EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52013XX0130(02)

Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu (nařízení o důvěryhodných elektronických službách), který předkládá Komise

OJ C 28, 30.1.2013, p. 6–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

30.1.2013   

CS

Úřední věstník Evropské unie

C 28/6


Shrnutí stanoviska evropského inspektora ochrany údajů k návrhu nařízení Evropského parlamentu a Rady o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním trhu (nařízení o důvěryhodných elektronických službách), který předkládá Komise

(Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na stránkách evropského inspektora ochrany údajů na adrese http://www.edps.europa.eu)

2013/C 28/04

I.   Úvod

I.1.   Návrh

1.

Dne 4. června 2012 přijala Komise návrh nařízení Evropského parlamentu a Rady pozměňující směrnici 1999/93/ES Evropského parlamentu a Rady, pokud jde o elektronickou identifikaci a důvěryhodné služby v souvislosti s elektronickými transakcemi na vnitřním trhu (dále jen „návrh“) (1).

2.

Návrh je součástí opatření, jimiž Komise zamýšlí podpořit rozšíření elektronických transakcí v Evropské unii. Je realizací kroků, které předjímá Digitální program pro Evropu (2) ve věci zlepšení právních předpisů týkajících se elektronického podpisu (klíčové opatření č. 3) a vytvoření soudržného rámce pro vzájemné uznávání elektronické identifikace a elektronické ověřování pravosti (klíčové opatření č. 16).

3.

Očekává se, že návrh zvýší důvěru v celoevropské elektronické transakce a zajistí přeshraniční právní uznání elektronické identifikace, elektronického ověřování a podpisu a s tím spojených důvěryhodných služeb na vnitřním trhu a zároveň zaručí vysokou úroveň ochrany údajů a posílení účasti uživatelů.

4.

Vysoká úroveň ochrany údajů je pro použití systému elektronické identifikace a důvěryhodných služeb nezbytná. Vytvoření a užívání těchto elektronických nástrojů musí být založeno na náležitém zpracování osobních údajů poskytovateli důvěryhodných služeb a ověřovateli elektronické identifikace. Toto je tím významnější, že takové zpracování je nejspolehlivějším způsobem, jak lze mimo jiné provádět identifikaci a ověřování fyzických (nebo právnických) osob.

I.2.   Konzultace evropského inspektora ochrany údajů

5.

Evropský inspektor ochrany údajů dostal možnost vyjádřit neformální připomínky k návrhu ještě před jeho přijetím. Mnoho jich bylo v návrhu zohledněno. Díky tomu v něm byly posíleny záruky v oblasti ochrany údajů.

6.

Evropský inspektor ochrany údajů vítá skutečnost, že jej v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 také formálně konzultuje Komise.

I.3.   Obecné souvislosti návrhu

7.

Návrh se zakládá na článku 114 Smlouvy o fungování Evropské unie a stanovuje podmínky a mechanismy vzájemného uznávání a přijímání elektronické identifikace a důvěryhodných služeb mezi členskými státy. Zejména pak určuje zásady ohledně poskytování ověřování identifikace a důvěryhodných elektronických služeb včetně pravidel pro jejich uznávání a přijímání. Vymezuje také podmínky pro vytváření, ověřování, potvrzování, používání a uchovávání elektronických podpisů, elektronických značek, elektronických časových razítek, elektronických dokumentů, služeb elektronického doručování, ověřování webových stránek a elektronických certifikátů.

8.

Návrh nařízení kromě toho stanovuje pravidla pro dohled nad důvěryhodnými službami a zavazuje členské státy ke zřízení orgánů dohledu, které budou plnit tento úkol. Tyto orgány budou mimo jiné hodnotit, zda poskytovatelé elektronických důvěryhodných služeb zavádí a plní požadovaná technická a organizační opatření.

9.

Kapitola II se zabývá službami elektronické identifikace, kapitola III se pak věnuje elektronickým důvěryhodným službám, jako jsou elektronické podpisy, značky, časová razítka, dokumenty, elektronické doručování, certifikáty a ověřování webových stránek. Služby elektronické identifikace souvisí s vnitrostátními průkazy totožnosti a slouží k přístupu k digitálnímu obsahu a zejména pak ke službám elektronické veřejné správy; to znamená, že subjekt, který vystavuje elektronickou identifikaci, jedná jménem některého členského státu a dotyčný členský stát nese zodpovědnost za přidělení prostředku elektronické identifikace příslušné osobě. U ostatních důvěryhodných elektronických služeb odpovídá za jejich náležité a bezpečné provozování jejich poskytovatel, ať už je jím fyzická nebo právnická osoba.

I.4.   Otázky o ochraně údajů, které vyvstaly ve spojení s návrhem

10.

Zpracování osobních údajů je nedílně spjato se systémem identifikace a do jisté míry také s poskytováním jiných důvěryhodných služeb (např. s užíváním elektronických podpisů). Zpracování osobních údajů je klíčové pro to, aby bylo možné zajistit spolehlivé propojení prostředků elektronické identifikace a ověřování užívaných fyzickými (a právnickými) osobami a konkrétní osobou, a ověřit tak, že osoba, která použila elektronický certifikát, je skutečně tím, za koho se prohlašuje. Například elektronická identifikace nebo elektronický certifikát se vztahuje ke konkrétním fyzickým osobám a bude obsahovat soubor údajů, které je jednoznačně rozliší. Jinak řečeno vytváření, ověřování, potvrzování a používání elektronických prostředků uvedených v čl. 3 odst. 12 návrhu se bude v mnoha případech dotýkat zpracování osobních údajů, a proto nabývá na významu jejich ochrana.

11.

Je tedy zásadní, aby se zpracování údajů v souvislosti s provozováním systému elektronické identifikace a s poskytováním elektronických důvěryhodných služeb provádělo v souladu s právním rámcem EU na ochranu údajů a zejména s vnitrostátními opatřeními provádějícími směrnici 95/46/ES.

12.

V tomto stanovisku se evropský inspektor ochrany údajů soustředí na rozbor tří hlavních otázek:

a)

jak je v návrhu ošetřena ochrana údajů;

b)

hledisko ochrany údajů v systémech elektronické identifikace uznávaných a přijímaných v přeshraničním styku; a

c)

hledisko ochrany údajů při poskytování elektronických důvěryhodných služeb uznávaných a přijímaných v přeshraničním styku.

III.   Závěry

50.

Evropský inspektor ochrany údajů vítá návrh Komise, protože může přispět ke vzájemnému uznávání (a příjímání) elektronických důvěryhodných služeb a identifikačních systémů na evropské úrovni. Také vítá zavedení společného souboru podmínek, které musí splnit distributoři prostředků elektronické identifikace a poskytovatelé důvěryhodných služeb. I když evropský inspektor ochrany údajů návrh v zásadě podporuje, doporučuje následující obecný přístup:

ustanovení o ochraně údajů obsažená v návrhu by se neměla omezovat jen na poskytovatele důvěryhodných služeb, ale měla by se týkat také zpracování osobních údajů v systémech elektronické identifikace popsaných v kapitole II návrhu,

návrh nařízení by měl zavést společný soubor bezpečnostních nároků na poskytovatele důvěryhodných služeb a pro distributory elektronické identifikace; pokud se tak nestane, měl by Komisi umožnit v potřebných případech prostřednictvím selektivního využití aktů v přenesené pravomoci nebo prováděcích opatření stanovit kritéria a podmínky bezpečnosti a nároky na ni, které se týkají provozu elektronických důvěryhodných služeb a systémů identifikace,

poskytovatelé elektronických důvěryhodných služeb a distributoři elektronické identifikace by měli povinně svým zákazníků poskytnout: i) odpovídající informace o sběru, předávání a uchovávání jejich osobních údajů a také ii) prostředky ke kontrole jejich osobních údajů a k výkonu jejich práv na ochranu údajů,

evropský inspektor ochrany údajů doporučuje do návrhu selektivněji začlenit opatření opravňující Komisi k upřesnění a rozpracování ustanovení pomocí aktů v přenesené pravomoci nebo prováděcími akty i po přijetí navrhovaného nařízení.

51.

Je třeba také zlepšit některá konkrétní opatření týkající se vzájemného uznávání systémů elektronické identifikace:

navrhované nařízení by mělo blíže určit, které údaje nebo kategorie údajů se budou zpracovávat v případě přeshraniční identifikace osob. Míra podrobnosti by v tomto případě měla přinejmenším odpovídat úrovni, s jakou jsou popsány v přílohách jiné důvěryhodné služby, a mělo by se zohlednit dodržování zásady proporcionality,

záruky stanovené pro provozování systémů identifikace by měly přinejmenším odpovídat požadavkům kladeným na poskytovatele kvalifikovaných důvěryhodných služeb,

návrh by měl stanovit vhodné mechanismy, jejichž pomocí by bylo možné vytvořit rámec pro vzájemnou spolupráci vnitrostátních systémů identifikace.

52.

Evropský inspektor ochrany údajů také vyslovuje následující doporučení týkající se požadavků na poskytování a uznávání elektronických důvěryhodných služeb:

pro všechny elektronické služby je třeba blíže určit, budou-li se zpracovávat osobní údaje, a pokud ano, které údaje nebo kategorie údajů se mají zpracovávat,

nařízení by mělo také zajistit, že nedojde k překrývání kompetencí orgánů dohledu nad elektronickými důvěryhodnými službami a orgánů na ochranu údajů,

povinnosti, které byly uloženy poskytovatelům elektronických důvěryhodných služeb ve vztahu k únikům údajů a bezpečnostním incidentům, by měly být v souladu s požadavky přepracované směrnice o soukromí a elektronických komunikacích a návrhu nařízení o ochraně údajů,

mělo by dojít ke zpřesnění definice soukromého nebo veřejného subjektu, který může jednat jako třetí strana zplnomocněná k provádění auditu podle článků 16 a 17 nebo k ověřování prostředků pro vytváření elektronického podpisu podle článku 23, a také je třeba určit jasnější kritéria pro posuzování nezávislosti těchto subjektů,

nařízení by mělo přesněji určit dobu, po kterou je přípustné uchovávat údaje, jak je uvedeno v čl. 19 odst. 2 a 4 (3).

V Bruselu dne 27. září 2012.

Giovanni BUTTARELLI

zástupce evropského inspektora ochrany údajů


(1)  COM(2012) 238 v konečném znění.

(2)  KOM(2010) 245 ze dne 19. května 2010.

(3)  Podle čl. 19 odst. 2 písm. g) musejí kvalifikovaní poskytovatelé důvěryhodných služeb po náležitou dobu zaznamenávat všechny relevantní informace o údajích, které vydali a přijali. Podle čl. 19 odst. 4 by kvalifikovaní poskytovatelé důvěryhodných služeb měli poskytnout kterékoli spoléhající se straně informace o platnosti nebo o zrušení kvalifikovaných certifikátů, které vydali.


Top