EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019R1799

Komission täytäntöönpanoasetus (EU) 2019/1799, annettu 22 päivänä lokakuuta 2019, yksittäisten verkossa toteutettavien keruujärjestelmien teknisistä eritelmistä eurooppalaisesta kansalaisaloitteesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/788 mukaisesti

C/2019/7454

EUVL L 274, 28.10.2019, p. 3–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2019/1799/oj

28.10.2019   

FI

Euroopan unionin virallinen lehti

L 274/3


KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) 2019/1799,

annettu 22 päivänä lokakuuta 2019,

yksittäisten verkossa toteutettavien keruujärjestelmien teknisistä eritelmistä eurooppalaisesta kansalaisaloitteesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/788 mukaisesti

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon eurooppalaisesta kansalaisaloitteesta 17 päivänä huhtikuuta 2019 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/788 (1) ja erityisesti sen 11 artiklan 5 kohdan,

sekä katsoo seuraavaa:

(1)

Asetuksessa (EU) 2019/788 vahvistetaan eurooppalaista kansalaisaloitetta koskevat tarkistetut säännöt ja kumotaan Euroopan parlamentin ja neuvoston asetus (EU) N:o 211/2011 (2).

(2)

Asetuksessa (EU) 2019/788 säädetään, että järjestäjien on käytettävä komission perustamaa ja ylläpitämää keskitettyä verkossa toteutettavaa keruujärjestelmää rekisteröityjen kansalaisaloitteiden tuenilmausten keräämiseksi verkossa. Jotta voidaan helpottaa siirtymistä uuteen järjestelmään, järjestäjät voivat kuitenkin päättää käyttää omia yksittäisiä verkossa toteutettavia keruujärjestelmiään niiden aloitteiden osalta, jotka on rekisteröity asetuksen (EU) 2019/788 mukaisesti vuoden 2022 loppuun mennessä.

(3)

Asetuksen (EU) 2019/788 mukaisesti yksittäisillä järjestelmillä, joita käytetään rekisteröityjen kansalaisaloitteiden tuenilmausten keräämiseksi verkossa, olisi oltava asianmukaiset tekniset ominaisuudet ja turvaominaisuudet, jotta voidaan varmistaa tietojen turvallinen kerääminen, säilyttäminen ja siirtäminen koko keruumenettelyn ajan. Komission olisi yhdessä jäsenvaltioiden kanssa määriteltävä tekniset eritelmät, jotta voidaan panna täytäntöön yksittäisiä verkossa toteutettavia keruujärjestelmiä koskevat vaatimukset.

(4)

Tässä asetuksessa vahvistetuilla säännöillä korvataan komission täytäntöönpanoasetuksessa (EU) N:o 1179/2011 (3) vahvistetut säännöt, minkä seurauksena täytäntöönpanoasetus raukeaa.

(5)

Toteutettavilla teknisillä ja organisatorisilla toimenpiteillä olisi pyrittävä estämään henkilötietojen luvaton käsittely ja suojaamaan niitä vahingossa tapahtuvalta tai laittomalta tuhoamiselta, vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai käytöltä sekä järjestelmän suunnittelun aikana että tietojen keruuaikana sen alusta loppuun.

(6)

Siksi järjestäjien olisi sovellettava asianmukaisia riskinhallintamenettelyitä, joiden avulla he voivat tunnistaa järjestelmiinsä kohdistuvat riskit ja määrittää asianmukaiset ja oikeasuhteiset vastatoimenpiteet riskien vähentämiseksi hyväksyttävälle tasolle. Järjestäjien olisi asianmukaisesti dokumentoitava tunnistamansa tietoturvaa ja -suojaa koskevat riskit sekä toimenpiteet näiden riskien torjumiseksi ottaen huomioon todentamisviranomaisen soveltamat turvallisuussäännöt ja -vaatimukset. Turvallisuussääntöjen ja -vaatimusten olisi oltava asetuksen (EU) 2019/788 mukaisia, ja todentamisviranomaisen olisi asetettava ne pyynnöstä saataville.

(7)

Tässä asetuksessa vahvistetut tekniset eritelmät eivät saisi rajoittaa järjestäjien velvollisuutta noudattaa Euroopan parlamentin ja neuvoston asetuksesta (EU) 2016/679 (4) johtuvia tietosuojavaatimuksia, muun muassa mahdollista tarvetta suorittaa tietosuojaa koskeva vaikutustenarviointi.

(8)

Järjestäjäryhmän edustajaa tai tapauksen mukaan kyseisen asetuksen 5 artiklan 7 kohdassa tarkoitettua oikeushenkilöä pidetään asetuksen (EU) 2016/679 mukaisesti rekisterinpitäjänä, kun on kyse henkilötietojen käsittelystä verkossa toteutettavassa yksittäisessä keruujärjestelmässä.

(9)

Järjestäjien, jotka tekevät muutoksia yksittäisiin verkossa toteutettaviin keruujärjestelmiinsä sen jälkeen, kun järjestelmä on vahvistettu, olisi ilmoitettava asiasta viipymättä asianomaiselle todentamisviranomaiselle siltä varalta, että muutos vaikuttaa vahvistamisen perustana olevaan arviointiin. Ennen tätä, järjestäjät voivat kuitenkin pyytää neuvoa todentamisviranomaiselta tarkistaakseen, voiko muutoksella olla tällaista vaikutusta, jolloin siitä on ilmoitettava.

(10)

Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (5) 42 artiklan mukaisesti, ja hän on esittänyt huomioita 16 päivänä syyskuuta 2019. Euroopan unionin verkko- ja tietoturvavirastoa kuultiin, ja se esitti huomioita 18 päivänä heinäkuuta 2019.

(11)

Tässä asetuksessa säädetyt toimenpiteet ovat asetuksen (EU) 2019/788 22 artiklan nojalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Asetuksen (EU) 2019/788 11 artiklan 5 kohdassa tarkoitetut tekniset eritelmät esitetään tämän asetuksen liitteessä.

2 artikla

1.   Järjestäjien on varmistettava, että heidän yksittäisissä verkossa toteutettavissa keruujärjestelmissään noudatetaan liitteessä esitettyjä teknisiä eritelmiä keruuajan alusta loppuun.

2.   Järjestäjien on ilmoitettava viipymättä asetuksen (EU) 2019/788 11 artiklan 3 kohdassa tarkoitetuille jäsenvaltion toimivaltaiselle viranomaiselle muutoksista, joita on tehty järjestelmään tai organisatorisiin tukitoimenpiteisiin sen jälkeen, kun viranomainen on vahvistanut järjestelmän, silloin kun muutokset ovat sellaisia, että ne voivat vaikuttaa vahvistamisen perustana olevaan arviointiin. Tätä ennen järjestäjät voivat pyytää neuvoa todentamisviranomaiselta tarkistaakseen, voiko muutoksella olla tällaista vaikutusta.

3 artikla

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Sitä sovelletaan 1 päivästä tammikuuta 2020.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 22 päivänä lokakuuta 2019.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER


(1)  EUVL L 130, 17.5.2019, s. 55.

(2)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 211/2011, annettu 16 päivänä helmikuuta 2011, kansalaisaloitteesta (EUVL L 65, 11.3.2011, s. 1).

(3)  Komission täytäntöönpanoasetus (EU) N:o 1179/2011, annettu 17 päivänä marraskuuta 2011, verkossa toteutettavien keruujärjestelmien teknisistä eritelmistä kansalaisaloitteesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 211/2011 mukaisesti (EUVL L 301, 18.11.2011, s. 3).

(4)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), EUVL L 119, 4.5.2016, s. 1.

(5)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).


LIITE

1.   Tekniset eritelmät asetuksen (EU) 2019/788 11 artiklan 4 kohdan a alakohdan täytäntöönpanoa varten

Järjestelmässä on sovellettava teknisiä toimenpiteitä, joilla varmistetaan, että ainoastaan luonnolliset henkilöt voivat toimittaa tuenilmauksia. Teknisissä toimenpiteissä ei saa edellyttää, että kerätään ja säilytetään muita henkilötietoja kuin mitä on lueteltu asetuksen (EU) 2019/788 liitteessä III.

2.   Tekniset eritelmät asetuksen (EU) 2019/788 11 artiklan 4 kohdan b alakohdan täytäntöönpanoa varten

Järjestäjien on otettava käyttöön riittävät ja tehokkaat tekniset ja organisatoriset toimenpiteet hallitakseen niiden verkko- ja tietojärjestelmien turvallisuuteen kohdistuvia riskejä, joita ne käyttävät toimissaan, jotta voidaan varmistaa, että verkossa toteutettavassa keruujärjestelmässä annetut ja yleisölle verkossa esitetyt tiedot aloitteesta vastaavat asetuksen (EU) 2019/788 6 artiklan 5 kohdassa tarkoitetussa rekisterissä julkaistuja tietoja.

Järjestäjien on varmistettava, että

a)

verkossa toteutettavassa keruujärjestelmässä annetut tiedot aloitteesta vastaavat rekisterissä julkaistuja tietoja;

b)

järjestelmässä esitetään rekisterissä julkaistut aloitetta koskevat tiedot ennen kuin kansalainen toimittaa tuenilmauksensa;

c)

käytössä on turvatoimet, joilla varmistetaan, että tietojen syöttökentät tuenilmauksissa esitetään yhdessä aloitetta koskevien tietojen kanssa sellaisen riskin estämiseksi, että tuenilmaukset toimitetaan eri aloitteeseen, koska aloitteen tiedot on esitetty väärin;

d)

järjestelmällä varmistetaan, että tietojen toimittamisen jälkeen, tuenilmauksiin sisältyvät tiedot tallennetaan yhdessä aloitteen tietojen kanssa;

e)

käytössä on turvatoimet, joilla estetään luvattomien muutosten tekeminen tietoihin, jotka aloitteesta on annettu verkossa toteutettavassa keruujärjestelmässä.

3.   Tekniset eritelmät asetuksen (EU) 2019/788 11 artiklan 4 kohdan c alakohdan täytäntöönpanoa varten

Järjestelmällä on varmistettava, että henkilö voi toimittaa tuenilmauksen vasta, kun on vahvistettu, että henkilö on lukenut asetuksen (EU) 2019/788 liitteessä III olevan tietosuojalausekkeen.

Järjestelmällä on varmistettava, että tuenilmaukset toimitetaan asetuksen (EU) 2019/788 liitteessä III olevien tietokenttien mukaisesti.

4.   Tekniset eritelmät asetuksen (EU) 2019/788 11 artiklan 4 kohdan d alakohdan täytäntöönpanoa varten

4.1   Hallinnointi

4.1.1

Järjestäjäryhmän on nimettävä turvallisuushenkilö, joka vastaa järjestelmän turvallisuudesta ja kerättyjen tuenilmausten turvallisesta siirtämisestä vastuujäsenvaltion toimivaltaiselle viranomaiselle. Turvallisuushenkilön on valvottava tietojen turvaamisen liittyviä prosesseja sekä teknisiä ja organisatorisia turvatoimia, jotta voidaan varmistaa allekirjoittajien antaminen tietojen turvallinen keruu, säilyttäminen ja siirtäminen.

4.1.2

Järjestäjät voivat pyytää asetuksen (EU) 2019/788 11 artiklan 3 kohdassa tarkoitettua kansallista toimivaltaista viranomaista toimittamaan sovellettavat turvallisuussäännöt ja -vaatimukset yksittäisen verkossa toteutettavan keruujärjestelmän vaatimuksenmukaisuuden vahvistamista varten. Toimivaltaisen viranomaisen on toimitettava turvallisuussäännöt ja -vaatimukset pääsääntöisesti kuukauden kuluessa pyynnön vastaanottamisesta. Turvallisuussääntöjen ja -vaatimusten on oltava voimassa olevien asianmukaisten kansallisten tai kansainvälisten turvastandardien mukaisia.

4.1.3

Järjestelmän turvallisuussäännöissä ja -vaatimuksissa on puututtava 4.2. kohdassa määriteltyihin riskeihin ja otettava huomioon 4.3. kohdassa esitetyt eritelmät.

4.2   Tietojen turvaaminen

4.2.1

Järjestäjien on käytettävä riskinhallintaprosesseja tunnistaakseen järjestelmiensä käyttöön liittyvät riskit, allekirjoittajien oikeuksiin ja vapauksiin liittyvät riskit mukaan luettuina, ja määritelläkseen asianmukaiset ja oikeasuhteiset toimenpiteet, joilla voidaan estää ja hillitä heidän käyttämiensä verkko- ja tietojärjestelmien turvallisuuteen vaikuttavien häiriöiden vaikutuksia.

Riskinhallinnassa on keskityttävä erityisesti järjestelmän riskeihin, jotka liittyvät tietojen luottamuksellisuuteen ja eheyteen. Nämä riskit voivat johtua muun muassa seuraavista uhista:

a)

käyttövirheet;

b)

järjestelmä- tai tietoturvavastaavan virheet;

c)

konfigurointivirheet;

d)

haittaohjelmatartunta;

e)

tietojen tahaton muuttaminen;

f)

tietojen luovuttaminen tai tietovuodot;

g)

ohjelmiston haavoittuvuus;

h)

luvaton käyttö;

i)

tietoliikenteen seuranta tai salakuuntelu;

j)

tietosuojariskit.

4.2.2

Järjestäjien on toimitettava asiakirjat, joiden perusteella ilmenee, että he ovat

a)

arvioineet järjestelmään liittyvät riskit;

b)

määritelleet asianmukaisia toimenpiteitä estääkseen ja hillitäkseen järjestelmien turvallisuuteen vaikuttavia häiriöitä;

c)

tunnistaneet jäljelle jäävät riskit;

d)

toteuttaneet toimenpiteet ja todentaneet niiden täytäntöönpanon;

e)

esittäneet organisatoriset keinot saada tietoa uusista uhkista ja turvallisuuden parannuksista;

f)

noudattaneet koko keruuajan asetuksen (EU) 2019/788 11 artiklan 4 kohdassa esitettyjä vaatimuksenmukaisuuden vahvistamisvaatimuksia ja huolehtineet, että käytössä on järjestelmä sen varmistamiseksi.

4.2.3

Järjestelmien turvallisuuteen vaikuttavien häiriöiden estämiseen ja hillitsemiseen tähtäävien toimenpiteiden on katettava seuraavat alat:

a)

henkilöstöturvallisuus;

b)

pääsynvalvonta;

c)

salaustekniikkaa hyödyntävä valvonta;

d)

fyysinen ja ympäristön turvallisuus;

e)

toimien turvallisuus;

f)

tietoliikenneturvallisuus;

g)

järjestelmien hankinta, kehittäminen ja ylläpito;

h)

tietoturvaloukkausten hallinta;

i)

vaatimusten noudattaminen.

Näiden turvatoimien soveltaminen voidaan rajoittaa organisaation niihin osiin, jotka liittyvät verkossa toteutettavaan keruujärjestelmään. Esimerkiksi henkilöstöturvallisuus voidaan rajoittaa henkilöstöön, jolla on fyysinen tai looginen pääsy verkossa toteutettavaan keruujärjestelmään, ja fyysinen ja ympäristön turvallisuus voidaan rajoittaa rakennuksiin, joihin järjestelmä on sijoitettu.

4.2.4

Jos järjestäjät käyttävät suoritinta verkossa toteutettavaa keruujärjestelmän tai sen osien kehittämiseen tai käyttöön, järjestäjien on toimitettava asiakirjat, joiden perusteella todentamisviranomainen voi varmistaa, että tarvittavat turvatarkastukset on tehty.

4.3   Tietojen salaaminen

Järjestelmä mahdollistaa tietojen salaamisen seuraavasti:

a)

sähköiset henkilötiedot on salattava, kun ne tallennetaan tai siirretään jäsenvaltioiden toimivaltaisille viranomaisille asetuksen (EU) 2019/788 mukaisesti, ja avainten hallinnointi ja varmuuskopiointi tapahtuu eriytetysti;

b)

asianmukaisia standardialgoritmeja ja vahvoja avaimia on käytettävä kansainvälisten standardien (esim. ETSI:n standardin) mukaisesti; käytössä on avainten hallintajärjestelmä,

c)

kaikki avaimet ja salasanat on suojattava luvattomalta käytöltä.


Top