|
7.5.2014 |
FI |
Euroopan unionin virallinen lehti |
L 134/32 |
KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) N:o 463/2014,
annettu 5 päivänä toukokuuta 2014,
jäsenvaltioiden ja komission väliseen sähköiseen tiedonvaihtojärjestelmään sovellettavien edellytysten vahvistamisesta vähävaraisimmille suunnatun eurooppalaisen avun rahastosta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 223/2014 mukaisesti
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon vähävaraisimmille suunnatun eurooppalaisen avun rahastosta 11 päivänä maaliskuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 223/2014 (1) ja erityisesti sen 30 artiklan 4 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Asetuksen (EU) N:o 223/2014 30 artiklan 4 kohdan mukaisesti jäsenvaltioiden ja komission välinen virallinen tiedonvaihto olisi kokonaisuudessaan hoidettava käyttämällä sähköistä tiedonvaihtojärjestelmää. Sen vuoksi on tarpeen määrittää ehdot ja edellytykset, jotka kyseisen sähköisen tiedonvaihtojärjestelmän olisi täytettävä. |
|
(2) |
Jotta toimenpideohjelmien täytäntöönpanosta saataisiin laadukkaampia tietoja ja jotta järjestelmästä tehtäisiin hyödyllisempi ja yksinkertaisempi, on tarpeen määrittää vaihdettavien tietojen muotoa ja sisältöä koskevat perusvaatimukset. |
|
(3) |
On tarpeen määrittää järjestelmän toimintaa koskevat periaatteet sekä sovellettavat säännöt, siltä osin kuin on kyse asiakirjojen tallentamisesta ja päivittämisestä vastaavan osapuolen määrittelystä. |
|
(4) |
Jotta voitaisiin keventää jäsenvaltioille ja komissiolle aiheutuvaa hallinnollista taakkaa ja toisaalta taata sähköisen tiedonvaihdon tehokkuus ja vaikuttavuus, on tarpeen vahvistaa järjestelmän tekniset ominaisuudet. |
|
(5) |
Jäsenvaltioilla ja komissiolla olisi myös oltava mahdollisuus koodata ja siirtää tiedot kahdella eri tavalla, jotka olisi määriteltävä. Lisäksi on välttämätöntä vahvistaa säännöt sellaisia tilanteita varten, joissa ylivoimainen este estää sähköisen tiedonvaihtojärjestelmän käytön, jotta varmistettaisiin, että sekä jäsenvaltiot että komissio voivat jatkaa tiedonvaihtoa vaihtoehtoisin keinoin. |
|
(6) |
Jäsenvaltioiden ja komission olisi varmistettava, että sähköisen tiedonvaihtojärjestelmän kautta tapahtuva tietojen siirto suoritetaan suojatusti ottaen huomioon tietojen käytettävyys, eheys, autenttisuus, luottamuksellisuus ja kiistämättömyys. Sen vuoksi olisi määritettävä turvallisuutta koskevat säännöt. |
|
(7) |
Tässä asetuksessa olisi kunnioitettava perusoikeuksia ja noudatettava Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita, erityisesti oikeutta henkilötietojen suojaan. Tätä asetusta olisi näin ollen sovellettava kyseisten oikeuksien ja periaatteiden mukaisesti. Jäsenvaltioiden suorittaman henkilötietojen käsittelyn osalta sovelletaan Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY (2). Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (3) sovelletaan, kun kyseessä ovat unionin toimielinten ja elinten suorittama henkilötietojen käsittely ja näiden tietojen vapaa liikkuvuus. |
|
(8) |
Tässä asetuksessa säädettyjen toimenpiteiden ripeän soveltamisen varmistamiseksi tämän asetuksen olisi tultava voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä. |
|
(9) |
Tässä asetuksessa säädetyt toimenpiteet ovat vähävaraisimmille suunnatun eurooppalaisen avun rahaston komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
I LUKU
ASETUKSEN (EU) N:O 223/2014 TÄYTÄNTÖÖNPANOA KOSKEVAT SÄÄNNÖKSET VÄHÄVARAISIMMILLE SUUNNATUN EUROOPPALAISEN AVUN RAHASTON OSALTA
SÄHKÖINEN TIEDONVAIHTOJÄRJESTELMÄ
(Asetuksen (EU) N:o 223/2014 30 artiklan 4 kohdan mukainen valtuutus)
1 artikla
Sähköisen tiedonvaihtojärjestelmän perustaminen
Komissio perustaa sähköisen tiedonvaihtojärjestelmän, jota käytetään kaikessa virallisessa tiedonvaihdossa jäsenvaltioiden ja komission välillä.
2 artikla
Sähköisen tiedonvaihtojärjestelmän sisältö
Sähköisessä tiedonvaihtojärjestelmässä, jäljempänä ’SFC2014-järjestelmä’, on oltava vähintään ne tiedot, jotka on määritetty asetuksen (EU) N:o 223/2014 mukaisesti vahvistetuissa malleissa, formaateissa ja lomakkeissa. SFC2014-järjestelmään upotetuissa sähköisissä lomakkeissa annettuja tietoja, jäljempänä ’rakenteellinen data’, ei saa korvata rakenteettomalla datalla, mukaan lukien hyperlinkkien käyttö tai muu rakenteeton data, kuten liiteasiakirjat tai -kuvat. Jos jäsenvaltio toimittaa samat tiedot sekä rakenteellisena datana että rakenteettomana datana, epäjohdonmukaisuuksien ilmetessä käytetään rakenteellista dataa.
3 artikla
SFC2014-järjestelmän toiminta
1. Komissio, jäsenvaltioiden Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 966/2012 (4) 59 artiklan 3 kohdan sekä asetuksen (EU) N:o 223/2014 31 artiklan nojalla nimeämät viranomaiset sekä elimet, joille kyseisten viranomaisten tehtäviä on siirretty, tallentavat SFC2014-järjestelmään ne tiedot, joiden toimittamisesta ne ovat vastuussa, sekä kyseisiin tietoihin mahdollisesti tehtävät päivitykset.
2. Kaikki komissiolle lähetettävät tiedot on tarkastettava ja toimitettava siten, että tarkastuksen ja toimituksen hoitaa eri henkilö kuin se, joka tallensi tiedot kyseistä tietolähetystä varten. SFC2014-järjestelmän tai SFC2014-järjestelmään automaattisesti liittyvien jäsenvaltion hallinto- ja valvontatietojärjestelmien on tuettava tätä tehtävien eriyttämistä.
3. Jäsenvaltioiden on nimitettävä kansallisella tasolla yksi tai useampi SFC2014-järjestelmän käyttöoikeuksien hallinnoinnista vastaava henkilö, jolle kuuluvat seuraavat tehtävät:
|
a) |
käyttöoikeutta hakevien käyttäjien tunnistaminen sekä sen varmistaminen, että asianomaiset käyttäjät ovat kyseisen organisaation palveluksessa; |
|
b) |
tiedottaminen käyttäjille heille kuuluvista järjestelmän turvallisuuden ylläpitoa koskevista velvoitteista; |
|
c) |
sen tarkastaminen, ovatko käyttäjät oikeutettuja vaadittuun käyttöoikeustasoon ottaen huomioon heidän tehtävänsä ja heidän hierarkkinen asemansa; |
|
d) |
käyttöoikeuksien lakkauttamisen pyytäminen, kun kyseiset käyttöoikeudet eivät ole enää tarpeen tai aiheellisia; |
|
e) |
ripeä ilmoittaminen sellaisista epäilyttävistä tapauksista, jotka voivat vaarantaa järjestelmän turvallisuuden; |
|
f) |
käyttäjien tunnistetietojen jatkuvan oikeellisuuden varmistaminen ilmoittamalla mahdollisista muutoksista; |
|
g) |
tarvittavista tietosuojaa ja liikesalaisuuksia koskevista varotoimista huolehtiminen unionin ja kansallisten sääntöjen mukaisesti; |
|
h) |
kaikkien sellaisten muutosten ilmoittaminen komissiolle, jotka vaikuttavat jäsenvaltioiden viranomaisten tai SFC2014-järjestelmän käyttäjien kykyyn hoitaa 1 kohdassa tarkoitetut tehtävät tai heidän henkilökohtaiseen kykyynsä hoitaa a–g alakohdassa tarkoitetut tehtävät. |
4. Tiedonvaihdossa ja tapahtumissa on käytettävä sähköistä allekirjoitusta Euroopan parlamentin ja neuvoston direktiivissä 1999/93/EY (5) tarkoitetulla tavalla. Jäsenvaltiot ja komissio hyväksyvät SFC2014-järjestelmässä käytetyn sähköisen allekirjoituksen oikeudellisen vaikutuksen ja hyväksyttävyyden todisteeksi oikeudellisissa menettelyissä.
SFC2014-järjestelmän kautta toimitettavien tietojen käsittelyssä kunnioitetaan Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (6), Euroopan parlamentin ja neuvoston direktiivin 2009/136/EY (7), Euroopan parlamentin ja neuvoston direktiivin 95/46/EY ja asetuksen (EY) N:o 45/2001 mukaisesti yksilöiden yksityisyyden ja henkilötietojen suojaa sekä oikeushenkilöiden kaupallisten tietojen luottamuksellisuutta.
4 artikla
SFC2014-järjestelmän ominaisuudet
Jotta taattaisiin sähköisen tiedonvaihdon tehokkuus ja vaikuttavuus, SFC2014-järjestelmällä on oltava seuraavat ominaisuudet:
|
a) |
vuorovaikutteiset lomakkeet tai lomakkeet, jotka järjestelmä esitäyttää järjestelmään jo aiemmin tallennettujen tietojen perusteella; |
|
b) |
automaattiset laskentatoiminnot, kun ne vähentävät käyttäjien koodaustyötä; |
|
c) |
automaattiset upotetut tarkistustoiminnot, joilla tarkistetaan, ovatko toimitetut tiedot keskenään johdonmukaisia ja vastaavatko tiedot sovellettavia sääntöjä; |
|
d) |
järjestelmän luomat SFC2014-järjestelmän käyttäjille tarkoitetut varoitukset siitä, että tiettyjä toimintoja on mahdollista tai mahdotonta suorittaa; |
|
e) |
järjestelmään syötettyjen tietojen käsittelyn tilan sähköinen seuranta; |
|
f) |
historiatietojen saatavuus kaikista toimenpideohjelman osalta tallennetuista tiedoista. |
5 artikla
Tietojen toimittaminen SFC2014-järjestelmän kautta
1. Jäsenvaltioiden ja komission täytyy voida päästä SFC2014-järjestelmään joko suoraan interaktiivisen käyttöliittymän (verkkosovelluksen) kautta tai sellaisen ennalta määritettyjä protokollia (www-sovelluspalveluja) käyttävän teknisen käyttöliittymän kautta, joka mahdollistaa tietojen automaattisen synkronoinnin ja siirtämisen jäsenvaltioiden tietojärjestelmien ja SFC2014-järjestelmän välillä.
2. Sen päivän, jona jäsenvaltio toimittaa tiedot sähköisesti komissiolle tai päinvastoin, katsotaan olevan kyseisen asiakirjan toimituspäivä.
3. Jos ylivoimainen este, SFC2014-järjestelmän toimintahäiriö tai yhteyden puuttuminen SFC2014-järjestelmään kestää yli yhden työpäivän tietojen toimittamiselle asetettua lakisääteistä määräaikaa edeltävällä viimeisellä viikolla tai joulukuun 23 ja 31 päivän välisenä aikana tai viisi päivää muina ajankohtina, jäsenvaltion ja komission välinen tiedonvaihto voidaan suorittaa paperimuodossa käyttämällä tämän asetuksen 2 artiklassa tarkoitettuja malleja, formaatteja ja lomakkeita.
Kun sähköisen tiedonvaihtojärjestelmän häiriö päättyy, yhteys kyseiseen järjestelmään palautuu tai ylivoimainen este poistuu, kyseisen osapuolen on tallennettava viipymättä myös SFC2014-järjestelmään ne tiedot, jotka on jo lähetetty paperimuodossa.
4. Edellä 3 kohdassa tarkoitetuissa tapauksissa kyseisen asiakirjan toimituspäiväksi katsotaan postileiman päivä.
6 artikla
SFC2014-järjestelmän kautta toimitettujen tietojen turvallisuus
1. Komissio vahvistaa SFC2014-järjestelmälle tietotekniikkaa koskevan turvasäännöstön, jäljempänä ’SFC-tietoturvasäännöstö’, jota sovelletaan SFC2014-järjestelmää käyttävään henkilöstöön noudattaen asiaan liittyviä unionin sääntöjä, erityisesti komission päätöstä C(2006) 3602 (8) ja sen täytäntöönpanosääntöjä. Komissio nimeää yhden tai useamman henkilön, joka vastaa SFC2014-järjestelmän tietoturvasäännöstön määrittelystä, ylläpidosta sekä sen moitteettoman soveltamisen varmistamisesta.
2. SFC2014-järjestelmän käyttöoikeuden saaneiden jäsenvaltioiden sekä muiden Euroopan unionin toimielinten kuin komission on noudatettava SFC2014-portaalissa julkaistuja tietoturvaehtoja ja -edellytyksiä sekä tietojen toimittamisen varmistavia toimenpiteitä, joita komissio toteuttaa SFC2014-järjestelmässä ja varsinkin tämän asetuksen 5 artiklan 1 kohdassa tarkoitetun teknisen käyttöliittymän käytön osalta.
3. Jäsenvaltiot ja komissio toteuttavat hyväksytyt turvallisuustoimenpiteet, joiden tarkoituksena on suojata tietoja, jotka ne ovat tallentaneet ja toimittaneet SFC2014-järjestelmän kautta, ja varmistavat kyseisten toimenpiteiden vaikuttavuuden.
4. Jäsenvaltioiden on otettava käyttöön kansalliset, alueelliset tai paikalliset tietoturvasäännöstöt, jotka koskevat pääsyä ja tietojen automaattista syöttämistä SFC2014-järjestelmään ja joilla varmistetaan tietoturvan vähimmäisvaatimukset. Kyseisissä kansallisissa, alueellisissa tai paikallisissa tietoturvasäännöstöissä voidaan viitata muihin turvallisuutta koskeviin asiakirjoihin. Kunkin jäsenvaltion on varmistettava, että kyseisiä tietoturvasäännöstöjä sovelletaan kaikkiin SFC2014-järjestelmää käyttäviin viranomaisiin.
5. Kyseisten kansallisten, alueellisten tai paikallisten tietoturvasäännöstöjen on sisällettävä
|
a) |
tietoteknistä turvallisuutta koskevat näkökohdat työssä, jonka yksi tai useampi tämän asetuksen 3 artiklan 3 kohdassa tarkoitettu käyttöoikeuksien hallinnoinnista vastaava henkilö suorittaa sovelluksen suorassa käytössä; |
|
b) |
turvallisuustoimenpiteet, jotka mahdollistavat SFC2014-järjestelmän turvallisuutta koskevien vaatimusten mukaisuuden SFC2014-järjestelmään 5 artiklan 1 kohdassa tarkoitetun teknisen käyttöliittymän kautta liitetyissä kansallisissa, alueellisissa tai paikallisissa tietojärjestelmissä. |
Ensimmäisen alakohdan b alakohtaa sovellettaessa on otettava tapauksen mukaan huomioon seuraavat näkökohdat:
|
a) |
fyysinen turvallisuus; |
|
b) |
tietovälineiden ja käyttöoikeuksien valvonta; |
|
c) |
tietojen säilyttämisen valvonta; |
|
d) |
käyttöoikeuksien ja salasanojen valvonta; |
|
e) |
seuranta; |
|
f) |
liitäntä SFC2014-järjestelmään; |
|
g) |
tietoliikenneinfrastruktuuri; |
|
h) |
henkilöstöhallinto ennen työsuhdetta, työsuhteen aikana ja sen jälkeen; |
|
i) |
häiriönhallinta. |
6. Kyseisten kansallisten, alueellisten tai paikallisten tietoturvasäännöstöjen on perustuttava riskinarviointiin, ja niissä kuvattujen toimenpiteiden on oltava oikeassa suhteessa todettuihin riskeihin.
7. Kansallisia, alueellisia tai paikallisia tietoturvasäännöstöjä koskevat asiakirjat on asetettava pyynnöstä komission saataville.
8. Jäsenvaltioiden on nimettävä kansallisella tai alueellisella tasolla yksi tai useampi henkilö, joka vastaa kansallisten, alueellisten tai paikallisten tietoturvasäännöstöjen ylläpidosta ja niiden soveltamisen varmistamisesta. Kyseinen henkilö tai kyseiset henkilöt toimivat tämän asetuksen 6 artiklan 1 kohdassa tarkoitettujen komission nimeämien henkilöiden yhteystahoina.
9. Sekä SFC-tietoturvasäännöstöä että asianomaisia kansallisia, alueellisia ja paikallisia tietoturvasäännöstöjä on päivitettävä, kun tapahtuu teknologisia muutoksia tai kun todetaan uusia uhkia tai muita asiaan liittyviä kehityssuuntauksia. Niitä on joka tapauksessa tarkasteltava uudelleen vuosittain, jotta voidaan olla varmoja, että ne ovat edelleen asianmukaisia.
II LUKU
LOPPUSÄÄNNÖS
7 artikla
Tämä asetus tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 5 päivänä toukokuuta 2014.
Komission puolesta
Puheenjohtaja
José Manuel BARROSO
(1) Euroopan parlamentin ja neuvoston asetus (EU) N:o 223/2014, annettu 11 päivänä maaliskuuta 2014, vähävaraisimmille suunnatun eurooppalaisen avun rahastosta (EUVL L 72, 12.3.2014, s. 1).
(2) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).
(3) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).
(4) Euroopan parlamentin ja neuvoston asetus (EU, Euratom) N:o 966/2012, annettu 25 päivänä lokakuuta 2012, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä ja neuvoston asetuksen (EY, Euratom) N:o 1605/2002 kumoamisesta (EUVL L 298, 26.10.2012, s. 1).
(5) Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, annettu 13 päivänä joulukuuta 1999, sähköisiä allekirjoituksia koskevista yhteisön puitteista (EYVL L 13, 19.1.2000, s. 12).
(6) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).
(7) Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta (EUVL L 337, 18.12.2009, s. 11).
(8) Commission Decision C(2006) 3602 of 16 August 2006 concerning the security of information systems used by the European Commission.