3. pohrana u zajedničkoj komponenti, u nacionalnom direktoriju u HNB-u i pohrana u skladu s planom arhiviranja HNB-a.

ECMS ne zahtijeva osobne podatke za obradu transakcija. Međutim, zajednički voditelji obrade mogu obrađivati osobne podatke u slučaju da su uključeni kao dio transakcijske poruke središnjeg depozitorija vrijednosnih papira (u nastavku teksta: CSD) ili prihvatljivog agenta treće strane (u nastavku teksta: TPA) namijenjene obradi u ECMS-u pristigle iz CSD-a ili TPA.

Pravna osnova

Obrada osobnih podataka u ECMS-u temelji se na odredbama članka 6. stavka 1. točke (e) GDPR-a za obavljanje zadaće koja je od javnog interesa ili je u sklopu obnašanja službenih ovlasti koje ima voditelj obrade u skladu s člankom 22. Statuta Europskog sustava središnjih banaka i Europske središnje banke i člankom 96. stavkom 2. i člankom 103. Zakona o Hrvatskoj narodnoj banci ("Narodne novine", br. 75/2008., 54/2013. i 47/2020.) i Odlukom o upravljanju kolateralom u kreditnim operacijama Eurosustava ("Narodne novine", br. 84/2025.) te s člankom 22. Statuta Europskog sustava središnjih banaka i Europske središnje banke i člankom 5. stavkom 1. točke a), b) i c) EUDPR-a u odnosu na ESB.

Ispitanici, osobni podaci koji se obrađuju, izvor osobnih podataka te bitni elementi ugovora zajedničkih voditelja obrade

Izvor osobnih podataka za fizičke osobe jesu sudionici ECMS-a, primjerice kreditne institucije, središnji depozitorij vrijednosnih papira, prihvatljivi agent treća strana, i dr. te neposredno ispitanici.

ECMS obrađuje skup osobnih podataka koji se odnose na tri vrste ispitanika:

  1. fizička osoba korisnik ECMS-a koja može pristupiti ECMS uslugama, a koju je ovlastio bilo koji od zajedničkih voditelja obrade, CSD-ovi ili TPA-ov voditelj obrade
  2. fizička osoba ̶ ECMS National Service Desk manager, odgovorna za priopćavanje incidenata na ECMS Service Desk za sudionike iz svoje nadležnosti
  3. fizička osoba ̶ ECMS National Crisis manager, odgovorna za priopćavanje informacija koje su hitno potrebne kako bi se izbjegao ili ograničio bilo kakav negativan utjecaj na operacije ECMS-a.

U ECMS-u se obrađuju osobni podaci koji se odnose na:

  1. obradu osobnih podataka fizičkih osoba korisnika ECMS-a: ime i prezime, podaci za kontakt, e-mail adresa, broj telefona, jedinstvena referencija, potpis ovlaštene osobe

Za identifikaciju fizičke osobe korisnika ECMS-a rabi se:

  • jedinstvena referencija (engl. System User Reference – SUR)
  • USB token ili drugi tehnički uređaj koji sadržava digitalni certifikat i njegovo prepoznatljivo ime. DN digitalni certifikat (engl. Distinguished Name Certificate) jest elektronički dokument koji povezuje identitet ECMS korisnika s parom kriptografskih ključeva
  • jasna veza s postojećom drugom ugovornom stranom (matični BIC/BIC)
  • jedinstveno ime za prijavu (engl. Login Name)
  1. obradu osobnih podataka za ECMS National Service Desk manager i National Crisis manager:
  • ime i prezime
  • institucija
  • e-mail i telefon za kontakt
  1. obradu osobnih podataka drugih ispitanika:

Osobni podaci drugih ispitanika odnose se na podatke koji nisu potrebni za usluge obrade u ECMS-u. ISO[1] format poruke koji se rabi za usluge namire u ECMS-u uključuje polja slobodnog formata.

Budući da ECMS ne zahtijeva ove osobne podatke za obradu poslanih transakcija, polja koja sadržavaju slučajne osobne podatke ne nadziru se i nisu dostupna putem ECMS GUI-ja (grafičkoga korisničkog sučelja). Kategorije osobnih podataka stoga se ne mogu specificirati.

Ispitanik može ostvariti svoja prava kontaktiranjem bilo kojega od zajedničkih voditelja obrade preko točaka za kontakt koje su navedene na njihovim mrežnim stranicama. Svaki NSB, ako je potrebno, zahtjev za ostvarivanje prava na zaštitu podataka primljen od ispitanika ili od bilo kojeg od njezinih sudionika uputit će na ECMS Service Desk kojim upravlja 4CB.

NSB, uključujući i HNB, odgovoran je za obradu zahtjeva ispitanika koji dolaze od njegovih fizičkih osoba korisnika ECMS-a i odgovoran je za odgovaranje na te zahtjeve svom ispitaniku. Osim toga, svaki NSB, uključujući i HNB, odgovoran je za odgovaranje na zahtjeve koji se odnose na zaštitu osobnih podataka u ECMS-u koje dostavljaju fizičke osobe korisnici ECMS-a njihovih sudionika i koje dostavljaju drugi ispitanici.

NSB prosljeđuje te zahtjeve 4CB-u, ako je potrebno, kako bi zatražio suradnju. Nakon što je zahtjev primljen i njegov opseg razjašnjen, zajednički voditelji obrade mogu zatražiti od ECMS Service Desk dostavljanje potrebnih informacija.

ECMS Service Desk surađuje s NSB-ovima u obradi zahtjeva ispitanika. NSB-ovi redovito (tj. najmanje jednom godišnje) dostavljaju ECMS Service Desk kojim upravlja 4CB anonimizirani popis s raščlambom zahtjeva ispitanika koji se odnose na ECMS.

U odnosu na povrede osobnih podataka obavještavamo vas da će 4CB bez nepotrebnog odgađanja obavijestiti zajedničke voditelje obrade nakon što sazna za povredu osobnih podataka u ECMS-u. 4CB će voditi povezane aktivnosti istrage, suzbijanja povrede i sanacije povrede pružajući redovite informacije zajedničkim voditeljima obrade.

Osim toga, 4CB će zajedničkim voditeljima obrade pružiti svu potrebnu podršku kako bi se osiguralo ispunjavanje njihovih obveza obavještavanja ispitanika i nadzornih tijela.

U svim slučajevima Europski nadzornik za zaštitu podataka bit će obaviješten od strane nadležnog NSB-a o povredi osobnih podataka što je prije moguće, a najkasnije u roku od 72 sata, u skladu s člankom 33. GDPR-a i 34. EUDPR-a. HNB će obavijestiti i Agenciju za zaštitu osobnih podataka.

HNB u odnosu na tehničke i organizacijske mjere primjenjuje mjere sustava ECMS-a (primjerice za identifikaciju fizičke osobe korisnika ECMS-a ranije spomenute) i primjenjuje tehničke i organizacijske mjere iz sustava HNB-a.

Osobni podaci ECMS-a obrađuju se u ECMS-u u skladu sa sljedećim dokumentima: ECMS dokumentom s opisom poslovanja (engl. ECMS Business Description document, objavljen na mrežnim stranicama ESB-a), vodičem za korištenje ECMS poruka (engl. ECMS message usage guide, objavljen na mrežnim stranicama ESB-a) i ostalim korisničkim dokumentima ESB-a, a koji se s vremena na vrijeme mijenjaju.

Čuvanje osobnih podataka

Osobni podaci pohranjuju se unutar ECMS-a najviše deset godina u pravnoj arhivi za pravne dokaze i fiskalne svrhe.

Osobni podaci u nacionalnom direktoriju HNB-a u digitalnom i fizičkom obliku pohranjuju se deset godina u skladu s planom arhiviranja HNB-a.

HNB postupa s prikupljenim podacima, bez obzira na to je li riječ o podacima u digitalnom ili fizičkom obliku, na način da čuva njihovu tajnost te onemogućuje pristup neovlaštenim osobama. Podaci u digitalnom obliku zaštićeni su šifriranim pristupom računalu, dok se predmeti u fizičkom obliku čuvaju u prostorima s ograničenim pristupom.

Primatelji osobnih podataka

Primatelji osobnih podataka zajednički su voditelji obrade koji obrađuju osobne podatke u skladu sa svojim unutarnjim organizacijskim pravilima i važećim propisima.

Za popis s podacima i imenima osoba za kontakt i korisnika nadležan je HNB-ov ECMS National Service Desk.

Međutim, osobni podaci iznimno se mogu obrađivati u trećim zemljama odnosno međunarodnim organizacijama na temelju odstupanja za specifične situacije utvrđenih u članku 50(1) EUDPR-a i članku 49(1) GDPR-a.

Prava osoba čiji se podaci obrađuju

Osobe čiji se podaci obrađuju imaju pravo pristupiti svojim osobnim podacima i zatražiti ispravak svih osobnih podataka koji su netočni ili nepotpuni, pravo na prigovor te pravo na ograničenje obrade vlastitih osobnih podataka u skladu s GDPR-om ili EUDPR-om. ESB može ograničiti prava osoba čiji se podaci obrađuju zbog zaštite interesa i ciljeva iz članka 25. stavka 1. EUDPR-a, a drugi zajednički voditelji obrade, uključujući HNB, mogu ograničiti takva prava u skladu s člankom 23. stavkom 1. GDPR-a.

U skladu s člankom 28. stavcima 1. i 3. EUDPR-a i člankom 26. stavcima 1. i 3. GDPR-a prava se mogu ostvariti sa svakim voditeljem obrade kao i protiv svakog od njih.

Komu se možete obratiti za upite ili zahtjev?

Ako smatrate da je zbog obrade vaših osobnih podataka došlo do povrede vaših prava u skladu s GDPR-om ili EUDPR-om, u svakom trenutku imate pravo podnijeti prigovor:

Nadzorno tijelo za zaštitu osobnih podataka u Republici Hrvatskoj jest Agencija za zaštitu osobnih podataka, Metela Ožegovića 16, Zagreb, azop@azop.hr, kojoj se može podnijeti pritužba na postupanje HNB-a u vezi s obradom osobnih podataka.

Više informacija o temi obrade osobnih podataka možete pronaći na mrežnim stranicama HNB-a, a sva eventualna pitanja vezana uz temu možete uputiti službeniku HNB-a za zaštitu podataka (službenik.osobni@hnb.hr).

Obavijest o obradi osobnih podataka ESB-a za ECMS.

 

  1. Međunarodna organizacija za normizaciju