30.1.2013   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 28/6

Σύνοψη της γνωμοδότησης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με την πρόταση της Επιτροπής για κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την εμπιστοσύνη στις ηλεκτρονικές συναλλαγές εντός της εσωτερικής αγοράς (κανονισμός για τις ηλεκτρονικές υπηρεσίες εμπιστοσύνης)

(Το πλήρες κείμενο της γνωμοδότησης είναι διαθέσιμο στα EN, FR και DE στον δικτυακό τόπο του ΕΕΠΔ http://www.edps.europa.eu)

2013/C 28/04

I.   Εισαγωγή

I.1.   Η πρόταση

1.

Στις 4 Ιουνίου 2012, η Επιτροπή εξέδωσε πρόταση για κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την τροποποίηση της οδηγίας 1999/93/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για ηλεκτρονικές συναλλαγές στην εσωτερική αγορά (στο εξής, η «πρόταση») (1).

2.

Η πρόταση εντάσσεται στα μέτρα που πρότεινε η Επιτροπή για την ενίσχυση της ανάπτυξης των ηλεκτρονικών συναλλαγών στην Ευρωπαϊκή Ένωση. Αποτελεί συνέχεια των δράσεων που προβλέπονται στο Ψηφιακό θεματολόγιο για την Ευρώπη (2) σε σχέση με τη βελτίωση της νομοθεσίας για τις ηλεκτρονικές υπογραφές (βασική δράση 3) και την παροχή ενός συνεκτικού πλαισίου για την αμοιβαία αναγνώριση της ηλεκτρονικής ταυτοποίησης και της ηλεκτρονικής επαλήθευσης ταυτότητας (βασική δράση 16).

3.

Η πρόταση αναμένεται να βελτιώσει την εμπιστοσύνη στις πανευρωπαϊκές ηλεκτρονικές συναλλαγές και να διασφαλίσει διασυνοριακή νομική αναγνώριση των υπηρεσιών ηλεκτρονικής ταυτοποίησης, επαλήθευσης ταυτότητας, υπογραφής και των συναφών υπηρεσιών εμπιστοσύνης στην εσωτερική αγορά, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων και ενδυνάμωσης των χρηστών.

4.

Η χρήση συστημάτων ηλεκτρονικής ταυτοποίησης και υπηρεσιών εμπιστοσύνης προϋποθέτει την ύπαρξη υψηλού επιπέδου προστασίας των δεδομένων. Η ανάπτυξη και η χρήση ηλεκτρονικών μέσων αυτού του είδους πρέπει να βασίζεται στην κατάλληλη επεξεργασία δεδομένων προσωπικού χαρακτήρα από παρόχους υπηρεσιών εμπιστοσύνης και εκδότες ηλεκτρονικής ταυτότητας. Κάτι τέτοιο αποκτά ακόμη μεγαλύτερη σημασία, καθώς η επεξεργασία αυτή θα αποτελέσει, μεταξύ άλλων, τη βάση για την ταυτοποίηση και την επαλήθευση της ταυτότητας φυσικών (ή νομικών) προσώπων με τον πλέον αξιόπιστο τρόπο.

I.2.   Διαβούλευση με τον ΕΕΠΔ

5.

Πριν από την έκδοση της πρότασης, ο ΕΕΠΔ είχε τη δυνατότητα να διατυπώσει άτυπα σχόλια, πολλά από τα οποία λήφθηκαν υπόψη στην πρόταση. Ως εκ τούτου, ενισχύθηκαν οι εγγυήσεις που περιέχονται στην πρόταση για την προστασία των δεδομένων.

6.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι η Επιτροπή ζήτησε επίσημα τη γνώμη του, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001.

I.3.   Ιστορικό της πρότασης

7.

Η πρόταση βασίζεται στο άρθρο 114 της συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης και περιγράφει τις προϋποθέσεις και τους μηχανισμούς για την αμοιβαία αναγνώριση και αποδοχή υπηρεσιών ηλεκτρονικής ταυτοποίησης και ηλεκτρονικών υπηρεσιών εμπιστοσύνης στα κράτη μέλη. Ειδικότερα, ορίζει τις αρχές που σχετίζονται με την παροχή υπηρεσιών ταυτοποίησης και αξιόπιστων ηλεκτρονικών υπηρεσιών, συμπεριλαμβανομένων των κανόνων που εφαρμόζονται για την αναγνώριση και την αποδοχή. Προβλέπει επίσης τις απαιτήσεις για τη δημιουργία, επαλήθευση, επικύρωση, διαχείριση και διαφύλαξη των ηλεκτρονικών υπογραφών, ηλεκτρονικών σφραγίδων, ηλεκτρονικών χρονοσημάνσεων, ηλεκτρονικών εγγράφων, υπηρεσιών ηλεκτρονικής παράδοσης, του ελέγχου γνησιότητας ιστοτόπων και ηλεκτρονικών πιστοποιητικών.

8.

Επιπλέον, ο προτεινόμενος κανονισμός θεσπίζει τους κανόνες για την εποπτεία της παροχής υπηρεσιών εμπιστοσύνης και υποχρεώνει τα κράτη μέλη να θεσπίσουν εποπτικά όργανα για τον σκοπό αυτό. Μεταξύ άλλων καθηκόντων, τα εν λόγω όργανα θα αξιολογούν τη συμμόρφωση των τεχνικών και οργανωτικών μέτρων που εφαρμόζουν οι πάροχοι ηλεκτρονικών υπηρεσιών εμπιστοσύνης.

9.

Το κεφάλαιο II έχει ως αντικείμενο τις υπηρεσίες ηλεκτρονικής ταυτοποίησης, ενώ το κεφάλαιο III ασχολείται με άλλες ηλεκτρονικές υπηρεσίες διασφάλισης της εμπιστοσύνης, όπως ηλεκτρονικές υπογραφές, σφραγίδες, χρονοσημάνσεις, υπηρεσίες παράδοσης, ηλεκτρονικά έγγραφα, πιστοποιητικά και έλεγχο γνησιότητας δικτυακών τόπων. Οι υπηρεσίες ηλεκτρονικής ταυτοποίησης σχετίζονται με τα εθνικά δελτία ταυτότητας και μπορούν να χρησιμοποιηθούν κατά την πρόσβαση σε ψηφιακές υπηρεσίες και ειδικότερα σε υπηρεσίες ηλεκτρονικής διακυβέρνησης. Αυτό σημαίνει ότι μια οντότητα η οποία εκδίδει ηλεκτρονική ταυτοποίηση ενεργεί εξ ονόματος ενός κράτους μέλους και ότι το συγκεκριμένο κράτος μέλος είναι υπεύθυνο για την ορθή συσχέτιση μεταξύ ενός συγκεκριμένου φυσικού προσώπου και των μέσων για την ηλεκτρονική ταυτοποίησή του. Όσον αφορά άλλες ηλεκτρονικές υπηρεσίες εμπιστοσύνης, ο πάροχος/εκδότης είναι ένα φυσικό ή νομικό πρόσωπο, το οποίο είναι υπεύθυνο για την ορθή και ασφαλή παροχή των εν λόγω υπηρεσιών.

I.4.   Ζητήματα προστασίας των δεδομένων τα οποία εγείρει η πρόταση

10.

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι συμφυής με τη χρήση συστημάτων ταυτοποίησης και, σε κάποιο βαθμό, με την παροχή άλλων υπηρεσιών εμπιστοσύνης (για παράδειγμα, στην περίπτωση των ηλεκτρονικών υπογραφών). Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα είναι απαραίτητη προκειμένου να δημιουργηθεί μια αξιόπιστη σχέση ανάμεσα στα μέσα ηλεκτρονικής ταυτοποίησης και επαλήθευσης της ταυτότητας τα οποία χρησιμοποιούνται από ένα φυσικό (ή νομικό) πρόσωπο και του συγκεκριμένου προσώπου, ώστε να εξακριβώνεται ότι το πρόσωπο στο οποίο αναφέρεται ένα ηλεκτρονικό πιστοποιητικό είναι πραγματικά αυτό που ισχυρίζεται ότι είναι. Για παράδειγμα, οι ηλεκτρονικές ταυτοποιήσεις ή τα ηλεκτρονικά πιστοποιητικά αναφέρονται σε φυσικά πρόσωπα και θα περιλαμβάνουν ένα σύνολο δεδομένων τα οποία αντιπροσωπεύουν απερίφραστα τα εν λόγω πρόσωπα. Άλλως ειπείν, η δημιουργία, επαλήθευση, επικύρωση και διαχείριση των ηλεκτρονικών μέσων που αναφέρονται στο άρθρο 3 παράγραφος 12 της πρότασης θα συμπεριλαμβάνει, σε πολλές περιπτώσεις, την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Κατά συνέπεια, η προστασία των δεδομένων αποκτά σημασία.

11.

Επομένως, είναι σημαντικό η επεξεργασία των δεδομένων στο πλαίσιο της παροχής συστημάτων ηλεκτρονικής ταυτοποίησης ή ηλεκτρονικών υπηρεσιών εμπιστοσύνης να πραγματοποιείται σύμφωνα με το πλαίσιο της ΕΕ για την προστασία των δεδομένων, και ειδικότερα σύμφωνα με τις εθνικές διατάξεις εφαρμογής της οδηγίας 95/46/ΕΚ.

12.

Στην παρούσα γνωμοδότηση, η ανάλυση του ΕΕΠΔ θα επικεντρωθεί σε τρία κύρια ζητήματα:

α)

στο πώς αντιμετωπίζεται η προστασία των δεδομένων στην πρόταση·

β)

στις πτυχές της προστασίας των δεδομένων των συστημάτων ηλεκτρονικής ταυτοποίησης που θα αποτελέσουν αντικείμενο διασυνοριακής αναγνώρισης και αποδοχής, και

γ)

στις πτυχές της προστασίας των δεδομένων των ηλεκτρονικών υπηρεσιών εμπιστοσύνης που θα αποτελέσουν αντικείμενο διασυνοριακής αναγνώρισης και αποδοχής.

III.   Συμπέρασματα

50.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την πρόταση, καθώς μπορεί να συμβάλει στην αμοιβαία αναγνώριση (και αποδοχή) των ηλεκτρονικών υπηρεσιών εμπιστοσύνης και των συστημάτων ταυτοποίησης σε ευρωπαϊκό επίπεδο. Εκφράζει επίσης την ικανοποίησή του για τη θέσπιση ενός κοινού συνόλου απαιτήσεων, τις οποίες πρέπει να πληρούν οι εκδότες μέσων ηλεκτρονικής ταυτοποίησης και οι πάροχοι υπηρεσιών εμπιστοσύνης. Ανεξάρτητα από τη θετική του, εν γένει, τοποθέτηση ως προς την πρόταση, ο ΕΕΠΔ επιθυμεί να διατυπώσει τις ακόλουθες γενικές συστάσεις:

οι διατάξεις που περιέχονται στην πρόταση σχετικά με την προστασία των δεδομένων δεν πρέπει να περιορίζονται στους παρόχους υπηρεσιών εμπιστοσύνης, αλλά πρέπει να εφαρμόζονται επίσης στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στα συστήματα ηλεκτρονικής ταυτοποίησης, τα οποία περιγράφονται στο κεφάλαιο II της πρότασης

ο προτεινόμενος κανονισμός πρέπει να θεσπίζει ένα κοινό σύνολο απαιτήσεων ασφάλειας για τους παρόχους υπηρεσιών εμπιστοσύνης και τους εκδότες ηλεκτρονικής ταυτοποίησης. Εναλλακτικά, μπορεί να επιτρέπει στην Επιτροπή να καθορίζει, όταν απαιτείται, μέσω επιλεκτικής χρήσης κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών μέτρων, τα κριτήρια, τις προϋποθέσεις και τις απαιτήσεις για την ασφάλεια στις ηλεκτρονικές υπηρεσίες εμπιστοσύνης και στα συστήματα ταυτοποίησης

οι πάροχοι ηλεκτρονικών υπηρεσιών εμπιστοσύνης και οι εκδότες ηλεκτρονικής ταυτοποίησης πρέπει να υποχρεούνται να παρέχουν στους χρήστες των υπηρεσιών τους: i) κατάλληλες πληροφορίες σχετικά με τη συλλογή, την κοινοποίηση και τη διατήρηση των δεδομένων που τους αφορούν, καθώς και ii) κάποιο μέσο ελέγχου των δεδομένων προσωπικού χαρακτήρα που τους αφορούν και άσκησης των δικαιώματός τους στην προστασία δεδομένων

ο ΕΕΠΔ συνιστά να συμπεριληφθούν με πιο επιλεκτικό τρόπο στην πρόταση οι διατάξεις που εξουσιοδοτούν την Επιτροπή να προσδιορίζει ή να καθορίζει λεπτομερώς συγκεκριμένες διατάξεις μετά την έκδοση του προτεινόμενου κανονισμού μέσω κατ’ εξουσιοδότηση πράξεων ή εκτελεστικών πράξεων.

51.

Μερικές συγκεκριμένες διατάξεις σχετικά με την αμοιβαία αναγνώριση συστημάτων ηλεκτρονικής ταυτοποίησης χρήζουν βελτίωσης:

ο προτεινόμενος κανονισμός πρέπει να προσδιορίζει τα δεδομένα ή τις κατηγορίες δεδομένων που θα υποβάλλονται σε επεξεργασία για τη διασυνοριακή ταυτοποίηση φυσικών προσώπων. Ο προσδιορισμός αυτός πρέπει να χαρακτηρίζεται από τον ίδιο τουλάχιστον βαθμό λεπτομέρειας με εκείνον που προβλέπεται στα παραρτήματα για άλλες υπηρεσίες εμπιστοσύνης και να συμμορφώνεται προς την αρχή της αναλογικότητας

οι εγγυήσεις που απαιτούνται για την παροχή συστημάτων ταυτοποίησης πρέπει να είναι τουλάχιστον σύμφωνες προς τις απαιτήσεις που προβλέπονται για τους παρόχους αναγνωρισμένων υπηρεσιών εμπιστοσύνης

η πρόταση πρέπει να θεσπίζει κατάλληλους μηχανισμούς ώστε να δημιουργήσει ένα πλαίσιο διαλειτουργικότητας των εθνικών συστημάτων ταυτοποίησης.

52.

Τέλος, ο ΕΕΠΔ διατυπώνει επίσης τις ακόλουθες συστάσεις όσον αφορά τις απαιτήσεις για την παροχή και την αναγνώριση ηλεκτρονικών υπηρεσιών εμπιστοσύνης:

για όλες τις ηλεκτρονικές υπηρεσίες πρέπει να προσδιορίζεται το κατά πόσον θα διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα, στις περιπτώσεις δε στις οποίες θα διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να προσδιορίζονται τα δεδομένα ή οι κατηγορίες δεδομένων που θα υποβάλλονται σε επεξεργασία

ο κανονισμός πρέπει να προβλέπει κατάλληλες εγγυήσεις για την αποφυγή τυχόν αλληλεπικαλύψεων μεταξύ των αρμοδιοτήτων των εποπτικών οργάνων των ηλεκτρονικών υπηρεσιών εμπιστοσύνης και των αντίστοιχων οργάνων των αρχών προστασίας των δεδομένων

οι υποχρεώσεις που επιβάλλονται στους παρόχους ηλεκτρονικών υπηρεσιών εμπιστοσύνης όσον αφορά παραβιάσεις δεδομένων και συμβάντα παραβιάσεων της ασφάλειας πρέπει να είναι συνεκτικές με τις απαιτήσεις που θεσπίζονται στην αναθεωρημένη οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και στον προτεινόμενο κανονισμό για την προστασία των δεδομένων

πρέπει να αποσαφηνισθεί ο ορισμός των ιδιωτικών ή δημόσιων οντοτήτων που μπορούν να ενεργούν ως τρίτοι οι οποίοι έχουν δικαίωμα να διενεργούν ελέγχους βάσει των άρθρων 16 και 17 ή οι οποίοι μπορούν να πιστοποιούν διατάξεις δημιουργίας ηλεκτρονικών υπογραφών βάσει του άρθρου 23, καθώς και να αποσαφηνισθούν τα κριτήρια βάσει των οποίων θα αξιολογείται η ανεξαρτησία των εν λόγω οργάνων

πρέπει να καθοριστεί με μεγαλύτερη ακρίβεια στον κανονισμό η προθεσμία για τη διατήρηση των δεδομένων, η οποία αναφέρεται στο άρθρο 19 παράγραφος 2 και στο άρθρο 19 παράγραφος 4 (3).

Βρυξέλλες, 27 Σεπτεμβρίου 2012.

Giovanni BUTTARELLI

Αναπληρωτής Ευρωπαίος Επόπτης Προστασίας Δεδομένων

(1)  COM(2012) 238 τελικό.

(2)  COM(2010) 245 της 19.5.2010.

(3)  Βάσει του άρθρου 19 παράγραφος 2 στοιχείο ζ), οι αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης πρέπει να καταγράφουν το σύνολο των συναφών πληροφοριών που αφορούν δεδομένα τα οποία έχουν εκδοθεί και ληφθεί από αυτούς για κατάλληλη χρονική περίοδο. Βάσει του άρθρου 19 παράγραφος 4, οι αναγνωρισμένοι πάροχοι υπηρεσιών εμπιστοσύνης πρέπει να παρέχουν σε κάθε συμβαλλόμενο μέρος που βασίζεται στα πιστοποιητικά πληροφορίες για την κατάσταση ισχύος ή την ανάκληση των αναγνωρισμένων πιστοποιητικών που έχουν εκδοθεί από αυτούς.