30.1.2013 |
ET |
Euroopa Liidu Teataja |
C 28/6 |
Euroopa Andmekaitseinspektori arvamuse kokkuvõte, mis käsitleb komisjoni ettepanekut võtta vastu Euroopa Parlamendi ja nõukogu määrus e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul (elektrooniliste usaldusteenuste määrus)
(Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa Andmekaitseinspektori veebilehel http://www.edps.europa.eu)
2013/C 28/04
I. Sissejuhatus
I.1. Ettepanek
1. |
4. juunil 2012 võttis komisjon vastu Euroopa Parlamendi ja nõukogu määruse (millega muudetakse Euroopa Parlamendi ja nõukogu direktiivi 1999/93/EÜ seoses e-identimise ja e-tehingute jaoks vajalike usaldusteenustega siseturul) ettepaneku (edaspidi „ettepanek”) (1). |
2. |
Ettepanek on osa komisjoni esitatud meetmetest, mille eesmärk on tugevdada e-tehingute kasutamist Euroopa Liidus. See täiendab digitaalarengu tegevuskavaga (2) ette nähtud meetmeid, mis on seotud e-allkirja (3. põhimeede) käsitlevate õigusaktide täiustamisega ning e-identimise ja e-autentimise vastastikuse tunnustamise (16. põhimeede) jaoks sidusa raamistiku loomisega. |
3. |
Ettepanekuga loodetakse suurendada üleeuroopaliste e-tehingute usaldusväärsust ning tagada siseturul e-identimise, e-autentimise, e-allkirja ja nendega seotud usaldusteenuste piiriülene õiguslik tunnustamine, kandes samal ajal hoolt kõrgetasemelise andmekaitse ja kasutajate võimekustamise eest. |
4. |
Kõrgetasemeline andmekaitse on e-identimise süsteemide ja usaldusteenuste kasutamisel väga oluline. Selliste elektrooniliste vahendite väljaarendamine ja kasutamine peab tuginema usaldusteenuste pakkujate ja e-identimise vahendite väljaandjate asjakohasele isikuandmete töötlemisele. See on veelgi tähtsam seetõttu, et sellisele töötlemisele tuginetakse muu hulgas füüsiliste (või juriidiliste) isikute identimisel ja autentimisel kõige usaldusväärsemal viisil. |
I.2. Konsulteerimine Euroopa Andmekaitseinspektoriga
5. |
Euroopa Andmekaitseinspektoril oli enne ettepaneku vastuvõtmist võimalus esitada mitteametlikke märkusi. Mitut märkust on ettepanekus arvesse võetud. Selle tulemusel on tugevdatud ettepaneku andmekaitsemeetmeid. |
6. |
Euroopa Andmekaitseinspektoril on hea meel selle üle, et komisjon konsulteeris temaga vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 ka ametlikult. |
I.3. Ettepaneku taust
7. |
Ettepanek põhineb Euroopa Liidu toimimise lepingu artiklil 114 ning selles sätestatakse liikmesriikide e-identimise ja usaldusteenuste vastastikuse tunnustamise ja aktsepteerimise tingimused ja mehhanismid. Eelkõige nähakse sellega ette identimisteenuste ja usaldusväärsete e-teenuste pakkumisega seotud põhimõtted, sealhulgas tunnustamise ja aktsepteerimise suhtes kohaldatavad eeskirjad. Selles sätestatakse ka e-allkirjade, e-templite, e-ajatemplite, e-dokumentide, e-andmesideteenuste, veebisaitide autentimise ja e-sertifikaatide loomise, kontrollimise, valideerimise, käitamise ja säilitamise nõuded. |
8. |
Peale selle sätestatakse kavandatavas määruses eeskirjad usaldusteenuste pakkumise järelevalve kohta ja kohustatakse liikmesriike asutama selleks järelevalveasutused. Need asutused hakkavad muude ülesannete hulgas hindama elektrooniliste usaldusteenuste pakkujate rakendatavate tehniliste ja korralduslike meetmete nõuetele vastavust. |
9. |
II peatükis käsitletakse e-identimise teenuseid ja III peatükk on pühendatud sellistele muudele elektroonilistele usaldusteenustele nagu e-allkirjad, e-templid, e-ajatemplid, e-dokumendid, e-andmesideteenused, e-sertifikaadid ja veebisaitide autentimine. E-identimise teenused on seotud riiklike ID-kaartidega ning neid saab kasutada juurdepääsuks digitaalteenustele ja eeskätt e-valitsuse teenustele. See tähendab, et üksus, kes väljastab e-identimise vahendeid, tegutseb liikmesriigi nimel ja asjaomane liikmesriik vastutab selle eest, et konkreetne isik ja tema e-identimise vahend oleksid nõuetekohaselt vastavuses. Muude elektrooniliste usaldusteenuste puhul vastutab teenuste korrektse ja turvalise pakkumise eest füüsiline või juriidiline isik, kes teenust pakub või vahendit väljastab. |
I.4. Ettepanekuga kaasnevad andmekaitseprobleemid
10. |
Isikuandmete töötlemine on identimissüsteemide kasutamisel ja mõnevõrra ka muude usaldusteenuste pakkumisel (nt e-allkirjade puhul) möödapääsmatu. Isikuandmete töötlemist on vaja selleks, et luua usaldusväärne seos füüsilise (või juriidilise) isiku kasutatavate e-identimise ja e-autentimise vahendite ning isiku enda vahel eesmärgiga teha kindlaks, et e-sertifikaadi taga olev isik on tõesti see sama isik, kes ta väidab end olevat. Näiteks antakse e-identimise vahendeid või e-sertifikaate välja füüsilistele isikutele ja need sisaldavad asjaomaste isikute kohta mitmesuguseid üheselt mõistetavaid andmeid. Teisisõnu kaasneb ettepaneku artikli 3 lõikes 12 nimetatud elektrooniliste vahendite loomise, kontrollimise, valideerimise ja käitamisega paljudel juhtudel isikuandmete töötlemine ja seetõttu on tähtis isikuandmete kaitse. |
11. |
Seepärast on väga oluline, et e-identimise süsteemide või elektrooniliste usaldusteenuste pakkumisel töödeldaks andmeid vastavalt ELi andmekaitseraamistikule, eelkõige direktiivi 95/46/EÜ riiklikele rakendussätetele. |
12. |
Selles arvamuses keskendub Euroopa Andmekaitseinspektor oma analüüsis kolmele põhiküsimusele:
|
III. Järeldused
50. |
Euroopa Andmekaitseinspektoril on ettepaneku üle hea meel, sest see võib aidata kaasa elektrooniliste usaldusteenuste ja e-identimise süsteemide vastastikusele tunnustamisele (ja aktsepteerimisele) Euroopa tasandil. Ta kiidab ka heaks selliste ühiste nõuete kehtestamise, mida peavad järgima e-identimise vahendite väljaandjad ja elektrooniliste usaldusteenuste pakkujad. Ehkki Euroopa Andmekaitseinspektor üldjoontes toetab ettepanekut, soovib ta esitada järgmised üldised soovitused:
|
51. |
Täiustada tuleks ka mõnd konkreetset sätet e-identimise süsteemide vastastikuse tunnustamise kohta:
|
52. |
Lõpetuseks esitab Euroopa Andmekaitseinspektor seoses elektrooniliste usaldusteenuste pakkumise ja tunnustamise nõuetega ka järgmised soovitused:
|
Brüssel, 27. september 2012
Euroopa andmekaitseinspektori asetäitja
Giovanni BUTTARELLI
(1) COM(2012) 238 final.
(2) KOM(2010) 245, 19.5.2010.
(3) Artikli 19 lõike 2 punkti g alusel peavad kvalifitseeritud usaldusteenuste pakkujad registreerima väljastatavate ja saadavate andmete kohta piisavalt pika aja jooksul kogu asjakohase teabe. Artikli 19 lõike 4 alusel peavad kvalifitseeritud usaldusteenuste pakkujad andma igale sertifikaatide kasutajale teavet enda välja antud kvalifitseeritud sertifikaatide kehtivuse või kehtetuks tunnistamise kohta.