Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52013XX0130(02)

Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta joka koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi sähköisiin transaktioihin kohdistuvasta luottamuksesta sisämarkkinoilla (sähköisiä luottamuspalveluja koskeva asetus)

EUVL C 28, 30.1.2013, p. 6–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

30.1.2013   

FI

Euroopan unionin virallinen lehti

C 28/6

Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta joka koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi sähköisiin transaktioihin kohdistuvasta luottamuksesta sisämarkkinoilla (sähköisiä luottamuspalveluja koskeva asetus)

(Tämän lausunnon lyhentämättömät englannin-, ranskan- ja saksankieliset versiot ovat saatavana Euroopan tietosuojavaltuutetun verkkosivustolta http://www.edps.europa.eu)

2013/C 28/04

I   Johdanto

I.1   Ehdotus

1.

Komissio hyväksyi 4 päivänä kesäkuuta 2012 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi Euroopan parlamentin ja neuvoston direktiivin 1999/93/EY muuttamisesta siltä osin kuin on kyse sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla (jäljempänä ’ehdotus’) (1).

2.

Ehdotus on yksi komission toimenpiteistä, joilla edistetään sähköisten transaktioiden käyttöönottoa EU:ssa. Se on jatkoa Euroopan digitaalistrategialle (2), jossa ehdotetaan sähköisiä allekirjoituksia koskevan lainsäädännön parantamista (avaintoiminto 3) sekä yhtenäisen kehyksen luomista sähköisen tunnistamisen ja todentamisen vastavuoroiselle tunnustamiselle (avaintoiminto 16) alalla.

3.

Ehdotuksen odotetaan parantavan luottamusta yleiseurooppalaisiin sähköisiin transaktioihin sekä varmistavan rajat ylittävää sähköistä tunnistamista, todentamista, allekirjoittamista ja niihin liittyviä luottamuspalveluja sisämarkkinoilla samalla, kun taataan korkea tietosuojan taso ja käyttäjien valtaistaminen.

4.

Tietosuojan korkea taso on ratkaisevan tärkeää sähköisen tunnistamisen menetelmien ja luottamuspalvelujen käytössä. Näitä sähköisiä välineitä kehitettäessä ja käytettäessä on ehdottomasti lähdettävä siitä, että luottamuspalveluntarjoajat ja sähköisen tunnisteen antajat käsittelevät henkilötietoja asianmukaisesti. Erityisen tärkeää se on siksi, että luonnollisten henkilöiden (ja oikeushenkilöiden) mahdollisimman luotettava tunnistaminen ja todentaminen riippuvat muun muassa tällaisesta käsittelystä.

I.2   Euroopan tietosuojavaltuutetun kuuleminen

5.

Ennen ehdotuksen hyväksymistä tietosuojavaltuutetulle annettiin mahdollisuus esittää komissiolle epävirallisia huomautuksiaan. Jotkin näistä huomautuksista on otettu huomioon nyt tarkasteltavassa ehdotuksessa. Näin ollen ehdotuksen sisältämiä tietosuojatakeita on vahvistettu.

6.

Tietosuojavaltuutettu on tyytyväinen siihen, että komissio on pyytänyt häneltä lausuntoa asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti.

I.3   Ehdotuksen tausta

7.

Ehdotus perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 114 artiklaan, ja siinä vahvistetaan edellytykset ja menettelyt sähköisen tunnistamisen ja sähköisten luottamuspalvelujen vastavuoroiselle tunnustamiselle ja hyväksymiselle jäsenvaltioiden välillä. Erityisesti ehdotuksessa määritellään periaatteet, joita on noudatettava sähköisten tunnistamispalvelujen ja luotettujen sähköisten palvelujen tarjoamisessa, mukaan lukien tunnistamiseen ja hyväksymiseen sovellettavat säännöt. Lisäksi siinä säädetään sähköisten allekirjoitusten, sähköisten leimojen, sähköisten aikaleimojen, sähköisten asiakirjojen, sähköisten jakelupalvelujen, verkkosivustojen todentamisen ja sähköisten varmenteiden luomista, tarkastamista, validointia, käsittelyä ja säilyttämistä koskevista vaatimuksista.

8.

Ehdotetussa asetuksessa annetaan myös luottamuspalvelujen tarjoajien valvontaa koskevia sääntöjä sekä velvoitetaan jäsenvaltiot perustamaan tätä varten valvontaelimet. Näiden elinten tehtävänä on muun muassa arvioida sähköisten luottamuspalvelujen tarjoajien toteuttamien teknisten ja organisatoristen järjestelyjen vaatimustenmukaisuus.

9.

Ehdotuksen II luvussa käsitellään sähköisen tunnistamisen palveluja ja III luvussa keskitytään muihin sähköisiin luottamuspalveluihin, kuten sähköisiin allekirjoituksiin, sähköisiin leimoihin, sähköisiin aikaleimoihin, sähköisiin asiakirjoihin, sähköisiin jakelupalveluihin ja verkkosivustojen todentamiseen. Sähköisen tunnistamisen palvelut liittyvät kansallisiin henkilökortteihin, ja niitä voidaan käyttää pääsyssä digitaalisiin palveluihin ja erityisesti sähköisiin viranomaispalveluihin. Tämä tarkoittaa, että sähköistä tunnistusta tarjoava yritys toimii jäsenvaltion puolesta ja että kyseinen jäsenvaltio on silloin vastuussa asianmukaisen yhteyden luomisesta itse henkilön ja hänen sähköisen tunnisteensa välille. Muissa sähköisissä luottamuspalveluissa palvelujen asianmukaisesta ja turvallisesta tarjoamisesta vastaa palveluntarjoajana/tunnisteen antajana toimiva luonnollinen henkilö tai oikeushenkilö.

I.4   Ehdotukseen liittyvät tietosuojaongelmat

10.

Henkilötietojen käsittely kuuluu erottamattomasti sähköisen tunnistamisen järjestelmien käyttöön ja jossain määrin myös luottamuspalvelujen tarjoamiseen (esimerkiksi sähköisten allekirjoitusten tapauksessa). Henkilötietojen käsittelyä tarvitaan luotettavan yhteyden luomiseksi luonnollisen henkilön (tai oikeushenkilön) käyttämien sähköisten tunniste- ja varmennustietojen ja kyseisen henkilön välille, jotta pystyttäisiin todentamaan, että sähköisen varmenteen takana oleva henkilö todellakin on se, joka hän väittää olevansa. Esimerkiksi sähköiset tunnisteet tai sähköiset varmenteet viittaavat aina luonnollisiin henkilöihin, ja niissä käytetään yksiselitteisesti kyseistä luonnollista henkilöä edustavia tunnistetietoja. Toisin sanoen ehdotuksen 3 artiklan 12 kohdassa tarkoitettu sähköisten tunnisteiden luominen, tarkastaminen, validointi ja käsittely edellyttää monissa tapauksissa henkilötietojen käsittelyä, ja siinä yhteydessä tietosuojalla on hyvinkin tärkeä merkitys.

11.

Sen vuoksi on olennaista, että sähköisen tunnistamisen järjestelmiä tai sähköisiä luottamuspalveluja tarjottaessa tietojen käsittely tapahtuu aina EU:n tietosuojakehyksen, erityisesti direktiivin 95/46/EY kansallisten täytäntöönpanosäännösten mukaisesti.

12.

Tässä lausunnossa tietosuojavaltuutettu keskittää tarkastelunsa pääasiassa:

a)

tapaan, jolla tietosuojaa käsitellään ehdotuksessa;

b)

rajojen yli tunnustettaviin ja hyväksyttäviin sähköisen tunnistamisen järjestelmiin liittyviin tietosuojanäkökohtiin; ja

c)

rajojen yli tunnustettaviin ja hyväksyttäviin sähköisiin luottamuspalveluihin liittyviin tietosuojanäkökohtiin.

III   Päätelmät

50.

Tietosuojavaltuutettu on tyytyväinen ehdotukseen, koska se voi osaltaan edistää sähköisten luottamuspalvelujen ja sähköisen tunnistamisen järjestelmien vastavuoroista tunnustamista (ja hyväksymistä) EU:ssa. Hän on tyytyväinen myös siihen, että ehdotuksessa määritellään yhteiset vaatimukset, jotka sähköisten tunnisteiden antajien ja luottamuspalvelujen tarjoajien on täytettävä. Vaikka tietosuojavaltuutettu pitää ehdotusta yleisesti hyväksyttävänä, hän haluaa kuitenkin esittää siitä seuraavat yleiset suositukset:

ehdotukseen sisältyviä tietosuojasäännöksiä ei pitäisi rajoittaa ainoastaan luottamuspalvelujen tarjoajiin, vaan niitä olisi sovellettava myös henkilötietojen käsittelyyn ehdotuksen II luvussa kuvailluissa sähköisen tunnistamisen järjestelmissä;

ehdotetussa asetuksessa olisi määritettävä luottamuspalvelujen tarjoajia ja sähköisten tunnisteiden antajia koskevat yhteiset tietoturvavaatimukset. Vaihtoehtoisesti siinä voitaisiin antaa komissiolle valtuudet määrittää – tarvittaessa valikoidusti antamillaan delegoiduilla säädöksillä tai täytäntöönpanosäädöksillä – sähköisissä luottamuspalveluissa ja sähköisen tunnistamisen järjestelmissä noudatettavat tietoturvakriteerit, -edellytykset ja -vaatimukset;

sähköisten luottamuspalvelujen tarjoajat ja sähköisten tunnisteiden antajat olisi velvoitettava tarjoamaan palvelujensa käyttäjille i) asianmukaiset tiedot heidän henkilötietojensa keruusta, siirrosta ja säilyttämisestä sekä ii) asianmukaiset keinot valvoa omia henkilötietojaan ja käyttää tietosuojaoikeuksiaan;

tietosuojavaltuutettu suosittelee, että ehdotukseen lisättäisiin valikoivasti säännöksiä, joissa komissio valtuutetaan täsmentämään konkreettisia säännöksiä tai laatimaan niistä yksityiskohtaiset säännöt ehdotetun asetuksen hyväksymisen jälkeen annettavissa delegoiduissa säädöksissä tai täytäntöönpanosäädöksissä.

51.

Joitakin sähköisen tunnistamisen järjestelmien vastavuoroista tunnustamista koskevia erityissäännöksiä olisi parannettava seuraavasti:

ehdotetussa asetuksessa olisi täsmennettävä, mitä tietoja tai tietoryhmiä henkilöiden rajat ylittävässä tunnistamisessa käsitellään. Tästä täsmennyksestä olisi säädettävä vähintään yhtä yksityiskohtaisesti kuin liitteissä säädetään muista luottamuspalveluista, ja siinä olisi otettava huomioon suhteellisuusperiaatteen noudattaminen;

tunnistamisjärjestelmien tarjoamisessa edellytettävien tietosuojatakeiden olisi täytettävä ainakin hyväksyttyjen luottamuspalvelujen tarjoajille asetetut vaatimukset;

ehdotuksessa olisi säädettävä asianmukaisista järjestelyistä viitekehyksen määrittämiseksi kansallisten tunnistamisjärjestelmien yhteentoimivuudelle.

52.

Lopuksi tietosuojavaltuutettu esittää sähköisten luottamuspalvelujen tarjoamista ja tunnustamista koskevista vaatimuksista seuraavat suositukset:

ehdotuksessa olisi täsmennettävä kaikkien sähköisten palvelujen osalta, käsitelläänkö niissä henkilötietoja, ja jos käsitellään, mistä tiedoista tai tietoryhmistä on kyse;

asetukseen olisi sisällytettävä asianmukaiset suojakeinot, joilla vältetään sähköisten luottamuspalvelujen valvontaelinten toimivaltuuksien ja tietosuojaviranomaisten toimivaltuuksien päällekkäisyydet;

sähköisten luottamuspalvelujen tarjoajille asetettujen henkilötietojen suojan loukkauksia ja tietoturvapoikkeamia koskevien velvoitteiden tulisi olla yhdenmukaiset tarkistetussa sähköisen viestinnän tietosuojadirektiivissä ja ehdotetussa tietosuoja-asetuksessa säädettyjen vaatimusten kanssa;

ehdotuksessa olisi määriteltävä selkeämmin ne yksityiset tai julkiset tahot, joilla on oikeus suorittaa kolmansina osapuolina 16 ja 17 artiklassa tarkoitettuja tarkastuksia tai jotka voivat tarkastaa 23 artiklassa tarkoitettuja sähköisten allekirjoitusten luontivälineitä, samoin kuin kriteerit, joiden perusteella näiden tahojen riippumattomuutta arvioidaan;

asetuksessa olisi määriteltävä tarkemmin 19 artiklan 2 kohdassa ja 19 artiklan 4 kohdassa (3) tarkoitettujen tietojen säilytysaika.

Tehty Brysselissä 27 päivänä syyskuuta 2012.

Giovanni BUTTARELLI

Euroopan apulaistietosuojavaltuutettu

(1)  KOM(2012) 238 lopullinen.

(2)  KOM(2010) 245, 19.5.2010.

(3)  Ehdotuksen 19 artiklan 2 kohdan g alakohdan mukaan hyväksyttyjen luottamuspalvelujen tarjoajien on arkistoitava asianmukaisen ajan kaikki tarvittavat tiedot hyväksytyn luottamuspalvelun tarjoajan myöntämistä ja vastaanottamista tiedoista. Sen 19 artiklan 4 kohdan mukaan hyväksyttyjen luottamuspalvelujen tarjoajien on annettava kaikille niihin tukeutuville tahoille tietoa niiden myöntämien hyväksyttyjen varmenteiden voimassaolo- tai peruutustilasta.

Top