30.1.2013   

SL

Uradni list Evropske unije

C 28/6

Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu Komisije za uredbo Evropskega parlamenta in Sveta o zaupanju v elektronske transakcije na notranjem trgu (uredba o elektronskih skrbniških storitvah)

(Celotno besedilo tega mnenja je na voljo v angleškem, francoskem in nemškem jeziku na spletni strani ENVP na naslovu http://www.edps.europa.eu)

2013/C 28/04

I.   Uvod

I.1   Predlog

1.

Komisija je 4. junija 2012 sprejela predlog uredbe Evropskega parlamenta in Sveta o spremembi Direktive 1999/93/ES Evropskega parlamenta in Sveta v zvezi z elektronsko identifikacijo in skrbniškimi storitvami za elektronske transakcije na notranjem trgu (v nadaljnjem besedilu: predlog) (1).

2.

Predlog je del ukrepov, ki jih je Komisija predlagala za okrepitev uporabe elektronskih transakcij v Evropski uniji. To je nadgradnja ukrepov iz Evropske digitalne agende (2), ki se nanašajo na izboljšanje zakonodaje o elektronskih podpisih (ključni ukrep št. 3) in zagotovitev usklajenega okvira za medsebojno priznavanje e-identifikacije in e-avtentikacije (ključni ukrep št. 16).

3.

Predlog naj bi okrepil zaupanje v vseevropske elektronske transakcije ter zagotovil čezmejno pravno priznavanje elektronske identifikacije, avtentikacije, podpisa in povezanih skrbniških storitev na notranjem trgu, pa tudi visoko raven varstva podatkov in okrepitev položaja uporabnikov.

4.

Visoka raven varstva podatkov je nujna za uporabo shem elektronske identifikacije in skrbniških storitev. Za razvoj in uporabo takih elektronskih sredstev morajo ponudniki skrbniških storitev in izdajatelji elektronske identitete zagotavljati ustrezno obdelavo osebnih podatkov. To je še toliko bolj pomembno, ker bo taka obdelava med drugim podlaga za najzanesljivejšo identifikacijo in avtentikacijo fizičnih (ali pravnih) oseb.

I.2   Posvetovanje z ENVP

5.

ENVP je imel pred sprejetjem predloga možnost predložiti neformalne pripombe. Številne od teh pripomb so bile v predlogu upoštevane. Rezultat tega je, da so bili zaščitni ukrepi za varstvo podatkov v predlogu okrepljeni.

6.

ENVP pozdravlja dejstvo, da ga je Komisija tudi uradno zaprosila za mnenje v skladu s členom 28(2) Uredbe (ES) št. 45/2001.

I.3   Ozadje predloga

7.

Predlog temelji na členu 114 Pogodbe o delovanju Evropske unije ter določa pogoje in mehanizme za medsebojno priznavanje in sprejemanje elektronske identifikacije in skrbniških storitev med državami članicami. Zlasti določa načela v zvezi z zagotavljanjem identifikacije in zanesljivih elektronskih storitev, vključno s pravili o priznavanju in sprejemanju. Določa tudi zahteve za ustvarjanje, preverjanje in potrjevanje elektronskih podpisov, elektronskih žigov, elektronskih časovnih žigov, elektronskih dokumentov, storitev elektronske dostave, avtentikacije spletnih strani in elektronskih certifikatov ter za ravnanje z njimi in njihovo hrambo.

8.

Predlog uredbe poleg tega določa pravila za nadzor nad zagotavljanjem skrbniških storitev in državam članicam nalaga, naj zato ustanovijo nadzorne organe. Ti organi bodo med drugim preverjali skladnost tehničnih in organizacijskih ukrepov, ki jih izvajajo ponudniki elektronskih skrbniških storitev.

9.

Poglavje II obravnava storitve elektronske identifikacije, poglavje III pa je posvečeno drugim elektronskim skrbniškim storitvam, kot so elektronski podpisi, žigi, časovni žigi, dokumenti, storitve dostave, certifikati in avtentikacija spletnih strani. Storitve elektronske identifikacije so povezane z nacionalnimi identifikacijskimi karticami in se lahko uporabijo pri dostopu do digitalnih storitev ter zlasti do storitev e-uprave; to pomeni, da subjekt, ki izda elektronsko identifikacijo, deluje v imenu države članice in da je ta država članica odgovorna za pravilno vzpostavitev povezave med zadevnim posameznikom in njegovim sredstvom elektronske identifikacije. V zvezi z drugimi elektronskimi skrbniškimi storitvami je ponudnik/izdajatelj fizična ali pravna oseba, ki je odgovorna za pravilno in varno zagotavljanje teh storitev.

I.4   Vprašanja varstva podatkov, ki jih sproža predlog

10.

Obdelava osebnih podatkov je neločljivo povezana z uporabo identifikacijskih shem in v določenem obsegu tudi z zagotavljanjem drugih skrbniških storitev (na primer elektronskih podpisov). Obdelava osebnih podatkov bo potrebna za vzpostavitev zaupanja vredne povezave med sredstvom elektronske identifikacije in avtentikacije, ki ga uporablja fizična (ali pravna) oseba, in navedeno osebo, saj se tako potrdi, da je oseba za elektronskim certifikatom dejansko oseba, za katero se predstavlja. Na primer, elektronske identifikacije ali elektronski certifikati se nanašajo na fizične osebe in bodo vključevali niz podatkov, ki nedvoumno predstavljajo navedene posameznike. Z drugimi besedami, ustvarjanje, preverjanje, potrjevanje elektronskih sredstev in ravnanje z njimi, kot je navedeno v členu 3(12) predloga, bo v mnogo primerih vključevalo obdelavo osebnih podatkov, zato je varstvo podatkov pomembno.

11.

Bistveno je torej, da obdelava podatkov v okviru zagotavljanja shem elektronske identifikacije ali elektronskih skrbniških storitev poteka v skladu z okvirom EU za varstvo podatkov, zlasti nacionalnimi določbami, s katerimi je bila prenesena Direktiva 95/46/ES.

12.

ENVP bo analizo v tem mnenju osredotočil na tri glavna vprašanja:

(a)

kako je v predlogu obravnavano varstvo podatkov;

(b)

vidiki varstva podatkov pri shemah elektronske identifikacije, ki jih je treba priznati in sprejeti tudi v drugih državah; in

(c)

vidiki varstva podatkov pri elektronskih skrbniških storitvah, ki jih je treba priznati in sprejeti tudi v drugih državah.

III.   Sklepne ugotovitve

50.

ENVP pozdravlja predlog, saj lahko prispeva k medsebojnemu priznavanju (in sprejemanju) elektronskih skrbniških storitev in identifikacijskih shem na evropski ravni. Pozdravlja tudi določitev skupnega niza zahtev, ki jih morajo izpolnjevati izdajatelji elektronskih identifikacijskih sredstev in ponudniki skrbniških storitev. ENVP pa želi kljub tej splošni podpori predlogu navesti naslednja splošna priporočila:

določbe o varstvu podatkov, vključene v predlog, ne bi smele biti omejene na ponudnike skrbniških storitev, ampak bi morale veljati tudi za obdelavo osebnih podatkov v shemah elektronske identifikacije, opisanih v poglavju II predloga,

v predlogu uredbe bi bilo treba določiti skupen niz varnostnih zahtev za ponudnike skrbniških storitev in izdajatelje elektronske identifikacije. Druga možnost je, da bi bilo Komisiji dovoljeno po potrebi, s selektivno uporabo delegiranih aktov ali izvedbenih ukrepov, opredeliti merila, pogoje in zahteve za varnost v elektronskih skrbniških storitvah in identifikacijskih shemah,

od ponudnikov elektronskih skrbniških storitev in izdajateljev elektronske identifikacije bi bilo treba zahtevati, naj uporabnikom njihovih storitev zagotovijo: (i) ustrezne informacije o zbiranju, sporočanju in hranjenju njihovih podatkov ter (ii) sredstvo za nadzor njihovih osebnih podatkov in uveljavljanje njihovih pravic do varstva podatkov,

ENVP priporoča, naj se v predlog bolj selektivno vključijo določbe, s katerimi bo Komisija pooblaščena, da po sprejetju predlagane uredbe z delegiranimi ali izvedbenimi akti podrobno določi konkretne določbe.

51.

Izboljšati bi bilo treba tudi nekatere posebne določbe o medsebojnem priznavanju shem elektronske identifikacije:

v predlogu uredbe bi bilo treba podrobno navesti, kateri podatki ali kategorije podatkov se bodo obdelovali za čezmejno identifikacijo posameznikov. To bi moralo biti določeno vsaj tako podrobno, kot je v prilogah določeno za druge skrbniške storitve, in ob upoštevanju načela sorazmernosti,

zaščitni ukrepi, potrebni za zagotavljanje identifikacijskih shem, bi morali biti skladni vsaj z zahtevami, določenimi za ponudnike kvalificiranih skrbniških storitev,

v predlogu bi bilo treba določiti ustrezne mehanizme za vzpostavitev okvira za interoperabilnost nacionalnih identifikacijskih shem.

52.

Nazadnje, ENVP v zvezi z zahtevami za zagotavljanje in priznavanje elektronskih skrbniških storitev priporoča naslednje:

pri vseh elektronskih storitvah bi bilo treba navesti, ali bodo osebni podatki obdelani, in če bodo, kateri podatki ali kategorije podatkov bodo obdelani,

v uredbi bi bilo treba določiti ustrezne zaščitne ukrepe, da bi preprečili kakršno koli prekrivanje pristojnosti nadzornih organov za elektronske skrbniške storitve in pristojnosti organov za varstvo podatkov,

obveznosti, ki veljajo za ponudnike elektronskih skrbniških storitev glede kršitev varstva podatkov in varnostnih incidentov, bi morale biti v skladu z zahtevami, določenimi v revidirani direktivi o e-zasebnosti in predlagani uredbi o varstvu podatkov,

večja jasnost je potrebna pri opredelitvi zasebnih ali javnih subjektov, ki lahko delujejo kot tretje osebe, upravičene do izvajanja revizij na podlagi členov 16 in 17, ali ki lahko preverjajo naprave za ustvarjanje elektronskega podpisa na podlagi člena 23, ter pri merilih, na podlagi katerih se bo ocenjevala neodvisnost teh organov,

v uredbi bi bilo treba natančneje določiti rok za hranjenje podatkov iz člena 19(2) in (4) (3).

V Bruslju, 27. septembra 2012

Giovanni BUTTARELLI

Pomočnik Evropskega nadzornika za varstvo podatkov

(1)  COM(2012) 238 konč.

(2)  COM(2010) 245 z dne 19.5.2010.

(3)  Na podlagi člena 19(2)(g) morajo ponudniki kvalificiranih skrbniških storitev v ustreznem časovnem obdobju beležiti vse pomembne informacije o podatkih, ki so jih izdali in prejeli. Na podlagi člena 19(4) morajo ponudniki kvalificiranih skrbniških storitev vsaki stranki, ki se opira na certifikate, zagotoviti informacije o veljavnosti ali preklicu kvalificiranih certifikatov, ki so jih izdali.