EVROPSKÁ KOMISE

V Bruselu dne 24.7.2019

COM(2019) 372 final

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

o propojení vnitrostátních centralizovaných automatizovaných mechanismů (centrálních registrů nebo centrálních elektronických systémů vyhledávání dat) členských států týkajících se bankovních účtů

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

1.Úvod

Ustanovení čl. 32a směrnice (EU) 2015/849 1 o boji proti praní peněz ukládá členským státům povinnost zavést do 10. září 2020 vnitrostátní centralizované automatizované mechanismy, jako jsou centrální registry nebo centrální elektronické systémy vyhledávání dat, které umožňují identifikaci fyzických nebo právnických osob, které jsou majiteli platebních účtů, bankovních účtů a bezpečnostních schránek nebo nad nimi mají kontrolu. Směrnice o boji proti praní peněz vymezuje minimální soubor informací, které by měly být zahrnuty do těchto centralizovaných mechanismů. Rovněž stanoví, že finanční zpravodajské jednotky by k nim měly mít okamžitý a nefiltrovaný přístup a ostatní příslušné orgány by k nim měly mít přístup také, aby mohly plnit své povinnosti vyplývající ze směrnice o boji proti praní peněz. Směrnice 2019/1153 o usnadnění přístupu k finančním a dalším informacím 2 ukládá členským státům povinnost určit vnitrostátní orgány příslušné pro prevenci, odhalování, vyšetřování či stíhání trestných činů, které by měly mít přímý, okamžitý a plný přístup k minimálnímu souboru informací těchto centralizovaných mechanismů. Mezi tyto příslušné orgány patří přinejmenším úřady pro vyhledávání majetku z trestné činnosti.

Přístup příslušných orgánů k centrálním registrům bankovních účtů nebo systémům vyhledávání dat bude důležitou součástí boje proti praní peněz, souvisejících predikativních trestných činů a financování terorismu, jakož i obecněji boje proti závažným trestným činům. S ohledem na cíle směrnice o boji proti praní peněz a směrnice o usnadnění přístupu k finančním a dalším informacím by budoucí propojení registrů bankovních účtů a systémů vyhledávání dat v celé EU usnadnilo přeshraniční spolupráci příslušných orgánů zapojených do boje proti praní peněz, financování terorismu a dalším závažným trestným činům.

Ustanovení čl. 32a odst. 5 směrnice o boji proti praní peněz vyžaduje, aby Komise posoudila podmínky a technické specifikace a postupy pro zajištění bezpečného a účinného propojení centralizovaných automatizovaných mechanismů. Tato zpráva proto posuzuje různá IT řešení na úrovni EU, která jsou již v provozu nebo se připravují a která mohou sloužit jako vzor pro možné propojení centralizovaných mechanismů. K dosažení vzájemného propojení by byl nutný legislativní nástroj.

Tato zpráva by měla být posuzována ve spojení se zprávou Komise o nadnárodním posouzení rizik 3 , zprávou Komise o finančních zpravodajských jednotkách 4 a zprávou Komise o posouzení nedávných případů údajného praní peněz v evropských úvěrových institucích 5 , které jsou předloženy současně.

2.Aktuální stav

2.1.Centralizované registry nebo elektronické systémy vyhledávání dat na bankovních účtech v členských státech

V současné době 6 fungují centralizované mechanismy obsahující informace o bankovních účtech v 15 členských státech 7 . Z odpovědí členských států vyplývá, že je upřednostňováno technické řešení centrálního registru: 17 členských států má nebo bude mít centrální registry, 9 členských států uvedlo, že mají nebo plánují centrální systémy vyhledávání dat 8 . Také se upřednostňují systémy, které obsahují data navíc k minimálnímu souboru informací týkajících se profilu účtu, jak je stanoveno v čl. 32a odst. 5 páté směrnice o boji proti praní peněz (11 odpovědí oproti 6) 9 .

2.2.Systémy EU propojující vnitrostátní decentralizované elektronické databáze

Existuje několik projektů EU, které zajišťují celoevropské decentralizované propojení vnitrostátních elektronických databází 10 . IT systémy, které jsou pro tuto zprávu považovány za relevantní, jsou tyto:

Evropský informační systém rejstříků trestů (dále jen „ECRIS“) začal fungovat v dubnu 2012 s cílem zlepšit výměnu informací o záznamech v rejstříku trestů v celé EU 11 . Na systém ECRIS jsou v současné době napojeny všechny členské státy. Systém ECRIS zajišťuje výměnu informací o odsouzeních mezi členskými státy jednotným, rychlým a slučitelným způsobem a poskytuje soudcům a státním zástupcům snadný přístup ke komplexním informacím o trestní minulosti dotčených osob 12 .

Evropský informační systém vozidel a řidičských oprávnění (dále jen „EUCARIS“) spojuje země tak, aby mohly sdílet informace o vozidlech a řidičských průkazech a další údaje související s dopravou. EUCARIS je mechanismus, který propojuje registrační orgány vozidel a řidičských oprávnění v Unii a jehož prostřednictvím si národní kontaktní místa členských států mohou vyměňovat informace o majiteli vozidla a pojištění vozidla 13 .

Propojení insolvenčních rejstříků (dále jen „IRI“) v celé EU, které zahrnuje dva různé projekty. První verze systému (IRI 1.0) je dostupná na portálu evropské e-justice 14 od července 2014. Byla vyvinuta jako pilotní projekt 15 s dobrovolnou účastí některých členských států 16 . Druhá verze (IRI 2.0) je založena na nařízení (EU) 2015/848 o insolvenčním řízení a propojí vnitrostátní insolvenční rejstříky všech členských států (s výjimkou Dánska). Do června 2021 by měly všechny členské státy splňovat požadavky na propojení. Systém IRI 1.0 je založen na standardizovaných zprávách zabezpečené internetové služby (SOAP přes HTTPS), zatímco systém IRI 2.0 kromě toho podporuje výměnu dat prostřednictvím stavebního bloku služby eDelivery v rámci Nástroje pro propojení Evropy 17 .

Systém propojení obchodních rejstříků (dále jen „BRIS“) umožňuje obchodním rejstříkům výměnu přeshraničních zpráv o fúzích a pobočkách a uživatelům portálu e-justice získání vícejazyčných informací o společnostech v EU. Systém je v provozu od června 2017 v souladu se směrnicí 2012/17/EU, pokud jde o propojení ústředních, obchodních a podnikových rejstříků 18 . Systém BRIS používá pro výměnu standardizovaných zpráv stavební blok služby eDelivery v rámci Nástroje pro propojení Evropy. Systém je decentralizován a jeho ústřední složka (evropská centrální platforma) uchovává a indexuje názvy společností a registrační čísla.

Propojení katastrů nemovitostí (dále jen „LRI“) je probíhajícím dobrovolným projektem 19 , který v rámci portálu evropské e-justice usiluje o poskytnutí jediného přístupového místa do katastrů nemovitostí zúčastněných zemí EU. Plánuje se, že bude v provozu ve druhém čtvrtletí roku 2020.

Projekt EBOCS („European Beneficial Ownership and Control Structures“) je realizován sdružením European Business Registry Association s finanční podporou Fondu pro vnitřní bezpečnost – policie (roční pracovní programy 2016 a 2018). Platforma EBOCS poskytuje zjednodušený a jednotný přístup k údajům z obchodního rejstříku týkajícím se vlastnictví podniků a kontrolních struktur pro účely finanční analýzy a vyšetřování. Také poskytuje souhrn výsledků vyhledávání pomocí vizualizace na mapě. Je třeba poznamenat, že EU nevlastní práva duševního vlastnictví tohoto systému.

Systém e-CODEX (elektronická komunikace v oblasti e-justice prostřednictvím on-line výměny informací) usnadňuje bezpečnou komunikaci v občanskoprávních a trestních řízeních tím, že poskytuje decentralizovaný systém pro přeshraniční výměnu elektronických zpráv v oblasti justice 20 . Systém e-CODEX v současné době usnadňuje elektronickou komunikaci mezi občany a soudy a mezi správními orgány členských států v rámci řízení evropského platebního rozkazu a evropského řízení o drobných nárocích. V oblasti trestního soudnictví je systém e-CODEX také řešením pro digitální systém výměny elektronických důkazů 21 , pro elektronické výměny v rámci evropského vyšetřovacího příkazu a smluv o vzájemné právní pomoci.

3.Hlavní parametry

3.1.Podmínky pro přístup uživatelů

Při pohledu na stávající systémy je zřejmé, že dostupnost systému pro uživatele, který je v interakci s propojeným informačním systémem, je určena podle účelu, pro který je zřízen. Pokud bylo propojení zřízeno s cílem zvýšit transparentnost informací pro podniky na vnitřním trhu (systémy BRIS, IRI), je systém veřejně přístupný. Pokud je cílem propojení zlepšit přeshraniční spolupráci mezi příslušnými orgány pro účely vymáhání práva nebo veřejné správy, jako je tomu v případě systému ECRIS nebo prümské služby systému EUCARIS 22 , je přístup omezen.

Funkce „najít společnost“ v systému BRIS je všem k dispozici na portálu e-justice, zatímco infrastruktura pro zasílání zpráv je v současné době omezena právními předpisy na vnitrostátní obchodní rejstříky. Pokud jde o systém IRI, jsou informace prostřednictvím rozhraní pro vyhledávání veřejně dostupné a členské státy mohou omezit přístup na žadatele s legitimním zájmem výhradně v souvislosti se „spotřebitelským insolvenčním řízením“. Systém ECRIS je přístupný pouze určeným ústředním orgánům členských států. Obdobně je přístup ke službám systému EUCARIS otevřen veřejným orgánům prostřednictvím určených vnitrostátních kontaktních míst. V případě projektu EBOCS je přístup omezen na zúčastněné agentury pro boj proti trestné činnosti.

Systém	Veřejný přístup	Omezený přístup	Poznámky
BRIS	Ano		Funkce „najít společnost“ v systému BRIS je všem k dispozici na portálu e-justice, zatímco infrastruktura pro zasílání zpráv je v současné době omezena právními předpisy na vnitrostátní obchodní rejstříky.
IRI	Ano
ECRIS		Ano	Pro ústřední orgány členských států, které jsou pro tuto funkci speciálně jmenovány.
EUCARIS		Ano	Pro národní kontaktní místa EUCARIS, jejichž prostřednictvím mohou veřejné orgány získat přístup v závislosti na právním základu spolupráce.
EBOCS		Ano	Pro agentury pro boj proti trestné činnosti zapojené do projektu.
LRI	Ano 23*		Pokročilé funkce budou k dispozici pouze ověřeným právníkům.

Tabulka 1: Dostupnost systému pro uživatele, který funguje v interakci s propojeným informačním systémem

Podle směrnice o boji proti praní peněz je účelem centralizovaných mechanismů bankovních účtů zlepšit boj proti praní peněz a financování terorismu a přístup je omezen na některé veřejné orgány. Směrnice o usnadnění přístupu k finančním a dalším informacím rozšiřuje účel použití informací v centrálních mechanismech na závažnou trestnou činnost a přístupová práva na určené příslušné orgány. A konečně, rozsah působnosti vnitrostátních orgánů, které mají přímý přístup k vnitrostátním rejstříkům, závisí na členských státech provozujících registry. To by mohlo vést k nesouladu, neboť některé druhy orgánů by mohly získat přístup v jednom členském státě, nikoli však v jiném. V případě přeshraniční výměny prostřednictvím celoevropského propojení by mohla vzniknout situace, kdy orgán požádá o informace z rejstříku jiného členského státu, v němž bylo vyhledávání podobnému orgánu odepřeno.

Jednou z možností by mohlo být, že stejné orgány, které budou mít přímý přístup k centralizovaným mechanismům v souladu se směrnicí o boji proti praní peněz a směrnicí o usnadnění přístupu k finančním a dalším informacím, budou mít přístup k platformě pro propojení. Další možností by bylo, aby přístupová práva k systému propojení byla poskytnuta stejným druhům orgánů ve všech členských státech, čehož by mohlo být dosaženo pomocí harmonizovaného a uzavřeného seznamu na úrovni EU, který by obsahoval druhy orgánů určené v souladu s účelem přístupu k informacím.

V případě, že se propojení rozšíří na všechny orgány, kterým je v současné době umožněn přístup podle vnitrostátních právních předpisů, byla by nezbytná podrobná ustanovení o podmínkách přístupu a vyhledávání příslušnými vnitrostátními orgány. V tomto ohledu je důležité zdůraznit, že směrnice o používání finančních informací a dalších informací stanoví přísné podmínky pro přístup k informacím a vyhledávání informací o bankovních účtech, které jsou obsaženy v centralizovaných automatizovaných mechanismech ze strany příslušných orgánů určených na vnitrostátní úrovni. Tyto podmínky zahrnují například poskytování přístupu k registrům a systémům vyhledávání dat pouze konkrétně určeným a oprávněným osobám z každého příslušného orgánu. Dalším opatřením ke zmírnění rizik plynoucích z rozšířených přístupových práv ze strany určených vnitrostátních orgánů by mohlo být omezení rozsahu dostupných informací v systému propojení na minimální soubor informací týkajících se profilu účtu, jak je stanoveno v čl. 32a odst. 3 směrnice o boji proti praní peněz.

Pokud jde o oblast působnosti, čl. 32a odst. 3 směrnice o boji proti praní peněz vymezuje informace, které musí všechny centralizované systémy obsahovat, jako jsou majitel účtu, bankovní účty označené číslem ve formátu IBAN a bezpečnostní schránky vedené u úvěrových institucí na vnitrostátním území. Ustanovení čl. 32a odst. 4 směrnice však stanoví možnost, aby členské státy do registrů zahrnuly další informace, které jsou považovány za nezbytné k tomu, aby finanční zpravodajské jednotky a příslušné orgány mohly plnit své povinnosti podle uvedené směrnice. Z hlediska ochrany osobních údajů se zdá být nezbytné omezit rozsah informací dostupných prostřednictvím platformy pro propojení na minimální povinný soubor informací vymezený v čl. 32a odst. 3 směrnice o boji proti praní peněz. V souladu s pravidly pro ochranu údajů by měl být přístup k osobním údajům přiměřený tomu, co je nezbytné pro dosažení cílů stanovených ve směrnici o boji proti praní peněz. Podobný přístup zaujímá směrnice o používání finančních a dalších informací. Ustanovení čl. 4 odst. 2 této směrnice objasňuje, že dodatečné informace, které členské státy zahrnují do centralizovaných mechanismů, nejsou přístupné příslušným orgánům a tyto orgány je nemohou vyhledávat.

3.2.Funkce vyhledávání

Použitelná kritéria vyhledávání mají klíčový význam pro zajištění toho, aby propojení automatizovaných centralizovaných mechanismů přineslo uživatelům přidanou hodnotu. Kritéria vyhledávání by měla být navržena tak, aby posílila schopnost příslušných orgánů plnit své úkoly a provádět šetření účinněji při zajištění proporcionality a dodržování příslušných požadavků na ochranu údajů.

Je třeba zvážit, kdo bude oprávněn provádět vyhledávání (soukromé subjekty nebo veřejné strany) a u kterých údajů lze nebo nelze očekávat, že je osoba provádějící vyhledávání zná. Uložení požadavku, aby vyhledávání obsahovalo údaje, u nichž je nepravděpodobné, že jsou známy osobě provádějící vyhledávání, může ztížit nebo znemožnit účinné vyhledávání. Rovněž je třeba poznamenat, že existují případy, kdy finanční zpravodajská jednotka nebo donucovací orgán jednoho členského státu nebudou znát datum narození nebo vnitrostátní identifikační číslo občana jiného členského státu. Pokud je propojení těchto dodatečných informací v centralizovaných systémech k dispozici, bude důležité určit, zda bude také možné vyhledávat na základě takových dodatečných informací.

Jako kritéria vyhledávání by mohly posloužit druhy informací, které tvoří harmonizovaný minimální soubor informací v čl. 32a odst. 3 směrnice o boji proti praní peněz. To by vedlo k tomu, že by systém propojení byl vhodný pro původní účely centralizovaných mechanismů. Byly by zapotřebí další záruky umožňující ověření shod (zejména v případech, kdy je výsledkem vyhledávání několik odpovědí).

Podmínky týkající se způsobů vyhledávání jsou rozhodující pro účinnost využívání propojených databází. Možnost spustit „přibližné vyhledávání“ (tzv. fuzzy search), tj. vyhledávání, které přinese širší výsledky i v případě překlepu nebo zadání neúplného slova, rozšíří výsledky shody, čímž se zvýší pravděpodobnost, že požadované informace budou prostřednictvím vyhledávání zpřístupněny; avšak tato možnost může vzbudit obavy týkající se ochrany údajů, neboť by mohlo dojít k odkrytí osobních údajů, jichž se toto vyhledávání vlastně netýká. Naopak požadavek „přesné shody“ zmírňuje rizika zbytečného odkrytí osobních údajů, ale zvýší pravděpodobnost, že požadované informace budou přehlédnuty vyhledávačem (v případě rozdílu ve způsobu psaní záznamu nebo při použití různých pravidel přepisu).

Možnost provádět „přibližné vyhledávání“ by snížila používání automatických postupů validace, čímž by se zabránilo množství chybných shod nebo by se snížil jejich objem, ale také by se snížila operační hodnota systému. V případě „přibližného vyhledávání“ by měly být vzaty v úvahu další nástroje ke zmírnění rizika libovolného shromažďování informací (tzv. fishing), například jako v případě systému IRI, kde je nastaven maximální počet zobrazených výsledků.

3.3.Struktura správy, odpovědnost za údržbu

V případě systémů BRIS, IRI, LRI a ECRIS mají různé útvary Evropské komise odpovědnost za údržbu IT systému, tj. musí zajistit dostupnost propojovací složky a nést náklady na zřízení a údržbu. V současné době je systém e-CODEX spravován konsorciem členských států (služba eDelivery Nástroje pro propojení Evropy spadá do působnosti Evropské komise). Co se týče systému EUCARIS, nese odpovědnost 28 členských států a zúčastněné třetí státy, zatímco systém EBOCS je ve vlastnictví sdružení European Business Registry Association (EBRA). Vzhledem k tomu, že tyto informační systémy propojují vnitrostátní databáze, jsou za údržbu a zajištění dostupnosti těchto databází odpovědny členské státy.

Co se týče struktury správy systému propojujícího databáze, měly by být rozhodovací pravomoci v otázkách politiky a provozu koncipovány tak, aby sloužily zájmům jednotlivých vnitrostátních složek.

Pokud jde o systém BRIS, jeho řídicí výbor jedná coby interní fórum Komise pro rozhodnutí v oblasti politiky, dohledu a řízení systému BRIS, zatímco skupina odborníků na právo obchodních společností – obchodní rejstříky (CLEG-BRIS) působí jako fórum pro spolupráci zúčastněných stran na úrovni politiky. Podobný rozdíl mezi tvorbou politik a provozními strukturami je patrný ve vztahu k systému EUCARIS, v jehož rámci valné shromáždění složené z vysokých zástupců vládních agentur určuje politiku, která má být prováděna, schvaluje rozpočet a roční příspěvky a stanoví opatření pro řízení systému.

3.4.Správa údajů

Odpovědnost za údržbu IT systému se liší od otázky odpovědnosti z hlediska ochrany údajů. Podle obecného nařízení o ochraně osobních údajů 24 je správcem údajů fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účel a prostředky zpracování osobních údajů a nese odpovědnost za zpracování osobních údajů. Otázka správy je složitá a mnoho faktorů má význam pro posouzení správcem, mimo jiné včetně otázky týkající se toho, kdo údaje uchovává a kde.

Pokud jde o systém IRI, propojuje platforma EU pouze decentralizované vnitrostátní databáze a všechny údaje zobrazené v centrální platformě jsou pouze „přechodné údaje“; tyto údaje nejsou uloženy v rámci složky EU, stejně tak nejsou nahrávány nebo uchovávány v centru ani protokoly dotazů, které uživatelé zadávají prostřednictvím internetové služby. Situace je poněkud odlišná, pokud jde o systém BRIS, který zavedl zvláštní prvek uchovávání základních údajů o podnicích v ústřední složce na úrovni Komise, které vnitrostátní registry pravidelně aktualizují. Počáteční dotaz je spuštěn v centrální databázi a výsledkem je seznam shod s názvy subjektů. Žadatel může získat podrobné údaje o konkrétním subjektu tím, že ze seznamu shod vybere jméno tohoto subjektu, což vede k přímému propojení s informacemi ve vnitrostátní databázi.

Pokud jde o možné propojení centralizovaných mechanismů, mělo by se zvážit vytvoření informačního systému, ve kterém centrální komponent pro směrování neuchovává žádné osobní údaje a veškerá rozhodnutí o prostředcích a účelech zpracování údajů se přijímají na vnitrostátní úrovni. Cílem služby propojení by jednoduše bylo usnadnit zpracování údajů jménem centralizovaných mechanismů, které by zůstaly správcem svých příslušných souborů údajů.

3.5.Náklady na zřízení a údržbu

Vytvoření systému, který propojí vnitrostátní centrální mechanismy, vyvolá náklady jak z hlediska zřízení, tak z hlediska údržby systému, přičemž náklady by měly být rozděleny mezi EU a její členské státy. Při pohledu na sdílení nákladů v modelových příkladech byly náklady týkající se složky EU (centrální komponent pro směrování, platforma EU) zpravidla financovány ze souhrnného rozpočtu EU, zatímco členské státy nesly náklady potřebné k úpravě svých vnitrostátních systémů tak, aby byly interoperabilní se systémem propojení EU. V případě BRIS vyžadoval vývoj první verze, která byla spuštěna v červnu 2017 a zahrnovala evropskou centrální platformu, přibližně 1,7 milionu EUR. Pokud jde o systém IRI, který má jednodušší architekturu, náklady na vývoj pilotního systému pro centrální vyhledávání (IRI 1.0) činily přibližně 280 000 EUR, zatímco úprava centrální vyhledávací aplikace týkající se zřízení systému IRI 2.0 bude stát přibližně 170 000 EUR. Pokud jde o systém ECRIS, dosáhly celkové náklady na zavedení „referenčního provedení“, což je software pro výměnu údajů týkajících se rejstříků trestů mezi členskými státy, 2 050 000 EUR. Roční náklady na údržbu systému činily 150 000 EUR. Pokud jde o systém EUCARIS, je od každého zúčastněného státu pro účely údržby požadován obecný poplatek ve výši přibližně 20 000 EUR.

Z výše uvedených údajů vyplývá, že náklady na zřízení a údržbu systému propojení v celé EU jsou ve srovnání s výhodami, které takový projekt EU přináší, relativně nízké. Nákladovou efektivnost by bylo možné zlepšit opětovným využitím stávajících kapacit (jako jsou přístupové body služby eDelivery, stavební bloky Nástroje pro propojení Evropy, základní slovníky Generálního ředitelství Evropské komise pro informatiku atd.).

4.Technické specifikace systémů, včetně zabezpečení údajů

4.1.Používaná síť a zabezpečení údajů

Prümská služba systému EUCARIS a ECRIS používá transevropskou službu pro telematiku mezi správními orgány (TESTA), což je soukromá síť, která je zcela oddělena od veřejného internetu. K této soukromé síti mají přístup určená vnitrostátní kontaktní místa. Síťová služba TESTA je provozována Komisí a poskytuje zaručenou výkonnost a vysokou úroveň bezpečnosti. Co se týče systému EUCARIS, je možné jej použít prostřednictvím veřejného internetu, ale v současné době se nepoužívá. Tento systém je spojen se všemi institucemi EU a s vnitrostátními sítěmi a je upřednostňován v souvislosti se spoluprací v oblasti vymáhání práva, která zahrnuje citlivé informace. Instituce EU rovněž vyvinuly další zabezpečené sítě, například společnou komunikační síť a společné systémové rozhraní (CCN/CSI), které se používají v oblasti celní politiky a daní.

Systémy BRIS, IRI, LRI a EBOCS používají veřejný internet (s příslušnou šifrovací technologií pro přenos dat přes internet). Pokud jde o bezpečnou výměnu informací přes veřejný internet, stavební blok služby eDelivery umožňuje podnikům a orgánům veřejné správy výměnu elektronických údajů a dokumentů v digitálním formátu s jinými organizacemi interoperabilním, bezpečným, spolehlivým a důvěryhodným způsobem. To je v souladu s definicí služeb elektronického doporučeného doručování (tzv. ERDS) podle čl. 3 odst. 36 nařízení eIDAS 25 .

Pro možné propojení centralizovaných systémů, které pravděpodobně zahrnuje citlivé informace, by se mohlo uvažovat o používání sítě TESTA. Nicméně by se mohla zvážit i veřejná internetová řešení. Téměř všechny vnitrostátní centralizované systémy používají veřejný internet. Z hlediska zabezpečení a integrity údajů skutečnost, že systém bude sestávat z decentralizovaných databází, zmírní možná rizika, neboť decentralizace a distribuované technologie jsou samy o sobě odolnější vůči kybernetickým útokům, jelikož je mnohem obtížnější údaje v obecném měřítku poškodit a mnohem jednodušší je po incidentech obnovit.

4.2.Centrální komponent pro směrování

Existují dva hlavní typy architektury systémů IT, tj. čistě decentralizované systémy a systémy, které mají centrální platformu nebo komponent pro směrování používaný na úrovni EU, který slouží jako „konektor“ mezi decentralizovanými vnitrostátními databázemi.

V „čistě distribuovaných systémech“ neexistuje žádná platforma EU nebo komponent, ale všechny země spolu navzájem komunikují přímo za pomoci společně dohodnutých norem, které umožňují přímé vzájemné výměny mezi propojenými místy členských států. Je-li tedy zahájeno vyhledávání, je toto odesláno jednotlivě do všech dalších vnitrostátních systémů a obdržené odpovědi jsou shromážděny a zobrazeny prostřednictvím rozhraní webového klienta žadatele. Systémy EUCARIS, ECRIS a e-CODEX zavádějí tuto technologii (na základě společně vyvinuté aplikace).

V „distribuovaných systémech s centrálním komponentem pro směrování“ existuje centralizovaná platforma na úrovni EU: jednotná centrální internetová služba, která je spravována a provozována na úrovni EU a která je propojena se všemi vnitrostátními systémy. Uživatelé provádějí vyhledávání prostřednictvím centrální internetové služby, která shromažďuje informace z vnitrostátních databází. Systémy BRIS, EBOCS a IRI používají tuto technologii 26 .

Z hlediska propojení by mohlo být jednodušší zavést řešení s centrálním komponentem pro směrování. Tam, kde existuje jediná platforma, musí každý členský stát zřídit a udržovat pouze jedno spojení mezi vnitrostátním systémem a touto centralizovanou platformou. Pokud však neexistuje „skutečná“ centralizovaná platforma, bude muset každý členský stát vytvořit, otestovat a udržovat spojení se všemi ostatními vnitrostátními systémy členských států (např. prümská služba systému EUCARIS v současné době čítá na téměř 756 spojení). Čistě distribuovaný systém musí řešit otázku násobného počtu spojení, což může vést k více problémům, pokud jde o řízení, kontrolu a audit. Existují však technologická řešení problému řízení velkého počtu možných spojení. Zároveň by měla být náležitě vzata v úvahu ta skutečnost, že se centrální komponent může v centrálním systému směrování stát jediným bodem selhání pro celý systém.

4.3.Protokol pro výměnu údajů

Systémy BRIS a e-CODEX využívají řešení eDelivery Nástroje pro propojení Evropy, zatímco systém IRI 2.0 bude používat jak eDelivery Nástroje pro propojení Evropy, tak komunikační protokol SOAP 27 . Prümská služba systému EUCARIS a systém EBOCS využívají rozhraní SOAP. Systém LRI používá webové služby RESTful 28 .

Stavební blok služby eDelivery Nástroje pro propojení Evropy pomáhá uživatelům vyměňovat si mezi sebou elektronické údaje bezpečným, spolehlivým a důvěryhodným způsobem. Řešení eDelivery Nástroje pro propojení Evropy je založeno na distribuovaném modelu nazvaném „čtyřrohový model“, v němž si záložní systémy uživatelů vzájemně nevyměňují údaje přímo mezi sebou, ale prostřednictvím přístupových míst. Tato přístupová místa jsou v souladu se stejnými technickými specifikacemi, a proto mohou vzájemně komunikovat. Dalším přínosem služby eDelivery je zajištění bezpečnosti údajů vyměňovaných mezi různými přístupovými místy bez potřeby individualizovaného vývoje. V důsledku toho mohou uživatelé, kteří používají službu eDelivery Nástroje pro propojení Evropy, snadno a bezpečně vyměňovat údaje, i když jejich informační systémy byly vyvinuty nezávisle na sobě. Model eDelivery je velmi užitečný pro propojení s více záložními systémy, díky čemuž mohou být různé funkce namísto toho centralizovány. Při používání tohoto technologického řešení by členské státy (a nepovinně i Komise v případě centrálního komponentu pro směrování) musely na své úrovni zavést vstupní bránu eDelivery. Členské státy mohou opětovně využít své stávající brány vyvinuté pro jiné služby (což přispívá k nákladové efektivnosti řešení). Existuje kompatibilní softwarové řešení vyvinuté Generálním ředitelstvím pro informatiku Evropské komise a poskytované bezplatně na základě veřejné licence Evropské unie (EUPL). Některé úpravy a vývoj jsou však obvykle vyžadovány. Model eDelivery se řídí asynchronní komunikací, která implicitně způsobuje určité zpoždění ve výkonnosti (obvykle 3 až 10 sekund). Existuje obecná politika EU, pokud jde o stavební bloky Nástroje pro propojení Evropy, jejichž cílem je sbližování různých systémů vyvinutých v rámci různých oblastí politiky EU.

Tam, kde se používá synchronní SOAP umožňující komunikaci prostřednictvím zabezpečené vrstvy, se nejčastěji volí jednodušší architektura s cílem dosáhnout co nejlepší výkonnosti. Architektonický styl RESTful představuje v porovnání se SOAP novější řešení, a proto se objevuje tendence nahrazovat SOAP technologií REST. U přístupů založených na službě eDelivery a SOAP nebo technologii REST je důvěryhodnost obvykle podložena elektronickým certifikátem, přičemž se provádějí různé kontroly.

Co se týče budoucího propojení centralizovaných mechanismů, je důležité poznamenat, že služba eDelivery Nástroje pro propojení Evropy se používá v případech, kdy probíhají dvoustranné výměny mezi decentralizovanými vnitrostátními databázemi, zatímco v systémech, kde komunikace probíhá pouze ve vztahu k vnitrostátní databázi a centrální platformě, je rozhraní SOAP (nebo RESTful) dostačující.

4.4.Práce v mnohojazyčném prostředí a sémantická interoperabilita

Všechny posuzované systémy fungují v mnohojazyčném prostředí, kromě systému EBOCS, který v současnosti funguje ve třech jazycích a v dlouhodobém horizontu se plánuje zavést ho ve všech jazycích. V systému BRIS se provádí transliterace na úrovni EU, zatímco u systémů IRI, LRI a EUCARIS na vnitrostátní úrovni. Co se týče sémantické interoperability (glosáře), nevyžaduje budoucí propojení centralizovaných mechanismů specifický slovník, neboť minimální soubor informací sestává nikoli z vnitrostátních pojmů, ale z osobních údajů, jako jsou jméno, jedinečný identifikátor (např. čísla vnitrostátních průkazů totožnosti) a číslo IBAN. Zásadní význam má obecná shoda ve všech vnitrostátních systémech, zejména proto, že vnitrostátní centralizované mechanismy neobsahují informace o subjektech EU a třetích zemí. Jako užitečný příklad by mohla v této souvislosti posloužit pravidla transliterace Schengenského informačního systému (SIS).

Podle Evropského rámce interoperability (EIF) se sémantický aspekt týká významu datových prvků a jejich vzájemných vztahů. Zahrnuje vývoj slovníků a schémat pro popis výměny dat a zajišťuje, aby datové prvky byly chápány stejným způsobem všemi komunikujícími stranami.

Systém pro propojení bankovních rejstříků bude vyžadovat výměnu údajů mezi různými databázemi, přičemž každá má vlastní datové modely a sémantické standardy. Bude třeba zavést společné sémantické standardy, a to buď v systémech, nebo jako mapovací vrstvu mezi různými standardy v členských státech. Před vytvořením jakýchkoli nových sémantických standardů je však třeba zvážit opětovné použití již existujících standardů.

Základní slovníky (podnik, místo, osoba a také další) vytvořené programem ISA2 jsou zjednodušené, opětovně použitelné a rozšiřitelné datové modely, které lze pro tento účel použít. Různá řešení pro propojení základních registrů, jako je systém BRIS, již některé standardy opětovně používají (například základní podnikový slovník (Core Business Vocabulary)).

5.Další kroky

Tato zpráva stanoví řadu prvků, které je v souvislosti s možným propojením registrů bankovních účtů a systémů vyhledávání dat třeba vzít v úvahu, a dokládá, že propojení těchto centralizovaných mechanismů je technicky proveditelné. Takovým systémem by případně mohl být decentralizovaný systém se společnou platformou na úrovni EU. Mohla by být použita technologie, kterou Evropská komise v souvislosti s různými analyzovanými modely již vyvinula.

Během posledních let využívaly jednotlivé systémy opětovné použití společných stavebních bloků. Tyto stavební bloky jsou v zásadě souborem všeobecně známých standardů a technických specifikací, které lze použít v případě opakujících se výzev, mezi které patří např. bezpečná výměna informací. Přístup založený na důsledném využívání těchto stavebních bloků je prosazovaný současnou digitální politikou Komise, k níž se členské státy zavázaly v Tallinském prohlášení o elektronické veřejné správě 29 . Budoucí propojení vnitrostátních centralizovaných automatizovaných mechanismů by mohlo využít stejné stavební bloky, aby došlo k rychlejšímu vytvoření tohoto propojení a sladění s příslušnými nařízeními EU, jako je nařízení eIDAS.

Vzhledem k tomu, že by budoucí propojení centralizovaných mechanismů v celé EU urychlilo přístup k finančním informacím a usnadnilo přeshraniční spolupráci příslušných orgánů, má Komise v úmyslu dále konzultovat příslušné zúčastněné strany, vlády i finanční zpravodajské jednotky, donucovací orgány a úřady pro vyhledávání majetku z trestné činnosti jako potenciální „koncové uživatele“ možného systému propojení.

(1)

Směrnice Evropského parlamentu a Rady (EU) 2015/849 ze dne 20. května 2015 o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady 2005/60/ES a směrnice Komise 2006/70/ES (Úř. věst. L 0849, 9.7.2018, s. 1).

(2)

Směrnice Evropského parlamentu a Rady (EU) 2019/1153 ze dne 20. června 2019 o stanovení pravidel usnadňujících používání finančních a dalších informací k prevenci, odhalování, vyšetřování či stíhání určitých trestných činů (Úř. věst. L186, 11.7.2019, s. 122).

(3)

Zpráva Komise Evropskému parlamentu a Radě o posouzení rizik praní peněz a financování terorismu, která mají dopad na vnitřní trh a souvisejí s přeshraničními činnostmi (COM (2019) 370).

(4)

Zpráva Komise Evropskému parlamentu a Radě o posouzení rámce spolupráce mezi finančními zpravodajskými jednotkami (COM (2019) 371).

(5)

Zpráva Komise Evropskému parlamentu a Radě o posouzení nedávných případů údajného praní peněz, do nichž jsou zapojeny úvěrového instituce EU (COM (2019) 373).

(6)

Informace v tomto oddíle vycházejí z odpovědí členských států na specializovaný dotazník, který jim byl zaslán v březnu 2019, z informací, které Komise obdržela na semináři o provedení ve vnitrostátním právu ze dne 1. dubna 2019, a z přílohy 7 posouzení dopadů připojeném k návrhu směrnice Evropského parlamentu a Rady o stanovení pravidel usnadňujících používání finančních a dalších informací k prevenci, odhalování, vyšetřování či stíhání určitých trestných činů a o zrušení rozhodnutí Rady 2000/642/SVV (SWD (2018) 114 final).

(7)

Belgie, Bulharsko, Česko, Německo, Řecko, Španělsko, Francie, Chorvatsko, Itálie, Lotyšsko, Litva, Rakousko, Portugalsko, Rumunsko, Slovinsko. Slovensko má zaveden centralizovaný elektronický systém vyhledávání dat, který je však v současné době přístupný pouze soudním úředníkům.

(8)

Finsko se přiklání k oběma možnostem, protože se chystá zavést systém, který používá obě řešení. Centrální registr shromažďuje a obsahuje příslušné informace v jedné centrální databázi, zatímco centrální elektronický systém vyhledávání dat se skládá z ústředního informačního portálu a získává informace z různých podkladových databází (udržovaných např. finančními institucemi).

(9)

Z odpovědí poskytnutých členskými státy vyplývá, že tyto dodatečné informace mohou zahrnovat informace o finančních smlouvách uzavřených majitelem účtu nebo o transakcích provedených v souvislosti s účtem.

(10)

Centralizované IT systémy s jednotnými databázemi na úrovni EU, jako je Schengenský informační systém nebo Vízový informační systém, jsou z posouzení vyloučeny, neboť tyto systémy jsou neslučitelné s předchozí existencí centralizovaných databází na vnitrostátní úrovni.

(11)

Rámcové rozhodnutí Rady 2009/315/SVV ze dne 26. února 2009 o organizaci a obsahu výměny informací z rejstříku trestů mezi členskými státy a rozhodnutí Rady 2009/316/SVV ze dne 6. dubna 2009 o zřízení Evropského informačního systému rejstříků trestů (ECRIS) podle článku 11 rámcového rozhodnutí 2009/315/SVV – v současné době pozměněné směrnicí Evropského parlamentu a Rady (EU) 2019/884 ze dne 17. dubna 2019, pokud jde o výměnu informací o státních příslušnících třetích zemí a o Evropský informační systém rejstříků trestů (ECRIS).

(12)

V dubnu 2019 byl přijat nový legislativní rámec s cílem doplnit systém ECRIS o mechanismus umožňující účinnou výměnu informací z rejstříků trestů týkajících se státních příslušníků třetích zemí odsouzených na území EU. Evropský informační systém rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN) bude centralizovaný systém vyhledávání shody obsahující pouze informace o totožnosti odsouzených státních příslušníků třetích zemí a údaj o členském státu, v němž byli dříve odsouzeni. Po nalezení shody bude žádající členský stát muset požádat o informace týkající se odsouzení prostřednictvím existujícího systému ECRIS z členského státu (nebo států), který byl uveden systémem ECRIS-TCN.

(13)

Právním základem pro prümskou službu je rozhodnutí Rady 2008/615/SVV ze dne 23. června 2008 o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti a rozhodnutí Rady 2008/616/SVV o provádění rozhodnutí 2008/615/SVV.

(14)

https://beta.e-justice.europa.eu/246/CS/bankruptcy_amp_insolvency_registers__search_for_insolvent_firms_in_the_eu

(15)

Pilotní projekt byl realizován na základě těchto plánů a dále proveden s ohledem na ně: víceletý akční plán v oblasti evropské e-justice na období let 2009–2013 (Úř. věst. C 75, 31.3.2009, s. 1) a víceletý akční plán v oblasti evropské e-justice na období let 2014–2018 (Úř. věst. C 182, 14.6.2014, s. 2).

(16)

V současné době se účastní Česko, Německo, Estonsko, Itálie, Lotyšsko, Nizozemsko, Rakousko, Rumunsko a Slovinsko.

(17)

https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery

(18)

Směrnice Evropského parlamentu a Rady 2012/17/EU ze dne 13. června 2012, kterou se mění směrnice Rady 89/666/EHS a směrnice Evropského parlamentu a Rady 2005/56/ES a 2009/101/ES, pokud jde o propojení ústředních, obchodních a podnikových rejstříků (Úř. věst. L 156, 16.6.2012).

(19)

Pro propojení neexistuje žádný právní základ, propojení funguje jako dobrovolný systém, do něhož se členské státy mohou zapojit.

(20)

Systém e-CODEX sestává z balíčku softwarových produktů (eDelivery Nástroje pro propojení Evropy a konektoru projektu e-CODEX), které lze použít k vytvoření přístupového místa na vnitrostátní úrovni pro účely takové zabezpečené komunikace. Nejedná se o systém propojující vnitrostátní databáze nebo rejstříky, ale o komunikační infrastrukturu, která zajišťuje bezpečnou komunikaci a výměnu informací mezi vnitrostátními informačními systémy a jako taková je považována za relevantní pro posouzení v této zprávě. Systém e-CODEX byl mezi lety 2010 a 2016 vyvinut 21 členskými státy za účasti dalších zemí/území a organizací.

(21)

V návaznosti na závěry Rady ze dne 9. června 2016 týkající se zlepšení trestního soudnictví v kyberprostoru.

(22)

Přístup k systému EUCARIS má několik orgánů, prümská služba systému EUCARIS však upravuje přístup ze strany donucovacích orgánů.

(23)

* Ještě není v provozu.

(24)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016).

(25)

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73).

(26)

K centrálnímu komponentu existují alternativy. Například služba Service Metadata Publisher (SMP) spadající pod eDelivery Nástroje pro propojení Evropy umožňuje účastníkům komunikační infrastruktury dynamicky se navzájem seznámit se svými kapacitami (právní, organizační a technické). Každý účastník musí mít z důvodu této distribuované architektury jedinečné identifikační číslo. Centrální komponent s názvem Service Metadata Locator (SML) používá tyto identifikátory k vytvoření adres URL, které po vyřešení nasměrují přístupové body eDelivery ke konkrétním informacím o účastníkovi.

(27)

Simple Object Access Protocol (jednoduchý přístupový protokol objektů).

(28)

Representational State Transfer je softwarový architektonický styl, který definuje soubor omezení, která se použijí pro vytváření internetových služeb.

(29)

Všechny členské státy Evropské unie a země ESVO podepsaly prohlášení o elektronické veřejné správě dne 6. října 2017 v Tallinu. Text prohlášení je k dispozici na adrese http://ec.europa.eu/newsroom/document.cfm?doc_id=47559