DŮVODOVÁ ZPRÁVA
1.SOUVISLOSTI AKTU V PŘENESENÉ PRAVOMOCI
Nejen dospělí spotřebitelé nebo profesionální uživatelé, ale také zranitelní uživatelé, jako jsou děti, denně používají velké množství rádiových zařízení.
Evropský parlament a Rada na jedné straně opakovaně vyjádřily potřebu posílit kybernetickou bezpečnost v EU a uznaly rostoucí význam propojených rádiových zařízení, včetně strojů, senzorů a sítí, které tvoří internet věcí (IoT), a s tím související obavy o bezpečnost. Rámec EU se skládá z několika právních předpisů, které se zabývají aspekty souvisejícími s kybernetickou bezpečností nebo některými jejími prvky. Při řešení určitých otázek kybernetické bezpečnosti mohou mít různé subjekty či zúčastněné strany zvláštní povinnosti, které mají přispět k zajištění bezpečnosti celého ekosystému. Například provozovatelé sítí a poskytovatelé služeb by měli zajistit bezpečnost svých systémů a platforem, výrobci zařízení by měli zajistit, aby byla navržena s ohledem na bezpečnostní zásady, uživatelé by si měli být vědomi rizik při provádění určitých operací a potřeby provádět nezbytné aktualizace zařízení, která používají, a členské státy mohou stanovovat priority. Kybernetická bezpečnost celého ekosystému je zajištěna pouze tehdy, pokud jsou kyberneticky bezpečné všechny jeho složky.
Na druhou stranu posoudila v prosinci 2016 norská Rada pro ochranu spotřebitele technické vlastnosti vybraných hraček připojených k rádiovému vysílání. Její zjištění poukazují na možnou nedostatečnou ochranu práv dětí na soukromí, ochranu osobních údajů a bezpečnost. Díky zabudovaným reproduktorům, mikrofonům a dalším senzorům jsou vzájemně propojené hračky z definice „chytré“ a dokážou například interpretovat řeč, díky čemuž jsou schopny s dítětem komunikovat. Mohou také zaznamenávat nejen fotografie, videa, geolokační data, údaje související s herním prožitkem, ale také srdeční tep, spánkové návyky nebo jiné biometrické údaje. Ze zprávy rovněž vyplývá, že některé z těchto hraček mohou při interakci s dítětem také propagovat výrobky, což nemusí být v souladu s očekávanou transparentností tohoto druhu výrobků. Z tohoto důvodu její výsledky přiměly evropská spotřebitelská sdružení k přijetí opatření.
Hračky jsou pouhou částí širšího odvětví, které představuje podobná rizika. Směrnice 2009/48/ES stanoví bezpečnostní požadavky, které musí hračky spadající do její působnosti splňovat, než mohou být uvedeny na trh v Unii. Požadavky stanovené v uvedené směrnici však nezahrnují například požadavky, které zajišťují ochranu osobních údajů a soukromí nebo ochranu před podvodem.
Dalšími příklady zařízení, u nichž hrozí riziko hackerského útoku a problémy s ochranou soukromí, pokud jsou připojena k internetu, jsou chytré spotřebiče, chytré kamery a řada dalších propojených rádiových zařízení, jako jsou mobilní telefony, notebooky, hardwarové klíče, poplašné systémy a systémy automatizace domácností. Kromě toho mohou nositelná rádiová zařízení (např. prsteny, náramky, kapesní spony, náhlavní soupravy, fitness náramky atd.) sledovat a zaznamenávat řadu citlivých údajů uživatele v průběhu času (např. polohu, teplotu, krevní tlak, srdeční tep) a dále je přenášet nejen přes internet, ale také prostřednictvím nezabezpečených komunikačních technologií krátkého dosahu. Směrnice o rádiových zařízeních 2014/53/EU stanoví regulační rámec pro uvádění rádiových zařízení na jednotný trh. Týká se povinných podmínek přístupu rádiových zařízení na trh. Směrnice o rádiových zařízeních se vztahuje na elektrická a elektronická zařízení, která mohou využívat rádiové spektrum pro účely komunikace a/nebo rádiového určování. Členské státy prostřednictvím svých vnitrostátních orgánů dozoru nad trhem přijímají nápravná opatření týkající se nevyhovujících rádiových zařízení.
Článek 3 směrnice o rádiových zařízeních stanoví základní požadavky, které musí rádiová zařízení uváděná na trh Unie splňovat. Čl. 3 odst. 1 písm. a) stanoví základní požadavek týkající se zdraví a bezpečnosti, čl. 3 odst. 1 písm. b) stanoví základní požadavky týkající se elektromagnetické kompatibility a čl. 3 odst. 2 stanoví základní požadavky týkající se účinného a účelného využívání rádiového spektra. Kromě toho čl. 3 odst. 3 stanoví další základní požadavky, které se vztahují na kategorie nebo třídy rádiových zařízení uvedené v souvisejících aktech Komise v přenesené pravomoci.
Směrnice o rádiových zařízeních zmocňuje Komisi k přijímání aktů v přenesené pravomoci za účelem uplatnění základních požadavků stanovených v čl. 3 odst. 3 směrnice o rádiových zařízeních, a to upřesněním každého z těchto požadavků, které se vztahují na kategorie nebo třídy rádiových zařízení. Pro tuto iniciativu jsou relevantní tři body čl. 3 odst. 3 druhého pododstavce:
·čl. 3 odst. 3 písm. d) k zajištění ochrany sítě,
·čl. 3 odst. 3 písm. e) k zajištění ochrany osobních údajů a soukromí,
·čl. 3 odst. 3 písm. f) k zajištění ochrany před podvodem.
Cílem však není vytvářet další nebo překrývající se pravidla ke stávajícím právním předpisům, ale zajistit, aby se stávající zásady případně promítly do konkrétních požadavků na výrobu zboží, které má být uvedeno na trh Unie, s určitým stupněm vymahatelnosti nebo ověřitelnosti. Je důležité zajistit doplňkovost se stávajícím rámcem EU. V tomto ohledu by rádiová zařízení, výrobky nebo součásti, na které se vztahují nařízení (EU) 2019/2144 a (EU) 2018/1139 nebo směrnice (EU) 2019/520, neměly spadat do kategorií nebo tříd rádiových zařízení, které by měly splňovat základní požadavky stanovené v čl. 3 odst. 3 písm. e) a f) směrnice 2014/53/EU.
Pokud jde o ochranu údajů, právní předpisy Unie týkající se osobních údajů a ochrany soukromí, jako je nařízení Evropského parlamentu a Rady (EU) 2016/679 a směrnice Evropského parlamentu a Rady 2002/58/ES, upravují zpracování osobních údajů a ochranu soukromí, ale neupravují uvádění rádiových zařízení na trh Unie.
Hlavním cílem této iniciativy je přispět k posílení „ekosystému důvěry“ vyplývajícího ze součinnosti všech souvisejících právních předpisů EU týkajících se ochrany sítí, soukromí a ochrany před podvodem, které jsou podrobněji popsány v přiloženém posouzení dopadů. Tato iniciativa by pak měla vstup na trh EU povolit pouze takovým rádiovým zařízením, která jsou dostatečně bezpečná. S ohledem na obecné cíle hodlá iniciativa posílit dodržování některých základních práv (např. soukromí) a podpořit politické cíle stanovené v jiných právních předpisech EU, které neumožňují prosazování trhu. Vzhledem k rozsahu rizik a s ohledem na to, že rychlá použitelnost má pozitivní dopad na stávající politické cíle EU, je rovněž nezbytné přijmout včasné opatření. Možnost využít stávajících pravomocí, které již byly Komisi uděleny, umožní jednat s ohledem na stávající rámec a bez potřeby zvláštních dodatečných právních předpisů. K řešení problémů týkajících se výrobků bez bezpečnostních prvků je konkrétním cílem poskytnout orgánům dozoru nad trhem vynucovací nástroj, který jim umožní přijmout nápravná opatření. Dalším cílem je zajistit jednotný trh s dotčenými výrobky, který nebudou brzdit místní či vnitrostátní předpisy, jež zvyšují administrativní zátěž zejména menších podniků. Konečným cílem je vytvořit rovné podmínky prostřednictvím jasných a přiměřených pravidel, která budou účinně a jednotně prosazována v celé EU.
Nezbytnost pravidel vnitřního trhu zahrnujících záruky proti nezabezpečeným výrobkům a službám, je zdůrazněna ve společném sdělení Komise a vysokého představitele Unie pro zahraniční věci a bezpečnostní politiku ze dne 16. prosince 2020 o strategii kybernetické bezpečnosti EU pro digitální dekádu.
2.KONZULTACE PŘED PŘIJETÍM PRÁVNÍHO AKTU
Konzultační strategie pro tuto iniciativu zohlednila všechny možné související aspekty, a to i z hlediska dopadů na společnost (např. na spotřebitele a hospodářské subjekty), vnitrostátní orgány, společné podmínky přístupu na trh a provádění dalších právních předpisů EU nebo součinnost s nimi. Kromě důkazů získaných z jiných výzkumných zdrojů (např. analýza podkladů) byla využita zpětná vazba poskytnutá zúčastněnými stranami.
Zúčastněnými stranami byly: veřejné orgány zabývající se zpracováním údajů, podvody a/nebo rádiovými zařízeními, sdružení hospodářských subjektů, jednotlivé hospodářské subjekty, spotřebitelské organizace, občané, akademické/výzkumné instituce a příslušné nevládní organizace, oznámené subjekty, evropské normalizační organizace.
Proběhly následující konkrétní konzultace:
·všechny zúčastněné strany mohly během čtyř týdnů poskytovat zpětnou vazbu k počátečnímu posouzení dopadů,
·na portálu Komise pro zlepšování právní úpravy byla zahájena dvanáctitýdenní veřejná konzultace,
·cílená konzultace se zaměřila zejména na členské státy, hospodářské subjekty (sdružení nebo jednotlivce), spotřebitelské organizace, subjekty pro posuzování shody, spotřebitele nebo jiné odborníky.
K účasti na cíleném průzkumu byly vyzvány také zúčastněné strany, včetně těch, které se zúčastnily zasedání odborné skupiny pro rádiová zařízení. Z nich se 56 rozhodlo odpovědět vyplněním dotazníku. Těchto 56 respondentů pocházelo z 20 zemí, včetně 14 členských států EU. Nejvíce odpovědí (14) přišlo z Belgie, přičemž téměř všechny odpovědi byly od subjektů zastupujících výrobce nebo spotřebitele. Další nejlépe zastoupenou zemí bylo Německo s 11 respondenty, z nichž většinu tvořili výrobci. Z nečlenských států EU byly nejlépe zastoupeny USA s pěti respondenty, mezi nimiž byli jak výrobci, tak odvětvové organizace. Ve velikosti organizací, které odpověděly, panovala rovnováha. Velkými organizacemi byli vesměs výrobci nebo vnitrostátní orgány veřejné správy, s výjimkou dvou orgánů pro posuzování shody a jedné univerzity. Mezi mikroorganizacemi měla velký podíl průmyslová nebo spotřebitelská sdružení. Malé a střední organizace byly kombinací všech typů organizací.
Otevřené veřejné konzultace, která se skládala z otevřených a uzavřených otázek, se zúčastnilo celkem 42 respondentů. Profil země respondentů byl následující:
·42 respondentů pocházelo ze 14 členských států EU.
·Největší počet odpovědí (8) přišel z Německa, z toho sedm od občanů.
·Šest respondentů bylo z Belgie, přičemž ve všech případech šlo o zastupující orgány na úrovni EU (pět podnikatelských sdružení a jedno spotřebitelské sdružení).
·Šest jich bylo ze Španělska, z nichž čtyři byly orgány veřejné správy a dva podniky.
·Žádný z respondentů se nenacházel mimo EU.
Profil typů respondentů byl následující:
·Ze 42 respondentů tvořili o něco více než polovinu (22) občané.
·Občané pocházeli z 10 členských států EU.
·Ze šesti orgánů veřejné správy byly čtyři ze Španělska a po jednom z Estonska a Irska.
·Ze sedmi podnikatelských sdružení bylo pět subjektů na úrovni EU se sídlem v Belgii.
·Šest podniků pocházelo z pěti různých zemí. Tři z nich byly mikropodniky, dva malé podniky a jeden velký podnik.
·Jedna spotřebitelská organizace byla orgánem na úrovni EU se sídlem v Belgii.
Ve dnech 18. září 2020 a 17. listopadu 2020 proběhly konzultace odborné skupiny pro rádiová zařízení (E03587) k předběžným dokumentům, které se zabývaly klíčovými body aktu v přenesené pravomoci (oblast působnosti, použitelné články, výjimky, datum použitelnosti). Stejná skupina byla konzultována ohledně návrhu aktu dne 24. února 2021. Práce odborné skupiny pro rádiová zařízení se účastní orgány členských států EU a přidružených zemí, sdružení spotřebitelů, sdružení hospodářských subjektů zabývajících se směrnicí o rádiových zařízeních a evropské normalizační organizace. Obdržené připomínky jsou veřejně dostupné na platformě CIRCABC, kde jsou také v zápisech z jednání shrnuty související diskuse.
Několik možností politiky bylo z různých důvodů zamítnuto buď v rané fázi, nebo v průběhu vývoje této iniciativy, jak je uvedeno níže:
·V rané fázi bylo potenciální další zvažovanou možností politiky zavedení horizontálního právního předpisu o kybernetické bezpečnosti. Několik jednotlivých výrobců a jejich oborových sdružení jej navrhlo jako nejlepší postup, který by podle jejich názoru zabránil roztříštěnosti výsledků a zajistil efektivnost a účinnost. V diskusích v rámci odborné skupiny pro rádiová zařízení však bylo například zdůrazněno, že vzhledem k legislativním lhůtám, které jsou pro spolurozhodovací postup nutné, nemusí být taková možnost z realistického hlediska tak časově příznivá jako jeden nebo více aktů v přenesené pravomoci v rámci směrnice o rádiových zařízeních.
·V době zveřejnění počátečního posouzení dopadů nebyl akt o kybernetické bezpečnosti ještě přijat, a proto nebylo možné z tohoto právního předpisu vycházet při výběru možností. Zřízení systémů certifikace kybernetické bezpečnosti podle tohoto aktu navíc nezakládá žádné právní povinnosti, pokud jde o uvádění výrobků na trh. Certifikace kybernetické bezpečnosti tak zůstává dobrovolnou činností a byla řešena v rámci dobrovolných přístupů ze strany odvětví v kontextu politických možností.
A konečně v pozdější fázi, tj. po zveřejnění počátečního posouzení dopadů, některé členské státy navrhly přijmout čl. 3 odst. 3 písm. d) ve spojení s čl. 3 odst. 3 písm. e) a f), přičemž upozornily na součinnost plynoucí ze společného přijetí těchto tří článků. Vzhledem k tomu, že členské státy a spotřebitelská sdružení považovaly přijetí čl. 3 odst. 3 písm. d) za doplněk možnosti č. 4, samostatná možnost ohledně čl. 3 odst. 3 písm. d) nebyla zvažována.
Komise navíc v zájmu řešení rizik kybernetické bezpečnosti u všech propojených výrobků a souvisejících služeb a v průběhu celého jejich životního cyklu ve společném sdělení z prosince 2020 „Strategie kybernetické bezpečnosti EU pro digitální dekádu“ oznámila, že zváží komplexní přístup, včetně možných nových horizontálních pravidel pro zlepšení kybernetické bezpečnosti všech propojených výrobků a souvisejících služeb uváděných na vnitřní trh.
3. VEŘEJNÁ KONZULTACE K NÁVRHU PRÁVNÍHO AKTU
Po projednání návrhu aktu s odbornou skupinou pro rádiová zařízení byla zahájena formální čtyřtýdenní veřejná konzultace. Konzultace byla otevřena všem občanům a zúčastněným stranám bez omezení.
Konečný počet obdržených příspěvků činil 26. Rozdělení respondentů podle zemí bylo následující:
·největší počet odpovědí (18) pocházel z Belgie,
·pouze jeden příspěvek byl zaslán ze země mimo Evropskou unii (Švýcarsko),
·ostatní odpovědi přišly z Nizozemska (4), Polska (1), Německa (1) a Francie (1).
Rozdělení respondentů podle typu bylo následující:
·většina příspěvků (17) pocházela z odvětví,
·spotřebitelé a nevládní sdružení poskytli tři odpovědi,
·zpětnou vazbu zaslali čtyři občané,
·evropské normalizační organizace zaslaly dva příspěvky.
Po posouzení těchto příspěvků byl učiněn závěr, že návrh právního aktu není třeba měnit, a to z níže uvedených důvodů:
·Některé příspěvky se konkrétně týkaly technických opatření ke zmírnění kybernetických bezpečnostních hrozeb. Tento právní akt ovšem nestanoví technická opatření, nýbrž pouze základní požadavky. Stanoviska k těmto technickým záležitostem, jež byla vyjádřena v obdržených příspěvcích, budou zohledněna při práci na podpůrných harmonizovaných normách.
·Některé zúčastněné strany vyjádřily obavy ohledně údajného zdvojování povinností, které již vyplývají z jiných právních předpisů EU. Předkládaný návrh právního aktu upravuje uvádění zařízení v oblasti působnosti na trh, přičemž jiné části právního rámce EU tento prvek dosud neregulují. Předkládaný právní akt navíc nehodlá regulovat žádné procesy nebo služby ani otázky po uvedení na trh, na které se nevztahuje směrnice o rádiových zařízeních.
·Jedno průmyslové sdružení uvedlo, že podle jeho názoru právní akt vytváří překážky pro malé a střední podniky. Jak je uvedeno v posouzení dopadů, technická řešení poskytnou připravované harmonizované normy. Malé a střední podniky se na jejich vzniku budou podílet.
·Řada obdržených připomínek se týkala pojetí kategorií zařízení, na něž se budou vztahovat základní požadavky. Definici „zařízení připojeného k internetu“ podrobně projednávala příslušná odborná skupina. Pokud by působnost byla omezena na základě zamýšleného použití, a nikoli technických možností, znamenalo by to, že na určitá zařízení by se právní akt nevztahoval. Z technického hlediska by to umožňovalo komunikaci přes internet a hackeři by mohli těchto slabých míst využít. Pojem „síť“ je navíc jasný a zahrnuje internet.
·Některá průmyslová sdružení projevila obavy o zásadu technologické neutrality, neboť na kabelová zařízení se akt nevztahuje. Posouzení dopadů potvrzuje, že z hlediska kybernetické bezpečnosti jsou bezdrátová zařízení vyšším rizikem, a proto by pro ně měla být zavedena zvláštní opatření.
·Jedno průmyslové sdružení poukázalo na to, že se právní akt nevztahuje na veškerá zařízení používaná dětmi. V tomto ohledu je ochrana soukromí dětí zajištěna prostřednictvím povinností uložených výrobcům zařízení připojených k internetu, hraček a zařízení pro péči o děti (u dvou posledně jmenovaných typů zařízení i v případě, že nedokáží komunikovat přes internet). Rádiová zařízení používaná dětmi obecně patří do výše uvedených kategorií.
·Většina zúčastněných stran vznesla námitky ohledně přechodného období, jež bylo považováno za příliš krátké či příliš dlouhé. Má se za to, že přechodné období v délce 30 měsíců představuje správnou rovnováhu mezi potřebou naléhavě zlepšit úroveň kybernetické bezpečnosti rádiových zařízení na evropském trhu a potřebou poskytnout výrobcům přiměřenou dobu k přizpůsobení svých výrobků.
4.PRÁVNÍ STRÁNKA AKTU V PŘENESENÉ PRAVOMOCI
Cílem tohoto nařízení v přenesené pravomoci je zajistit, aby se základní požadavky stanovené v čl. 3 odst. 3 písm. d), e) a f) směrnice o rádiových zařízeních, které se týkají prvků kybernetické bezpečnosti, vztahovaly na ty kategorie rádiových zařízení, které jsou rizikové z hlediska kybernetické bezpečnosti.
Přesněji řečeno návrh stanoví, že čl. 3 odst. 3 písm. d), e) a f) směrnice o rádiových zařízeních se vztahují na rádiová zařízení připojená k internetu, která jsou definována v článku 1, s výhradou určitých výjimek uvedených v aktu v přenesené pravomoci.
Dále stanoví, že čl. 3 odst. 3 písm. e) směrnice o rádiových zařízeních se vztahuje na nositelná rádiová zařízení, na hračky, které jsou rovněž rádiovými zařízeními, a na rádiová zařízení pro péči o dítě, ať už jsou připojena k internetu, či nikoli, s výhradou určitých výjimek uvedených v aktu v přenesené pravomoci.
Nařízení v přenesené pravomoci je v souladu se zásadami stanovenými v různých příslušných právních předpisech EU, zejména v právních předpisech EU v oblasti kybernetické bezpečnosti.
Datum použitelnosti nařízení v přenesené pravomoci je 30 měsíců od jeho vstupu v platnost, a nařízení v přenesené pravomoci proto nebude mít vliv na rádiová zařízení uvedená na trh Unie před tímto datem použitelnosti.
Nařízení v přenesené pravomoci nemá důsledky pro rozpočet EU.
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) …/...
ze dne 29.10.2021
kterým se doplňuje směrnice Evropského parlamentu a Rady 2014/53/EU, pokud jde o uplatňování základních požadavků uvedených v čl. 3 odst. 3 písm. d), e) a f) uvedené směrnice
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na směrnici Evropského parlamentu a Rady 2014/53/EU ze dne 16. dubna 2014 o harmonizaci právních předpisů členských států týkajících se dodávání rádiových zařízení na trh a zrušení směrnice 1999/5/ES, a zejména na čl. 3 odst. 3 druhý pododstavec ve spojení s čl. 3 odst. 3 prvním pododstavcem písm. d), e) a f) uvedené směrnice,
vzhledem k těmto důvodům:
(1)Ochrana sítě nebo jejího fungování před poškozením, ochrana osobních údajů a soukromí uživatele a účastníka a ochrana před podvodem jsou prvky, které podporují ochranu před riziky kybernetické bezpečnosti.
(2)Jak je uvedeno ve 13. bodě odůvodnění směrnice 2014/53/EU, ochranu osobních údajů a soukromí uživatelů a účastníků rádiových zařízení a ochranu před podvody lze zvýšit pomocí určitých funkčních charakteristik rádiových zařízení. Podle uvedeného bodu odůvodnění by proto měla být rádiová zařízení v příslušných případech navržena tak, aby takové funkční charakteristiky vykazovala.
(3)Sítě 5G budou v nadcházejících letech hrát klíčovou roli v rozvoji digitální ekonomiky a společnosti Unie a potenciálně ovlivní téměř všechny aspekty života občanů Unie. Dokument s názvem „Kybernetická bezpečnost sítí 5G – soubor opatření EU ke zmírnění rizik“ stanoví možný společný soubor opatření, která jsou schopna zmírnit hlavní rizika v oblasti kybernetické bezpečnosti sítí 5G, a poskytuje návod pro výběr opatření, která by měla být v plánech zmírnění rizik na vnitrostátní úrovni a na úrovni Unie upřednostněna. Kromě těchto opatření je velmi důležité dodržovat harmonizovaný přístup k základním požadavkům týkajícím se prvků ochrany kybernetické bezpečnosti, které se vztahují na rádiová zařízení 5G při jejich uvádění na trh Unie.
(4)Úroveň bezpečnosti uplatňovaná podle základních požadavků Unie stanovených v čl. 3 odst. 3 písm. d), e) a f) k zajištění ochrany sítí, ochrany osobních údajů a soukromí a ochrany před podvodem nesmí narušit vysokou úroveň bezpečnosti požadovanou na vnitrostátní úrovni u decentralizovaných inteligentních sítí v oblasti energetiky, kde se mají používat inteligentní měřiče podléhající těmto požadavkům, a pro síťová zařízení 5G používaná poskytovateli veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací ve smyslu směrnice (EU) 2018/1972.
(5)Byly rovněž vyjádřeny četné obavy v souvislosti s rostoucími riziky v oblasti kybernetické bezpečnosti v důsledku toho, že profesionálové i spotřebitelé včetně dětí častěji používají rádiová zařízení, která: i) jsou schopna sama komunikovat prostřednictvím internetu, bez ohledu na to, zda komunikují přímo nebo prostřednictvím jiného zařízení („rádiová zařízení připojená k internetu“), tj. taková zařízení připojená k internetu používají protokoly nezbytné k výměně dat s internetem buď přímo, nebo prostřednictvím zprostředkujícího zařízení; ii) mohou být buď hračkou s rádiovou funkcí, která rovněž spadá do oblasti působnosti směrnice Evropského parlamentu a Rady 2009/48/ES, nebo jsou navržena či určena výhradně k péči o děti, jako jsou například tzv. chůvičky; nebo iii) jsou navržena či určena, ať už výhradně, či nikoliv, k nošení, a to připevněná či zavěšená na lidském těle (včetně hlavy, krku, trupu, paží, rukou, nohou a chodidel) nebo na oděvu (včetně pokrývky hlavy, rukavic a obuvi), který lidé nosí, jako jsou rádiová zařízení v podobě náramkových hodinek, prstenu, náramku, náhlavní soupravy, sluchátek nebo brýlí („nositelná rádiová zařízení“).
(6)V tomto ohledu by se za rádiové zařízení připojené k internetu mělo považovat každé rádiové zařízení pro péči o děti, rádiové zařízení, na které se vztahuje směrnice 2009/48/ES, nebo nositelné rádiové zařízení, které je schopno samo komunikovat přes internet, bez ohledu na to, zda komunikuje přímo, nebo prostřednictvím jiného zařízení. Za nositelná rádiová zařízení by například neměly být považovány implantáty, protože se nenosí na žádné části lidského těla ani na oděvu – nejsou k němu připevněny ani na něm zavěšeny. Implantáty by však měly být považovány za rádiová zařízení připojená k internetu, pokud samy dokáží komunikovat přes internet, bez ohledu na to, zda komunikují přímo, nebo prostřednictvím jiného zařízení.
(7)Vzhledem k obavám vyvolaným skutečností, že rádiová zařízení nezajišťují ochranu proti prvkům rizik v oblasti kybernetické bezpečnosti, je nezbytné, aby se na rádiová zařízení určitých kategorií nebo tříd vztahovaly základní požadavky směrnice 2014/53/EU spojené s ochranou před poškozením sítě, ochranou osobních údajů a soukromí uživatelů a účastníků a ochranou před podvodem.
(8)Směrnice 2014/53/EU se vztahuje na výrobky, které splňují definici „rádiového zařízení“ v článku 2 uvedené směrnice, s výhradou zvláštních výjimek uvedených v čl. 1 odst. 2 a 3 uvedené směrnice. Zatímco definice rádiového zařízení v článku 2 směrnice 2014/53/EU odkazuje na zařízení, která mohou komunikovat pomocí rádiových vln, požadavky směrnice 2014/53/EU nerozlišují mezi rádiovými a jinými než rádiovými funkcemi rádiového zařízení, a proto by všechny aspekty a části zařízení měly splňovat základní požadavky stanovené v tomto nařízení v přenesené pravomoci.
(9)Pokud jde o poškození sítě nebo jejího fungování či zneužití síťových zdrojů, mohou nepřijatelné zhoršení služeb způsobit rádiová zařízení připojená k internetu, která nezajišťují, aby nedošlo k poškození nebo zneužití sítí. Útočník může například úmyslně zahltit internetovou síť, aby zabránil legitimnímu síťovému provozu, narušit spojení mezi dvěma rádiovými výrobky, a tím znemožnit přístup ke službě, zabránit konkrétní osobě v přístupu ke službě, narušit službu určenou konkrétnímu systému nebo osobě nebo narušit informace. Zhoršení kvality online služeb tak může vést k poškozujícím kybernetickým útokům, které povedou ke zvýšení nákladů, nepříjemnostem nebo rizikům pro operátory, poskytovatele služeb nebo uživatele. Na rádiová zařízení připojená k internetu by se proto měl vztahovat čl. 3 odst. 3 písm. d) směrnice 2014/53/EU, který vyžaduje, aby rádiové zařízení nemělo nepříznivý vliv na síť či její provoz, ani nezneužívalo zdroje sítě, a nezpůsobovalo tak nepřijatelné zhoršení služby.
(10)Zazněly rovněž obavy týkající se ochrany osobních údajů a soukromí uživatele a účastníka rádiového zařízení připojeného k internetu, a to kvůli schopnosti tohoto rádiového zařízení zaznamenávat, ukládat a sdílet informace, komunikovat s uživatelem, včetně dětí, pokud jsou v tomto rádiovém zařízení zabudovány reproduktory, mikrofony a další senzory. Tyto obavy se týkají zejména schopnosti tohoto rádiového zařízení zaznamenávat fotografie, videa, lokalizační údaje, údaje související s hraním, jakož i srdeční tep, spánkové návyky nebo jiné osobní údaje. Například k pokročilým nastavením rádiového zařízení lze získat přístup prostřednictvím předem nastaveného výchozího hesla, pokud připojení nebo údaje nejsou šifrovány nebo pokud není zaveden silný ověřovací mechanismus.
(11)Je proto důležité, aby rádiová zařízení připojená k internetu, která jsou uváděna na trh Unie, obsahovala ochranná opatření, která zajistí ochranu osobních údajů a soukromí, dokáží-li zařízení zpracovávat osobní údaje definované v čl. 4 odst. 1 nařízení (EU) 2016/679 nebo údaje definované v čl. 2 písm. b) a c) směrnice 2002/58/ES. Na rádiová zařízení připojená k internetu by se proto měl vztahovat čl. 3 odst. 3 písm. e) směrnice 2014/53/EU.
(12)Z hlediska ochrany osobních údajů a soukromí představují rádiová zařízení pro péči o dítě, rádiová zařízení, na která se vztahuje směrnice 2009/48/ES, a nositelná rádiová zařízení navíc bezpečnostní rizika i bez připojení k internetu. Osobní údaje mohou být zachyceny, pokud tato rádiová zařízení vysílají nebo přijímají rádiové vlny a postrádají bezpečnostní zařízení, které zajišťuje ochranu osobních údajů a soukromí. Rádiová zařízení pro péči o dítě, rádiová zařízení, na která se vztahuje směrnice 2009/48/ES, a nositelná rádiová zařízení mohou v průběhu času monitorovat a zaznamenávat řadu citlivých (osobních) údajů uživatele a dále je přenášet prostřednictvím komunikačních technologií, které mohou být nezabezpečené. Rádiová zařízení pro péči o dítě, rádiová zařízení, na která se vztahuje směrnice 2009/48/ES, a nositelná rádiová zařízení by měla rovněž zajišťovat ochranu osobních údajů a soukromí, pokud mohou ve smyslu čl. 4 odst. 2 nařízení (EU) 2016/679 zpracovávat osobní údaje, jak jsou definovány v čl. 4 odst. 1 nařízení (EU) 2016/679, nebo provozní a lokalizační údaje, jak jsou definovány v čl. 2 písm. b) a c) směrnice 2002/58/ES. Na tato rádiová zařízení by se proto měl vztahovat čl. 3 odst. 3 písm. e) směrnice 2014/53/EU.
(13)Pokud jde o podvody, z rádiových zařízení připojených k internetu, jež nezajišťují ochranu před podvodem, mohou být odcizeny informace včetně osobních údajů. Zvláštní druhy podvodů se týkají rádiových zařízení připojených k internetu, pokud jsou tato zařízení používána k provádění plateb přes internet. Náklady mohou být vysoké a netýkají se pouze osoby, která byla podvodem poškozena, ale i celé společnosti (například náklady na policejní vyšetřování, náklady na služby pro oběti, náklady na soudní řízení o určení odpovědnosti). Je proto nezbytné zajistit důvěryhodné transakce a minimalizovat riziko vzniku finanční ztráty uživatelů rádiových zařízení připojených k internetu, kteří provádějí platbu prostřednictvím těchto rádiových zařízení, a příjemce platby provedené prostřednictvím těchto rádiových zařízení.
(14)Rádiová zařízení připojená k internetu uváděná na trh Unie by měla podporovat funkce pro zajištění ochrany před podvodem, pokud držiteli nebo uživateli umožňují převod peněz, peněžní hodnoty nebo virtuální měny, jak jsou definovány v čl. 2 písm. d) směrnice Evropského parlamentu a Rady (EU) 2019/713. Na tato rádiová zařízení by se proto měl vztahovat čl. 3 odst. 3 písm. f) směrnice 2014/53/EU.
(15)Nařízení Evropského parlamentu a Rady (EU) 2017/745 stanoví pravidla pro zdravotnické prostředky a nařízení Evropského parlamentu a Rady (EU) 2017/746 stanoví pravidla pro diagnostické zdravotnické prostředky in vitro. Nařízení (EU) 2017/745 a (EU) 2017/746 se shodně zabývají některými prvky rizik v oblasti kybernetické bezpečnosti souvisejícími s riziky, jimiž se zabývá čl. 3 odst. 3 písm. d), e) a f) směrnice 2014/53/EU. Rádiová zařízení, na která se vztahuje jedno z těchto nařízení, by proto neměla spadat do kategorií nebo tříd rádiových zařízení, které by měly splňovat základní požadavky stanovené v čl. 3 odst. 3 písm. d), e) a f) směrnice 2014/53/EU.
(16)Nařízení Evropského parlamentu a Rady (EU) 2019/2144 stanoví požadavky na schvalování typu vozidel a jejich systémů a konstrukčních částí. Kromě toho je hlavním cílem nařízení Evropského parlamentu a Rady (EU) 2018/1139 dosažení a udržení vysoké a jednotné úrovně bezpečnosti letectví v Unii. Směrnice Evropského parlamentu a Rady (EU) 2019/520 navíc stanoví podmínky pro interoperabilitu elektronických systémů pro výběr mýtného a usnadnění přeshraniční výměny informací týkajících se nezaplacení silničních poplatků v Unii. Nařízení (EU) 2019/2144 a (EU) 2018/1139 se zabývají prvky rizik v oblasti kybernetické bezpečnosti souvisejícími s riziky uvedenými v čl. 3 odst. 3 písm.), e) a f) směrnice 2014/53/EU. Rádiová zařízení, na která se vztahují nařízení (EU) 2019/2144 a (EU) 2018/1139 nebo směrnice (EU) 2019/520, by proto neměla spadat do kategorií nebo tříd rádiových zařízení, které by měly splňovat základní požadavky stanovené v čl. 3 odst. 3 písm. e) a f) směrnice 2014/53/EU.
(17)Článek 3 směrnice 2014/53/EU stanoví základní požadavky, které musí hospodářské subjekty splňovat. Za účelem snazšího posuzování shody s těmito požadavky směrnice stanoví předpoklad shody pro rádiová zařízení, která splňují dobrovolné harmonizované normy přijaté v souladu s nařízením Evropského parlamentu a Rady (EU) č. 1025/2012 pro účely vyjádření podrobných technických specifikací těchto požadavků. Specifikace zohlední a bude řešit úroveň rizik, která odpovídají zamýšlenému použití každé kategorie nebo třídy rádiových zařízení, jichž se toto nařízení týká.
(18)Hospodářským subjektům by měl být poskytnut dostatečný čas na přizpůsobení se požadavkům tohoto nařízení. Použití tohoto nařízení by proto mělo být odloženo. Toto nařízení nebrání hospodářským subjektům v jeho dodržování ode dne jeho vstupu v platnost.
(19)Komise během přípravných prací na opatřeních stanovených v tomto nařízení vedla příslušné konzultace a konzultovala odbornou skupinu pro rádiová zařízení,
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
1. Základní požadavek stanovený v čl. 3 odst. 3 písm. d) směrnice 2014/53/EU se vztahuje na všechna rádiová zařízení, která mohou sama komunikovat přes internet, ať už komunikují přímo, nebo prostřednictvím jiného zařízení („rádiová zařízení připojená k internetu“).
2. Základní požadavek stanovený v čl. 3 odst. 3 písm. e) směrnice 2014/53/EU se vztahuje na jakékoli z následujících rádiových zařízení, pokud je toto rádiové zařízení schopno zpracovávat, ve smyslu čl. 4 bodu 2 nařízení (EU) 2016/679, osobní údaje, jak jsou definovány v čl. 4 bodě 1 nařízení (EU) 2016/679, nebo provozní a lokalizační údaje, jak jsou definovány v čl. 2 písm. b) a c) směrnice 2002/58/ES:
a)rádiové zařízení připojené k internetu, jiné než zařízení uvedená v písmenech b), c) nebo d);
b)rádiové zařízení navržené nebo určené výhradně k péči o dítě;
c)rádiové zařízení, na něž se vztahuje směrnice 2009/48/ES;
d)rádiové zařízení navržené nebo určené, ať už výhradně či nikoli, k nošení, připevnění nebo zavěšení na některém z následujících míst:
i)jakákoli část těla, včetně hlavy, krku, trupu, paží, rukou, nohou a chodidel;
ii)jakýkoli oděv, včetně pokrývek hlavy, rukavic a obuvi, který nosí lidé.
3. Základní požadavek stanovený v čl. 3 odst. 3 písm. f) směrnice 2014/53/EU se vztahuje na jakékoli rádiové zařízení připojené k internetu, pokud toto zařízení umožňuje držiteli nebo uživateli převádět peníze, peněžní hodnoty nebo virtuální měnu podle definice v čl. 2 písm. d) směrnice (EU) 2019/713.
Článek 2
1. Odchylně od článku 1 se základní požadavky stanovené v čl. 3 odst. 3 písm. d), e) a f) směrnice 2014/53/EU nevztahují na rádiová zařízení, na která se rovněž vztahuje některý z následujících právních předpisů Unie:
a)nařízení (EU) 2017/745;
b)nařízení (EU) 2017/746.
2. Odchylně od čl. 1 odst. 2 a čl. 1 odst. 3 se základní požadavky stanovené v čl. 3 odst. 3 písm.), e) a f) směrnice 2014/53/EU nevztahují na rádiová zařízení, na která se rovněž vztahuje některý z následujících právních předpisů Unie:
a)nařízení (EU) 2018/1139;
b)nařízení (EU) 2019/2144;
c)směrnice (EU) 2019/520.
Článek 3
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Použije se od ... [Úřad pro publikace: vložte datum 30 měsíců ode dne vstupu tohoto nařízení v platnost].
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 29.10.2021
Za Komisi
předsedkyně
Ursula VON DER LEYEN
