30.1.2013   

ET

Euroopa Liidu Teataja

C 28/6

Euroopa Andmekaitseinspektori arvamuse kokkuvõte, mis käsitleb komisjoni ettepanekut võtta vastu Euroopa Parlamendi ja nõukogu määrus e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul (elektrooniliste usaldusteenuste määrus)

(Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa Andmekaitseinspektori veebilehel http://www.edps.europa.eu)

2013/C 28/04

I.   Sissejuhatus

I.1.   Ettepanek

1.

4. juunil 2012 võttis komisjon vastu Euroopa Parlamendi ja nõukogu määruse (millega muudetakse Euroopa Parlamendi ja nõukogu direktiivi 1999/93/EÜ seoses e-identimise ja e-tehingute jaoks vajalike usaldusteenustega siseturul) ettepaneku (edaspidi „ettepanek”) (1).

2.

Ettepanek on osa komisjoni esitatud meetmetest, mille eesmärk on tugevdada e-tehingute kasutamist Euroopa Liidus. See täiendab digitaalarengu tegevuskavaga (2) ette nähtud meetmeid, mis on seotud e-allkirja (3. põhimeede) käsitlevate õigusaktide täiustamisega ning e-identimise ja e-autentimise vastastikuse tunnustamise (16. põhimeede) jaoks sidusa raamistiku loomisega.

3.

Ettepanekuga loodetakse suurendada üleeuroopaliste e-tehingute usaldusväärsust ning tagada siseturul e-identimise, e-autentimise, e-allkirja ja nendega seotud usaldusteenuste piiriülene õiguslik tunnustamine, kandes samal ajal hoolt kõrgetasemelise andmekaitse ja kasutajate võimekustamise eest.

4.

Kõrgetasemeline andmekaitse on e-identimise süsteemide ja usaldusteenuste kasutamisel väga oluline. Selliste elektrooniliste vahendite väljaarendamine ja kasutamine peab tuginema usaldusteenuste pakkujate ja e-identimise vahendite väljaandjate asjakohasele isikuandmete töötlemisele. See on veelgi tähtsam seetõttu, et sellisele töötlemisele tuginetakse muu hulgas füüsiliste (või juriidiliste) isikute identimisel ja autentimisel kõige usaldusväärsemal viisil.

I.2.   Konsulteerimine Euroopa Andmekaitseinspektoriga

5.

Euroopa Andmekaitseinspektoril oli enne ettepaneku vastuvõtmist võimalus esitada mitteametlikke märkusi. Mitut märkust on ettepanekus arvesse võetud. Selle tulemusel on tugevdatud ettepaneku andmekaitsemeetmeid.

6.

Euroopa Andmekaitseinspektoril on hea meel selle üle, et komisjon konsulteeris temaga vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 ka ametlikult.

I.3.   Ettepaneku taust

7.

Ettepanek põhineb Euroopa Liidu toimimise lepingu artiklil 114 ning selles sätestatakse liikmesriikide e-identimise ja usaldusteenuste vastastikuse tunnustamise ja aktsepteerimise tingimused ja mehhanismid. Eelkõige nähakse sellega ette identimisteenuste ja usaldusväärsete e-teenuste pakkumisega seotud põhimõtted, sealhulgas tunnustamise ja aktsepteerimise suhtes kohaldatavad eeskirjad. Selles sätestatakse ka e-allkirjade, e-templite, e-ajatemplite, e-dokumentide, e-andmesideteenuste, veebisaitide autentimise ja e-sertifikaatide loomise, kontrollimise, valideerimise, käitamise ja säilitamise nõuded.

8.

Peale selle sätestatakse kavandatavas määruses eeskirjad usaldusteenuste pakkumise järelevalve kohta ja kohustatakse liikmesriike asutama selleks järelevalveasutused. Need asutused hakkavad muude ülesannete hulgas hindama elektrooniliste usaldusteenuste pakkujate rakendatavate tehniliste ja korralduslike meetmete nõuetele vastavust.

9.

II peatükis käsitletakse e-identimise teenuseid ja III peatükk on pühendatud sellistele muudele elektroonilistele usaldusteenustele nagu e-allkirjad, e-templid, e-ajatemplid, e-dokumendid, e-andmesideteenused, e-sertifikaadid ja veebisaitide autentimine. E-identimise teenused on seotud riiklike ID-kaartidega ning neid saab kasutada juurdepääsuks digitaalteenustele ja eeskätt e-valitsuse teenustele. See tähendab, et üksus, kes väljastab e-identimise vahendeid, tegutseb liikmesriigi nimel ja asjaomane liikmesriik vastutab selle eest, et konkreetne isik ja tema e-identimise vahend oleksid nõuetekohaselt vastavuses. Muude elektrooniliste usaldusteenuste puhul vastutab teenuste korrektse ja turvalise pakkumise eest füüsiline või juriidiline isik, kes teenust pakub või vahendit väljastab.

I.4.   Ettepanekuga kaasnevad andmekaitseprobleemid

10.

Isikuandmete töötlemine on identimissüsteemide kasutamisel ja mõnevõrra ka muude usaldusteenuste pakkumisel (nt e-allkirjade puhul) möödapääsmatu. Isikuandmete töötlemist on vaja selleks, et luua usaldusväärne seos füüsilise (või juriidilise) isiku kasutatavate e-identimise ja e-autentimise vahendite ning isiku enda vahel eesmärgiga teha kindlaks, et e-sertifikaadi taga olev isik on tõesti see sama isik, kes ta väidab end olevat. Näiteks antakse e-identimise vahendeid või e-sertifikaate välja füüsilistele isikutele ja need sisaldavad asjaomaste isikute kohta mitmesuguseid üheselt mõistetavaid andmeid. Teisisõnu kaasneb ettepaneku artikli 3 lõikes 12 nimetatud elektrooniliste vahendite loomise, kontrollimise, valideerimise ja käitamisega paljudel juhtudel isikuandmete töötlemine ja seetõttu on tähtis isikuandmete kaitse.

11.

Seepärast on väga oluline, et e-identimise süsteemide või elektrooniliste usaldusteenuste pakkumisel töödeldaks andmeid vastavalt ELi andmekaitseraamistikule, eelkõige direktiivi 95/46/EÜ riiklikele rakendussätetele.

12.

Selles arvamuses keskendub Euroopa Andmekaitseinspektor oma analüüsis kolmele põhiküsimusele:

a)

kuidas on ettepanekus käsitletud andmekaitset;

b)

e-identimise süsteemide piiriüleselt tunnustatavad ja aktsepteeritavad andmekaitseaspektid ning

c)

elektrooniliste usaldusteenuste piiriüleselt tunnustatavad ja aktsepteeritavad andmekaitseaspektid.

III.   Järeldused

50.

Euroopa Andmekaitseinspektoril on ettepaneku üle hea meel, sest see võib aidata kaasa elektrooniliste usaldusteenuste ja e-identimise süsteemide vastastikusele tunnustamisele (ja aktsepteerimisele) Euroopa tasandil. Ta kiidab ka heaks selliste ühiste nõuete kehtestamise, mida peavad järgima e-identimise vahendite väljaandjad ja elektrooniliste usaldusteenuste pakkujad. Ehkki Euroopa Andmekaitseinspektor üldjoontes toetab ettepanekut, soovib ta esitada järgmised üldised soovitused:

ettepaneku andmekaitsealastes sätetes ei tuleks piirduda vaid usaldusteenuste pakkujatega ja neid tuleks kohaldada ka isikuandmete töötlemise suhtes ettepaneku II peatükis kirjeldatud e-identimise süsteemides;

kavandatavas määruses tuleks kehtestada usaldusteenuste pakkujate ja e-identimise vahendite väljaandjate suhtes ühised turvanõuded. See võiks võimaldada ka komisjonil määrata delegeeritud õigusaktide või rakendusmeetmete valikulise kasutamise kaudu vajaduse korral kindlaks elektrooniliste usaldusteenuste ja e-identimise süsteemide turvakriteeriumid, -tingimused ja -nõuded;

elektrooniliste usaldusteenuste pakkujatelt ja e-identimise vahendite väljaandjatelt tuleks nõuda, et nad annaksid oma teenuste kasutajatele: i) asjakohast teavet nende andmete kogumise, edastamise ja säilitamise kohta ning ii) vahendid nende isikuandmete kontrollimiseks ja andmekaitseõiguste kasutamiseks;

Euroopa Andmekaitsevolinik soovitab lisada ettepanekusse valikulisemalt sätted, millega võimaldatakse komisjonil pärast kavandatava määruse vastuvõtmist konkreetseid sätteid delegeeritud õigusaktide või rakendusaktide kaudu täpsustada või üksikasjalikumalt kirjeldada.

51.

Täiustada tuleks ka mõnd konkreetset sätet e-identimise süsteemide vastastikuse tunnustamise kohta:

kavandatavas määruses tuleks täpsustada, milliseid andmeid või andmeliike isikute piiriüleseks identimiseks töödeldakse. Täpsustamine peaks olema sama üksikasjalik, kui on sätestatud teisi usaldusteenuseid käsitlevates lisades, ja selle puhul tuleks arvesse võtta proportsionaalsuse põhimõtte järgmist;

andmekaitsemeetmed, mida nõutakse e-identimise süsteemide pakkumisel, peaksid vastama vähemalt kvalifitseeritud usaldusteenuste pakkujate suhtes kehtestatud nõuetele;

ettepanekuga tuleks ette näha asjakohased mehhanismid riiklike identimissüsteemide koostalitlusvõime raamistiku loomiseks.

52.

Lõpetuseks esitab Euroopa Andmekaitseinspektor seoses elektrooniliste usaldusteenuste pakkumise ja tunnustamise nõuetega ka järgmised soovitused:

kõikide e-teenuste puhul tuleks täpsustada, kas isikuandmeid töödeldakse, ja juhul, kui seda tehakse, tuleks täpsustada töödeldavad andmed või andmeliigid;

määruses tuleks võtta asjakohased kaitsemeetmed, et vältida elektrooniliste usaldusteenuste järelevalveasutuste ja andmekaitseasutuste pädevuste kattumist;

elektrooniliste usaldusteenuste pakkujate suhtes kehtestatud kohustused, mis hõlmavad isikuandmetega seotud rikkumisi ja turvaintsidente, peaksid olema kooskõlas nõuetega, mis on sätestatud eraelu puutumatust ja elektroonilist sidet käsitlevas läbivaadatud direktiivis ning kavandatavas andmekaitsemääruses;

tuleks määratleda selgemalt avaliku või erasektori üksused, kes võivad olla artiklite 16 ja 17 kohase kontrollimise teostamise õigusega kolmandateks isikuteks või kes võivad kontrollida artikli 23 alusel e-allkirja moodustamise vahendeid, ning tuleks täpsustada kriteeriumid, mille alusel hinnatakse nende asutuste sõltumatust;

määruses tuleks sätestada täpsemalt artikli 19 lõikes 2 ja artikli 19 lõikes 4 (3) nimetatud andmete säilitamise ajaline piirang.

Brüssel, 27. september 2012

Euroopa andmekaitseinspektori asetäitja

Giovanni BUTTARELLI

(1)  COM(2012) 238 final.

(2)  KOM(2010) 245, 19.5.2010.

(3)  Artikli 19 lõike 2 punkti g alusel peavad kvalifitseeritud usaldusteenuste pakkujad registreerima väljastatavate ja saadavate andmete kohta piisavalt pika aja jooksul kogu asjakohase teabe. Artikli 19 lõike 4 alusel peavad kvalifitseeritud usaldusteenuste pakkujad andma igale sertifikaatide kasutajale teavet enda välja antud kvalifitseeritud sertifikaatide kehtivuse või kehtetuks tunnistamise kohta.