28.10.2019   

SL

Uradni list Evropske unije

L 274/3

IZVEDBENA UREDBA KOMISIJE (EU) 2019/1799

z dne 22. oktobra 2019

o tehničnih specifikacijah za individualne sisteme spletnega zbiranja v skladu z Uredbo (EU) 2019/788 Evropskega parlamenta in Sveta o evropski državljanski pobudi

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2019/788 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o evropski državljanski pobudi (1) in zlasti člena 11(5) Uredbe,

ob upoštevanju naslednjega:

(1)

Uredba (EU) 2019/788 določa spremenjena pravila o evropski državljanski pobudi in razveljavlja Uredbo (EU) št. 211/2011 Evropskega parlamenta in Sveta (2).

(2)

Uredba (EU) 2019/788 določa, da morajo organizatorji pri spletnem zbiranju izjav o podpori za prijavljene državljanske pobude uporabiti centralni sistem spletnega zbiranja, ki ga vzpostavi in upravlja Komisija. Vendar lahko organizatorji za lažji prehod za pobude, prijavljene v skladu z Uredbo (EU) 2019/788 do konca leta 2022, uporabijo svoj individualni sistem spletnega zbiranja.

(3)

V skladu z Uredbo (EU) 2019/788 bi moral imeti individualni sistem, ki se uporablja za spletno zbiranje izjav o podpori, ustrezne tehnične in varnostne značilnosti za zagotovitev, da se ves čas postopka zbiranja zagotovijo varno zbiranje, shranjevanje in prenos podatkov. Komisija bi morala skupaj z državami članicami opredeliti tehnične specifikacije za izvajanje zahtev za individualne sisteme spletnega zbiranja.

(4)

Pravila iz te uredbe nadomeščajo pravila iz Izvedbene uredbe Komisije (EU) št. 1179/2011 (3), ki bodo zato zastarela.

(5)

Tehnični in organizacijski ukrepi, ki bi jih bilo treba izvesti, bi morali biti namenjeni preprečevanju kakršne koli nepooblaščene obdelave osebnih podatkov v času oblikovanja sistema in skozi celotno obdobje zbiranja ter zaščiti teh podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim razkritjem ali dostopom.

(6)

V ta namen bi morali organizatorji uporabljati ustrezne postopke obvladovanja tveganja, da bi opredelili tveganja za svoje sisteme ter določili ustrezne in sorazmerne protiukrepe za zmanjšanje teh tveganj na sprejemljivo raven. Organizatorji bi morali ustrezno dokumentirati opredeljena tveganja za varnost in varstvo podatkov ter ukrepe, sprejete za obvladovanje teh tveganj, ob upoštevanju varnostnih pravil in zahtev, ki jih uporablja organ za potrjevanje. Varnostna pravila in zahteve bi morali biti v skladu z Uredbo (EU) 2019/788 in organ za potrjevanje bi jih morali dati na voljo na zahtevo.

(7)

Izvajanje tehničnih specifikacij iz te uredbe ne bi smelo posegati v obveznost organizatorjev, da spoštujejo zahteve glede varstva podatkov, ki izhajajo iz Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (4), vključno z morebitno potrebo po oceni učinka v zvezi z varstvom podatkov.

(8)

Predstavnik skupine organizatorjev oziroma pravna oseba iz člena 5(7) navedene uredbe velja v zvezi z obdelavo osebnih podatkov v individualnem sistemu spletnega zbiranja za upravljavca podatkov v skladu z Uredbo (EU) 2016/679.

(9)

Organizatorji, ki spremenijo svoj individualni sistem spletnega zbiranja po potrditvi sistema, bi morali o tem nemudoma uradno obvestiti ustrezni organ za potrjevanje, če bi sprememba lahko vplivala na oceno, na kateri temelji potrjevanje. Organizatorji lahko pred tem zaprosijo pristojni organ, naj preveri, ali bi sprememba lahko imela tak vpliv in bi jo bilo treba posledično uradno sporočiti.

(10)

V skladu s členom 42 Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (5) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je podal pripombe 16. septembra 2019. Posvetovanje je bilo opravljeno tudi z Agencijo EU za varnost omrežij in informacij, ki je podala pripombe 18. julija 2019.

(11)

Ukrepi iz te uredbe so v skladu z mnenjem odbora, ustanovljenega s členom 22 Uredbe (EU) 2019/788 –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Tehnične specifikacije iz člena 11(5) Uredbe (EU) 2019/788 so določene v Prilogi k tej uredbi.

Člen 2

1.   Organizatorji zagotovijo, da je njihov individualni sistem spletnega zbiranja skozi celotno obdobje zbiranja v skladu s tehničnimi specifikacijami iz Priloge.

2.   Organizatorji nemudoma uradno obvestijo pristojni organ države članice iz člena 11(3) Uredbe (EU) 2019/788 o spremembah sistema ali spremembah podpornih organizacijskih ukrepov po potrditvi sistema s strani navedenega organa, če te spremembe lahko vplivajo na oceno, na kateri temelji potrjevanje. Organizatorji lahko pred tem zaprosijo pristojni organ za mnenje o tem, ali bi sprememba lahko imela tak vpliv.

Člen 3

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Uporablja se od 1. januarja 2020.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 22. oktobra 2019

Za Komisijo

Predsednik

Jean-Claude JUNCKER

(1)  UL L 130, 17.5.2019, str. 55.

(2)  Uredba (EU) št. 211/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o državljanski pobudi (UL L 65, 11.3.2011, str. 1).

(3)  Izvedbena uredba Komisije (EU) št. 1179/2011 z dne 17. novembra 2011 o tehničnih specifikacijah za sisteme spletnega zbiranja v skladu z Uredbo (EU) št. 211/2011 Evropskega parlamenta in Sveta o državljanski pobudi (UL L 301, 18.11.2011, str. 3).

(4)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(5)  Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).

PRILOGA

1.   Tehnične specifikacije za izvajanje člena 11(4)(a) Uredbe (EU) 2019/788

Sistem izvaja tehnične ukrepe za zagotovitev, da lahko izjave o podpori podpišejo le fizične osebe. Tehnični ukrepi ne zahtevajo, da se zbirajo in hranijo drugi osebni podatki, razen tistih iz Priloge III k Uredbi (EU) 2019/788.

2.   Tehnične specifikacije za izvajanje člena 11(4)(b) Uredbe (EU) 2019/788

Organizatorji uvedejo ustrezne in učinkovite tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri svojih dejavnostih, s čimer zagotovijo, da se informacije o pobudi v sistemu spletnega zbiranja, kot so predstavljene na spletu, ujemajo z informacijami o pobudi, objavljenimi v registru iz člena 6(5) Uredbe (EU) 2019/788.

Organizatorji zagotovijo, da:

(a)

se informacije o pobudi v sistemu spletnega zbiranja ujemajo z informacijami, objavljenimi v registru;

(b)

so informacije o pobudi, objavljene v registru, predstavljene v sistemu, preden državljan predloži izjavo o podpori;

(c)

so vzpostavljeni varnostni ukrepi, ki zagotavljajo, da so podatkovna polja v izjavah o podpori predstavljena skupaj z informacijami o pobudi, da se prepreči tveganje predložitve izjav o podpori za drugo pobudo zaradi napačnega prikazovanja pobude;

(d)

sistem omogoča, da se podatki iz izjav o podpori po predložitvi shranijo skupaj z informacijami o pobudi;

(e)

da so vzpostavljeni varnostni ukrepi, ki preprečujejo nepooblaščene spremembe informacij o pobudi v sistemu spletnega zbiranja.

3.   Tehnične specifikacije za izvajanje člena 11(4)(c) Uredbe (EU) 2019/788

Sistem zagotavlja, da se izjave o podpori predložijo v skladu s podatkovnimi polji iz Priloge III k Uredbi (EU) 2019/788.

Sistem zagotavlja, da lahko oseba predloži izjavo o podpori šele, ko potrdi, da je prebrala izjavo o varstvu podatkov iz Priloge III k Uredbi (EU) 2019/788.

4.   Tehnične specifikacije za izvajanje člena 11(4)(d) Uredbe (EU) 2019/788

4.1   Upravljanje

4.1.1

 Skupina organizatorjev imenuje varnostnega uradnika, ki je odgovoren za varnost sistema in varen prenos zbranih izjav o podpori pristojnemu organu odgovorne države članice. Varnostni uradnik nadzoruje postopke za informacijsko varnost ter tehnične in organizacijske varnostne ukrepe, da zagotovi varno zbiranje, shranjevanje in prenos podatkov, ki jih predložijo podpisniki.

4.1.2

 Organizatorji lahko zaprosijo nacionalni pristojni organ iz člena 11(3) Uredbe (EU) 2019/788, naj zagotovi veljavna varnostna pravila in zahteve za potrjevanje individualnih sistemov spletnega zbiranja. Pristojni organ praviloma zagotovi varnostna pravila in zahteve v enem mesecu po prejemu prošnje. Veljavna varnostna pravila in zahteve so v skladu z ustreznimi obstoječimi nacionalnimi ali mednarodnimi varnostnimi standardi.

4.1.3

 Varnostna pravila in zahteve glede potrjevanja sistema obravnavajo tveganja, opredeljena v oddelku 4.2, in upoštevajo specifikacije iz oddelka 4.3.

4.2   Informacijska varnost

4.2.1

 Organizatorji uporabljajo postopke obvladovanja tveganja, da bi opredelili tveganja, povezana z uporabo svojih sistemov, vključno s pravicami in svoboščinami podpisnikov, ter določijo ustrezne in sorazmerne ukrepe za preprečevanje in blažitev posledic incidentov, ki vplivajo na varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri svojih dejavnostih.

Postopek obvladovanja tveganja je osredotočen zlasti na tveganja, povezana z zaupnostjo in celovitostjo informacij v sistemu. Ta tveganja so lahko posledica nevarnosti, kot so med drugim:

(a)

napake uporabnika;

(b)

napake upravljavca sistema/varnosti;

(c)

napake pri konfiguraciji;

(d)

okužba z zlonamerno programsko opremo;

(e)

naključno spreminjanje informacij;

(f)

razkritje ali uhajanje informacij;

(g)

ranljivosti programske opreme;

(h)

nepooblaščen dostop;

(i)

prestrezanje podatkovnega prometa ali prisluškovanje takemu prometu;

(j)

tveganja v zvezi z varstvom podatkov.

4.2.2

 Organizatorji zagotovijo dokumentacijo, iz katere je razvidno, da:

(a)

so ocenili tveganja za sistem;

(b)

so določili ustrezne ukrepe za preprečevanje in blažitev posledic incidentov, ki vplivajo na varnost sistema;

(c)

so opredelili preostala tveganja;

(d)

so sprejeli ukrepe in preverili njihovo izvajanje;

(e)

so zagotovili organizacijska sredstva za prejemanje informacij o novih grožnjah in izboljšanju varnosti;

(f)

skozi celoten postopek zbiranja izpolnjujejo zahteve glede potrjevanja iz člena 11(4) Uredbe (EU) 2019/788, vključno z vzpostavitvijo potrebnih postopkov za zagotovitev tega.

4.2.3

 Ukrepi za preprečevanje in blažitev posledic incidentov, ki vplivajo na varnost sistemov, zajemajo naslednja področja:

(a)

varnost človeških virov;

(b)

nadzor dostopa;

(c)

kriptografski nadzor;

(d)

fizično in okoljsko varnost;

(e)

varnost operacij;

(f)

varnost komunikacij;

(g)

nakup, razvoj in vzdrževanje sistemov;

(h)

obvladovanje incidentov v zvezi z varnostjo podatkov;

(i)

skladnost s predpisi.

Uporaba teh varnostnih ukrepov je lahko omejena na dele organizacije, ki so pomembni za sistem spletnega zbiranja. Varnost človeških virov je lahko na primer omejena na osebje, ki ima fizični ali logični dostop do sistema spletnega zbiranja, fizična/okoljska varnost pa je lahko omejena na zgradbe, kjer sistem gostuje.

4.2.4

 Kadar organizatorji za razvoj ali uvedbo sistemov spletnega zbiranja ali njihovih delov uporabijo obdelovalca, zagotovijo organu za potrjevanje dokumentacijo, iz katere je razvidno, da so vzpostavili potrebni varnostni nadzor.

4.3   Šifriranje podatkov

Sistem zagotavlja naslednje šifriranje podatkov:

(a)

osebni podatki v elektronski obliki se pri hrambi ali prenosu pristojnim organom držav članic v skladu z Uredbo (EU) 2019/788 šifrirajo, pri čemer se ključi obravnavajo in shranjujejo ločeno;

(b)

ustrezni standardni algoritmi in ustrezni ključi se uporabljajo v skladu z mednarodnimi standardi (kot je standard ETSI). Vzpostavljeno je upravljanje ključev;

(c)

vsi ključi in gesla so zaščiteni pred nepooblaščenim dostopom.