EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019R1799

Kommissionens gennemførelsesforordning (EU) 2019/1799 af 22. oktober 2019 om fastsættelse af tekniske specifikationer for individuelle onlineindsamlingssystemer i henhold til Europa-Parlamentets og Rådets forordning (EU) 2019/788 om det europæiske borgerinitiativ

C/2019/7454

OJ L 274, 28.10.2019, p. 3–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg_impl/2019/1799/oj

28.10.2019   

DA

Den Europæiske Unions Tidende

L 274/3


KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2019/1799

af 22. oktober 2019

om fastsættelse af tekniske specifikationer for individuelle onlineindsamlingssystemer i henhold til Europa-Parlamentets og Rådets forordning (EU) 2019/788 om det europæiske borgerinitiativ

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2019/788 af 17. april 2019 om det europæiske borgerinitiativ (1), særlig artikel 11, stk. 5, og

ud fra følgende betragtninger:

(1)

Forordning (EU) 2019/788 fastsætter reviderede regler for det europæiske borgerinitiativ og ophæver Europa-Parlamentets og Rådets forordning (EU) nr. 211/2011 (2).

(2)

I forordning (EU) 2019/788 fastsættes det, at initiativtagerne ved onlineindsamling af støttetilkendegivelser til registrerede borgerinitiativer skal gøre brug af det centrale onlineindsamlingssystem, der oprettes og drives af Kommissionen. For at lette overgangen for initiativer, der registreres i henhold til forordning (EU) 2019/788 inden udgangen af 2022, kan initiativtagerne vælge at anvende deres egne individuelle onlineindsamlingssystemer.

(3)

I henhold til forordning (EU) 2019/788 bør et individuelt system, der anvendes til onlineindsamling af støttetilkendegivelser, have tilstrækkelige tekniske og sikkerhedsmæssige egenskaber for at kunne sikre, at oplysningerne indsamles, lagres og overføres sikkert gennem hele indsamlingsperioden. Kommissionen bør sammen med medlemsstaterne fastlægge de tekniske specifikationer til gennemførelse af kravene til individuelle onlineindsamlingssystemer.

(4)

De regler, der er fastsat i denne forordning, erstatter reglerne i Kommissionens gennemførelsesforordning (EU) nr. 1179/2011 (3), som derfor bliver forældede.

(5)

De tekniske og organisatoriske foranstaltninger, der skal gennemføres, bør både i forbindelse med udformningen af systemet og gennem hele indsamlingsperioden sigte mod at forhindre enhver uautoriseret behandling af personoplysninger og beskytte disse oplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring og uautoriseret videregivelse eller adgang.

(6)

Med henblik herpå bør initiativtagerne anvende passende risikostyringsprocedurer til at identificere risici med hensyn til deres systemer og fastlægge passende og forholdsmæssige modforanstaltninger til at mindske disse risici til et acceptabelt niveau. Initiativtagerne bør i tilstrækkelig grad dokumentere de identificerede sikkerheds- og databeskyttelsesrisici og de foranstaltninger, der er truffet for at imødegå disse risici, under hensyntagen til de sikkerhedsregler og -krav, der anvendes af den attesterende myndighed. Sikkerhedsreglerne og -kravene bør være i overensstemmelse med forordning (EU) 2019/788, og den attesterende myndighed bør på anmodning sørge for deres tilgængelighed.

(7)

Gennemførelsen af de tekniske specifikationer, der er fastsat i denne forordning, bør ikke berøre initiativtagernes pligt til at overholde de databeskyttelseskrav, der følger af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4), herunder det eventuelle behov for en konsekvensanalyse vedrørende databeskyttelse.

(8)

Repræsentanten for en initiativtagergruppe eller i givet fald for en retlig enhed, jf. artikel 5, stk. 7, i forordning (EU) 2019/788, betragtes som dataansvarlig i henhold til forordning (EU) 2016/679 i forbindelse med behandling af personoplysninger i et individuelt onlineindsamlingssystem.

(9)

Initiativtagere, der foretager ændringer i deres individuelle onlineindsamlingssystem efter dets attestering, bør uden ugrundet ophold underrette den relevante attesterende myndighed herom, hvis ændringen kan påvirke den vurdering, der ligger til grund for attesteringen. Inden de gør dette, kan initiativtagerne søge rådgivning hos den attesterende myndighed for at få bekræftet, om ændringen kan have en sådan virkning, og der derfor bør gives underretning om den.

(10)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (5) og fremsatte bemærkninger den 16. september 2019. ENISA er blevet hørt og fremsatte bemærkninger den 18. juli 2019.

(11)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 22 i forordning (EU) 2019/788 —

VEDTAGET DENNE FORORDNING:

Artikel 1

De tekniske specifikationer, der er omhandlet i artikel 11, stk. 5, i forordning (EU) 2019/788, fastlægges som angivet i bilaget til nærværende forordning.

Artikel 2

1.   Initiativtagerne skal sikre, at deres individuelle onlineindsamlingssystemer er i overensstemmelse med de tekniske specifikationer i bilaget i hele indsamlingsperioden.

2.   Initiativtagerne underretter uden ugrundet ophold den kompetente myndighed i den medlemsstat, der er omhandlet i artikel 11, stk. 3, i forordning (EU) 2019/788, om ændringer, der foretages i systemet eller i understøttende organisatoriske foranstaltninger, efter at systemet er attesteret af denne myndighed, når disse ændringer kan påvirke den vurdering, der ligger til grund for attesteringen. Inden de gør dette, kan initiativtagerne hos den kompetente myndighed søge rådgivning om, hvorvidt ændringen kan have en sådan indvirkning.

Artikel 3

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 1. januar 2020.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 22. oktober 2019.

På Kommissionens vegne

Formand

Jean-Claude JUNCKER


(1)  EUT L 130 af 17.5.2019, s. 55.

(2)  Europa-Parlamentets og Rådets forordning (EU) nr. 211/2011 af 16. februar 2011 om borgerinitiativer (EUT L 65 af 11.3.2011, s. 1).

(3)  Kommissionens gennemførelsesforordning (EU) nr. 1179/2011 af 17. november 2011 om fastsættelse af tekniske specifikationer for onlineindsamlingssystemer i henhold til Europa-Parlamentets og Rådets forordning (EU) nr. 211/2011 om borgerinitiativer (EUT L 301 af 18.11.2011, s. 3).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(5)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).


BILAG

1.   Tekniske specifikationer til gennemførelse af artikel 11, stk. 4, litra a), i forordning (EU) 2019/788

Systemet skal omfatte tekniske foranstaltninger til at sikre, at kun fysiske personer kan indgive støttetilkendegivelser. De tekniske foranstaltninger må ikke kræve, at der indsamles og opbevares flere personoplysninger end dem, der er angivet i bilag III til forordning (EU) 2019/788.

2.   Tekniske specifikationer til gennemførelse af artikel 11, stk. 4, litra b), i forordning (EU) 2019/788

Initiativtagerne skal indføre tilstrækkelige og effektive tekniske og organisatoriske foranstaltninger til at styre risiciene med hensyn til sikkerheden i de net- og informationssystemer, som de anvender i forbindelse med deres aktiviteter, med henblik på at sikre, at de oplysninger, der gives om initiativet i onlineindsamlingssystemet og vises online for offentligheden, svarer til de oplysninger, der er offentliggjort om initiativet i det register, der er omhandlet i artikel 6, stk. 5, i forordning (EU) 2019/788.

Initiativtagerne skal sikre:

a)

at oplysningerne om initiativet i onlineindsamlingssystemet svarer til de oplysninger, der offentliggøres i registret

b)

at de oplysninger om initiativet, der er offentliggjort i registret, vises i systemet, inden borgeren indgiver støttetilkendegivelsen

c)

at der er truffet sikkerhedsforanstaltninger til at sikre, at dataindtastningsfelterne i støttetilkendegivelserne vises sammen med oplysningerne om initiativet for at forebygge risikoen for, at støttetilkendegivelser indgives vedrørende et andet initiativ gennem en misvisende fremstilling af initiativet

d)

at systemet sikrer, at oplysningerne i støttetilkendegivelserne efter indgivelsen gemmes sammen med oplysningerne om initiativet

e)

at der er indført sikkerhedsforanstaltninger, der forhindrer uautoriserede ændringer af oplysningerne om initiativet i onlineindsamlingssystemet.

3.   Tekniske specifikationer til gennemførelse af artikel 11, stk. 4, litra c), i forordning (EU) 2019/788

Systemet skal sikre, at støttetilkendegivelserne indgives i overensstemmelse med datafelterne i bilag III til forordning (EU) 2019/788.

Systemet skal sikre, at en person kun kan indgive en støttetilkendegivelse efter at have bekræftet, at vedkommende har læst databeskyttelseserklæringen i bilag III til forordning (EU) 2019/788.

4.   Tekniske specifikationer til gennemførelse af artikel 11, stk. 4, litra d), i forordning (EU) 2019/788

4.1.   Forvaltning

4.1.1.

Initiativtagergruppen udpeger en sikkerhedsansvarlig, der er ansvarlig for systemets sikkerhed og den sikre fremsendelse af de indsamlede støttetilkendegivelser til den kompetente myndighed i den ansvarlige medlemsstat. Den sikkerhedsansvarlige fører tilsyn med informationssikringsprocesserne og de tekniske og organisatoriske sikkerhedsforanstaltninger, der er truffet for at sikre sikker indsamling, lagring og overførsel af de oplysninger, underskriverne har angivet.

4.1.2.

Initiativtagerne kan anmode den nationale kompetente myndighed, der er omhandlet i artikel 11, stk. 3, i forordning (EU) 2019/788, om at sørge for tilgængeligheden af de sikkerhedsregler og -krav, der gælder for attestering af individuelle onlineindsamlingssystemer. Den kompetente myndighed sørger som hovedregel for tilgængeligheden af sikkerhedsregler og -krav senest en måned efter modtagelsen af anmodningen. De anvendte sikkerhedsregler og -krav skal være i overensstemmelse med eksisterende relevante nationale eller internationale sikkerhedsstandarder.

4.1.3.

Sikkerhedsreglerne og -kravene vedrørende attesteringen af systemet skal omhandle de risici, der er defineret i afsnit 4.2, og tage hensyn til specifikationerne i afsnit 4.3.

4.2.   Informationssikring

4.2.1.

Initiativtagerne skal anvende risikostyringsprocedurer til at identificere de risici, der er forbundet med anvendelsen af deres systemer, herunder for underskrivernes rettigheder og frihedsrettigheder, og til at fastlægge passende og forholdsmæssige foranstaltninger til at forebygge og begrænse virkningerne af hændelser, der påvirker sikkerheden i de net- og informationssystemer, de anvender i deres aktiviteter.

Risikostyringsprocedurerne skal navnlig fokusere på de risici, der er forbundet med fortroligheden og integriteten af oplysningerne i systemet. Disse risici kan skyldes trusler, herunder:

a)

brugerfejl

b)

fejl begået af system- eller sikkerhedsadministratorer

c)

konfigurationsfejl

d)

malware-infektion

e)

utilsigtet ændring af oplysninger

f)

videregivelse eller lækage af oplysninger

g)

sårbarhed i software

h)

uautoriseret adgang

i)

aflytning af trafik

j)

databeskyttelsesrisici

4.2.2.

Initiativtagerne skal fremlægge dokumentation for, at de:

a)

har vurderet systemets risici

b)

har fastlagt passende foranstaltninger til at forebygge og begrænse virkningerne af hændelser, der påvirker systemets sikkerhed

c)

har identificeret residualrisiciene

d)

har gennemført foranstaltningerne og kontrolleret deres gennemførelse

e)

har tilvejebragt organisatoriske redskaber til at modtage informationer om nye trusler og sikkerhedsforbedringer

f)

under hele indsamlingsprocessen overholder de attesteringskrav, der er fastsat i artikel 11, stk. 4, i forordning (EU) 2019/788, herunder at de indfører de nødvendige procedurer for at sikre dette.

4.2.3.

Foranstaltningerne til at forebygge og begrænse af virkningerne af hændelser, der berører sikkerheden i systemerne, skal omfatte følgende områder:

a)

personalesikkerhed

b)

adgangskontrol

c)

kryptografisk kontrol

d)

fysisk og miljømæssig sikkerhed

e)

driftssikkerhed

f)

kommunikationssikkerhed

g)

indkøb, udvikling og vedligeholdelse af systemer

h)

håndtering af IT-sikkerhedshændelser

i)

overholdelse af regler.

Anvendelsen af disse sikkerhedsforanstaltninger kan begrænses til de dele af organisationen, der er relevante for onlineindsamlingssystemet. For eksempel kan personalesikkerheden begrænses til personale, der har fysisk eller logisk adgang til onlineindsamlingssystemet, og den fysiske/miljømæssige sikkerhed kan begrænses til den eller de bygninger, der hoster systemet.

4.2.4.

Hvis initiativtagerne gør brug af en databehandler med henblik på udvikling eller udrulning af onlineindsamlingssystemet eller dele deraf, skal initiativtagerne fremlægge dokumentation, der gør det muligt for den attesterende myndighed at fastslå, at sikkerhedskontrollen er tilstrækkelig.

4.3.   Kryptering af data

Systemet skal sikre følgende kryptering af data:

a)

personoplysninger i elektronisk format skal krypteres ved lagring eller overførsel til de kompetente myndigheder i medlemsstaterne i overensstemmelse med forordning (EU) 2019/788, og forvaltning og back up af nøglerne skal finde sted separat

b)

tilstrækkelige standardalgoritmer og nøgler skal anvendes i overensstemmelse med internationale standarder (f.eks. ETSI-standarden). Der skal foreligge et nøgleadministrationssystem

c)

alle nøgler og adgangskoder skal være beskyttet mod uautoriseret adgang.


Top