30.1.2013   

DA

Den Europæiske Unions Tidende

C 28/6

Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelseom Kommissionens forslag til Europa-Parlamentets og Rådets forordning om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (forordningen om elektronisk identifikation og tillidstjenester)

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes hjemmeside http://www.edps.europa.eu)

2013/C 28/04

I.   Indledning

I.1.   Forslaget

1.

Den 4. juni 2012 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om ændring af direktiv 1999/93/EF og om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked (i det følgende benævnt »forslaget«) (1).

2.

Forslaget stilles som led i Kommissionens indsats for at styrke anvendelsen af elektroniske transaktioner i EU. Det følger op på de foranstaltninger, der er fastsat i den digitale dagsorden for Europa (2), om forbedring af lovgivningen om elektroniske signaturer (nøgletiltag 3) og indførelse af en sammenhængende lovramme for gensidig anerkendelse af elektronisk identifikation og autentifikation (nøgletiltag 16).

3.

Forslaget skal øge tilliden til europadækkende elektroniske transaktioner og sikre grænseoverskridende retlig anerkendelse af elektroniske identifikations-, autentifikations- og signaturtjenester samt tilhørende tillidstjenester og tilvejebringe en høj grad af databeskyttelse og myndiggørelse af brugerne på det indre marked.

4.

En høj grad af databeskyttelse er afgørende for anvendelsen af elektroniske identifikationsordninger og tillidstjenester. Udviklingen og anvendelsen af sådanne elektroniske ordninger skal baseres på hensigtsmæssig behandling af personoplysninger hos tillidstjenesteydere og udstedere af elektroniske identiteter. Dette er så meget desto vigtigere, idet denne behandling bl.a. danner udgangspunkt for en så pålidelig identifikation og autentifikation af fysiske (eller juridiske) personer som muligt.

I.2.   Høring af den tilsynsførende

5.

Inden vedtagelsen af forslaget fik den tilsynsførende mulighed for at fremsætte uformelle bemærkninger. Mange af disse bemærkninger er blevet indarbejdet i forslaget. Det betyder, at databeskyttelsen er blevet styrket i forslaget.

6.

Den tilsynsførende bifalder, at han også formelt er blevet hørt af Kommissionen i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001.

I.3.   Baggrund for forslaget

7.

Forslaget er baseret på artikel 114 i traktaten om Den Europæiske Unions funktionsmåde og fastlægger vilkår og mekanismer for gensidig anerkendelse og accept af elektronisk identifikation og autentifikation på tværs af grænserne. Det fastlægger navnlig principper for elektronisk identifikation og tillidstjenester, herunder regler for anerkendelse og accept. Det fastlægger endvidere krav til generering, verificering, validering, håndtering og bevaring af elektroniske signaturer, elektroniske segl, elektroniske tidsstempler, elektroniske dokumenter, elektroniske leveringstjenester, webstedsautentifikation og elektroniske certifikater.

8.

Derudover fastlægger forslaget til forordning regler for tilsyn med leveringen af tillidstjenester og forpligter medlemsstaterne til at etablere tilsynsorganer til dette formål. Disse organer vil bl.a. vurdere overensstemmelsen af de tekniske og organisatoriske foranstaltninger, som tillidstjenesteyderne træffer.

9.

Kapitel II omhandler elektronisk identifikation, mens kapitel III omhandler andre elektroniske tillidstjenester, såsom elektroniske signaturer, segl, tidsstempler, dokumenter, leveringstjenester, certifikater og webstedsautentifikation. Elektronisk identifikation er forbundet med nationale identifikationskort og kan bruges i forbindelse med adgang til digitale tjenester og særlig e-forvaltningstjenester. Det betyder, at en enhed, der udsteder elektronisk identifikation, handler på vegne af en medlemsstat, og at den pågældende medlemsstat er ansvarlig for korrekt etablering af forbindelsen mellem en konkret person og hans/hendes elektroniske identifikationsmiddel. For så vidt angår andre elektroniske tillidstjenester er leverandøren/udstederen en fysisk eller juridisk person, som er ansvarlig for den korrekte og sikre levering af de pågældende tjenester.

I.4.   Databeskyttelsesproblemer i forbindelse med forslaget

10.

Behandlingen af personoplysninger er uløseligt forbundet med anvendelsen af identifikationsordninger og i en vis grad med leveringen af andre tillidstjenester (f.eks. i forbindelse med elektroniske signaturer). Behandling af personoplysninger vil være nødvendig for at etablere en troværdig forbindelse mellem de elektroniske identifikations- og autentifikationsmidler, der anvendes af en fysisk (eller juridisk) person, og den pågældende person med henblik på at bekræfte, at personen bag det elektroniske certifikat reelt er den person, vedkommende påstår at være. Elektronisk identifikation eller elektroniske certifikater henviser f.eks. til fysiske personer og vil omfatte en række data, der entydigt repræsenterer de pågældende personer. Med andre ord vil genereringen, verificeringen, valideringen og håndteringen af de elektroniske tjenester, der er omhandlet i forslagets artikel 3, stk. 12, i mange tilfælde omfatte behandling af personoplysninger, og databeskyttelse bliver således relevant.

11.

Det er derfor afgørende, at behandlingen af data i forbindelse med leveringen af elektroniske identifikationsordninger eller elektroniske tillidstjenester sker i overensstemmelse med EU-lovgivningen om databeskyttelse, særlig i overensstemmelse med nationale bestemmelser om gennemførelse af direktiv 95/46/EF.

12.

I denne udtalelse vil den tilsynsførendes analyse fokusere på tre hovedspørgsmål:

a)

hvordan spørgsmålet om databeskyttelse behandles i forslaget

b)

databeskyttelsesaspekter af de elektroniske identifikationsordninger, der skal anerkendes og accepteres på tværs af grænserne

c)

databeskyttelsesaspekter af de elektroniske tillidstjenester, der skal anerkendes og accepteres på tværs af grænserne.

III.   Konklusioner

50.

Den tilsynsførende bifalder forslaget, da det kan bidrage til gensidig anerkendelse (og accept) af elektroniske tillidstjenester og identifikationsordninger på europæisk niveau. Han bifalder også indførelsen af en række fælles krav, der skal opfyldes af udstedere af elektroniske identifikationsmidler og tillidstjenesteydere. Selv om han generelt støtter forslaget, ønsker den tilsynsførende at fremsætte følgende generelle anbefalinger:

Bestemmelser om databeskyttelse i forslaget bør ikke begrænses til tillidstjenesteydere og bør også finde anvendelse på behandlingen af personoplysninger i elektroniske identifikationsordninger som beskrevet i forslagets kapitel II.

Forslaget til forordning bør fastlægge en række fælles sikkerhedskrav til tillidstjenesteydere og udstedere af elektroniske identifikationsmidler. Alternativt kunne det tillade Kommissionen om nødvendigt — gennem selektiv anvendelse af delegerede retsakter eller gennemførelsesforanstaltninger — at definere kriterier, vilkår og krav til sikkerheden i forbindelse med elektroniske tillidstjenester og identifikationsordninger.

Tillidstjenesteydere og udstedere af elektroniske identifikationsmidler bør forpligtes til at give brugere af deres tjenester: i) hensigtsmæssige oplysninger om indsamling, formidling og opbevaring af deres oplysninger samt ii) mulighed for at forvalte deres personoplysninger og udøve deres rettigheder inden for beskyttelse af personoplysninger.

Den tilsynsførende anbefaler en mere selektiv inddragelse i forslaget af bestemmelser, der giver Kommissionen beføjelser til at specificere eller præcisere konkrete bestemmelser efter vedtagelsen af forslaget til forordning ved delegerede retsakter eller gennemførelsesretsakter.

51.

Visse specifikke bestemmelser om gensidig anerkendelse af elektroniske identifikationsordninger bør også forbedres:

Forslaget til forordning bør præcisere, hvilke data eller datakategorier der vil blive behandlet i forbindelse med identifikation af personer på tværs af grænserne. Denne præcisering bør have mindst samme detaljeringsgrad som fastlagt i bilagene for andre tillidstjenester og bør respektere proportionalitetsprincippet.

De sikkerhedsforanstaltninger, der er nødvendige i forbindelse med leveringen af identifikationsordninger, bør mindst overholde de krav, der er fastlagt for kvalificerede tillidstjenesteydere.

Forslaget bør fastlægge hensigtsmæssige mekanismer for etableringen af rammer for de nationale identifikationsordningers interoperabilitet.

52.

Endelig fremsætter den tilsynsførende følgende anbefalinger i forbindelse med kravene til levering og anerkendelse af elektroniske tillidstjenester:

Det bør, for så vidt angår alle elektroniske tjenester, præciseres, hvorvidt der vil være tale om behandling af personoplysninger, og, såfremt det er tilfældet, hvilke data eller datakategorier der vil blive behandlet.

Forordningen bør indføre hensigtsmæssige sikkerhedsforanstaltninger med henblik på at undgå overlapninger mellem kompetencerne hos tilsynsorganerne for de elektroniske tillidstjenester og databeskyttelsesmyndighederne.

De forpligtelser, som tillidstjenesteyderne pålægges for så vidt angår brud på persondatasikkerheden og sikkerhedsrelaterede hændelser, bør være i overensstemmelse med kravene i e-data-direktivet som ændret og i forslaget til en databeskyttelsesforordning.

Der bør sikres større klarhed for så vidt angår definitionen af de private eller offentlige enheder, der kan fungere som tredjeparter og foretage kontroller i henhold til artikel 16 og 17 eller certificere systemer til generering af elektroniske signaturer i henhold til artikel 23, og for så vidt angår kriterierne for vurderingen af disse organers uafhængighed.

Forordningen bør fastsætte en mere nøjagtig frist for opbevaring af data som omhandlet i artikel 19, stk. 2, og artikel 19, stk. 4 (3).

Udfærdiget i Bruxelles, den 27. september 2012.

Giovanni BUTTARELLI

Europæisk assisterende tilsynsførende for databeskyttelse

(1)  KOM(2012) 238 endelig.

(2)  KOM(2010) 245 af 19.5.2010.

(3)  I henhold til artikel 19, stk. 2, litra g), skal kvalificerede tillidstjenesteydere registrere og bevare alle relevante oplysninger om de data, den kvalificerede tillidstjenesteyder har udstedt og modtaget, i en rimelig periode. I henhold til artikel 19, stk. 4, skal kvalificerede tillidstjenesteydere stille oplysninger om certifikaternes gyldighed eller tilbagekaldelse til rådighed for enhver part, der forlader sig på certifikaterne.