30.1.2013   

HU

Az Európai Unió Hivatalos Lapja

C 28/6

Az európai adatvédelmi biztos véleményének összefoglalója a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és megbízható szolgáltatásokról szóló európai parlamenti és tanácsi rendeletre (a megbízható elektronikus szolgáltatásokról szóló rendelet) vonatkozó bizottsági javaslatról

(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: http://www.edps.europa.eu)

2013/C 28/04

I.   Bevezetés

I.1.   A javaslat

1.

2012. június 4-én a Bizottság európai parlamenti és tanácsi rendeletre vonatkozó javaslatot fogadott el az 1999/93/EK európai parlamenti és tanácsi irányelvnek a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és megbízható szolgáltatások tekintetében történő módosításáról (a „javaslat”) (1).

2.

A javaslat az Európai Unióban az elektronikus tranzakciók megvalósításának fokozására irányuló, a Bizottság által indítványozott intézkedések részét képezi. A javaslat az Európai Digitális Menetrendben (2) előirányzott, elektronikus aláírásra vonatkozó jogszabályi intézkedések javítására (3. kulcsintézkedés), valamint az elektronikus személyazonosítás és elektronikus hitelesítés kölcsönös elismerésére vonatkozó koherens keretrendszer előírására (16. kulcsintézkedés) irányuló fellépéseket követi nyomon.

3.

A javaslat várhatóan megerősíti az összeurópai elektronikus tranzakciókba vetett bizalmat és az elektronikus azonosítás, hitelesítés, aláírás és a kapcsolódó megbízható szolgáltatások tagállamközi elismerését, miközben magas szintű adatvédelmet és az egységes piacon való magas szintű felhasználói részvételt biztosít.

4.

A magas színvonalú adatvédelem nélkülözhetetlen elektronikus azonosítási rendszerek és megbízható szolgáltatások igénybevételéhez. Az ehhez hasonló elektronikus eszközök kidolgozásának és alkalmazásának a személyes adatoknak a megbízható szolgáltatók és elektronikus azonosítók kibocsátói általi megfelelő feldolgozásán kell alapulnia. Ez annál is inkább fontos, mivel ez a feldolgozás lesz az alapja többek között a természetes (vagy jogi) személyek lehető legmegbízhatóbb azonosításának és hitelesítésének.

I.2.   Egyeztetés az európai adatvédelmi biztossal

5.

Az európai adatvédelmi biztosnak már a javaslat elfogadása előtt lehetősége nyílt arra, hogy előterjessze nem hivatalos észrevételeit. Ezen észrevételek nagy részét a javaslat figyelembe vette. Ennek eredményeként megerősödtek a javaslatban szereplő adatvédelmi biztosítékok.

6.

Az adatvédelmi biztos üdvözli, hogy a 45/2001/EK rendelet 28. cikke (2) bekezdésének megfelelően a Bizottság hivatalos egyeztetést is folytat vele.

I.3.   A javaslat háttere

7.

A javaslat – amelynek alapja az Európai Unió működéséről szóló szerződés 114. cikke – előírja a tagállamok közötti elektronikus személyazonosítás és megbízható szolgáltatások kölcsönös elismerésére és elfogadására vonatkozó feltételeket és mechanizmusokat. A javaslat különösen meghatározza a személyazonosítással és a megbízható elektronikus szolgáltatások nyújtásával kapcsolatos elveket, köztük az elismerésre és az elfogadásra vonatkozó szabályokat. A javaslat előírja továbbá az elektronikus aláírások, elektronikus bélyegzők, elektronikus időbélyegzők, elektronikus dokumentumok, elektronikus kézbesítési szolgáltatások, weboldal-hitelesítés és elektronikus tanúsítványok létrehozására, ellenőrzésére, hitelesítésére, kezelésére és megőrzésére vonatkozó követelményeket.

8.

Ezen túlmenően a rendeletjavaslat meghatározza a megbízható szolgáltatások nyújtásának felügyeletére vonatkozó szabályokat és kötelezi a tagállamokat arra, hogy ebből a célból hozzanak létre felügyeleti szerveket. Ezek a szervek egyéb feladataik mellett értékelik a megbízható elektronikus szolgáltatások nyújtói által végrehajtott műszaki és szervezeti intézkedések megfelelőségét.

9.

A II. fejezet az elektronikus azonosítási szolgáltatásokat tárgyalja, míg a III. fejezetben olyan egyéb megbízható elektronikus szolgáltatásokról esik szó, mint az elektronikus aláírások, bélyegzők, időbélyegzők, dokumentumok, kézbesítési szolgáltatások, tanúsítványok és weboldal-hitelesítések. Az elektronikus azonosítási szolgáltatások a nemzeti azonosítási kártyákhoz kapcsolódnak, és a digitális szolgáltatásokhoz – különösen az e-kormányzati szolgáltatásokhoz – való hozzáférés során vehetők igénybe; ez azt jelenti, hogy az elektronikus azonosítást kibocsátó szerv a tagállam nevében jár el, mely tagállam felelős a szóban forgó egyén és az ő elektronikus azonosítására szolgáló eszközök közötti összefüggés megteremtéséért. Egyéb megbízható elektronikus szolgáltatások tekintetében a szolgáltatás nyújtója, illetve kibocsátója természetes vagy jogi személy, aki e szolgáltatások helyes és biztonságos nyújtásáért felel.

I.4.   A javaslattal kapcsolatban felmerülő adatvédelmi kérdések

10.

A személyes adatok feldolgozása az azonosítási rendszerek és – egy bizonyos fokig – az egyéb megbízható szolgáltatások nyújtásának (pl. az elektronikus aláírások esetében) természetes velejárója. A személyes adatok feldolgozása ahhoz kell, hogy megbízható kapcsolatot lehessen teremteni és természetes (vagy jogi) személy által alkalmazott elektronikus azonosítási és hitelesítési eszközök és e személy között annak igazolása érdekében, hogy az elektronikus tanúsítvány mögött álló személy valóban az, akinek mondja magát. Az elektronikus azonosítások vagy az elektronikus tanúsítványok például természetes személyekre utalnak és e személyeket egyértelműen azonosító adatokat tartalmaznak. Más szóval a javaslat 3. cikkének (12) bekezdésében szereplő elektronikus eszközök létrehozása, ellenőrzése, hitelesítése és kezelése számos esetben a személyes adatok feldolgozására is kiterjed, ezért az adatvédelem kérdésköre is érintett.

11.

Ezért lényeges, hogy az adatok elektronikus azonosítási rendszerek vagy megbízható elektronikus szolgáltatások nyújtásának keretében történő feldolgozása az EU adatvédelmi keretével – különösen a 95/46/EK irányelvet végrehajtó nemzeti rendelkezésekkel – összhangban történjen.

12.

Ebben a véleményben az európai adatvédelmi biztos elemzése három fő kérdésre összpontosít:

a)

a javaslat hogyan tárgyalja az adatvédelem kérdéskörét,

b)

az elektronikus azonosítási rendszerek adatvédelmi vonatkozásainak tagállamok közötti elismerése és elfogadása, és

c)

a megbízható elektronikus szolgáltatások adatvédelmi vonatkozásainak tagállamok közötti elismerése és elfogadása.

III.   Következtetések

50.

Az európai adatvédelmi biztos üdvözli a javaslatot, mivel az hozzájárulhat a megbízható elektronikus szolgáltatások és az azonosítási rendszerek uniós szinten megvalósuló kölcsönös elismeréséhez (és elfogadásához). Üdvözli továbbá egy olyan közös követelményrendszer létrehozását, amelyet az elektronikus azonosító eszközök kibocsátóinak és a megbízható szolgáltatóknak egyaránt teljesíteniük kell. A javaslat iránti általános bizalma ellenére az európai adatvédelmi biztos az alábbi általános ajánlásokat kívánja tenni:

A javaslatban szereplő adatvédelmi rendelkezések nem korlátozódhatnak kizárólag a megbízható szolgáltatókra, hanem a javaslat II. fejezetében ismertetett elektronikus azonosítási rendszerekben tárolt személyes adatok feldolgozására is ki kell terjedniük.

A rendeletjavaslatnak közös biztonsági követelményrendszert kell megállapítania a megbízható szolgáltatókra és az elektronikus azonosító eszközök kibocsátóira vonatkozóan. Ugyanígy a rendeletjavaslattal a Bizottság – amennyiben szükséges – végrehajtási vagy felhatalmazáson alapuló jogi aktusok szelektív alkalmazása útján meghatározhatja a megbízható elektronikus szolgáltatások és azonosítási rendszerek biztonságára vonatkozó kritériumokat, feltételeket és követelményeket.

A megbízható elektronikus szolgáltatóknak és az elektronikus azonosító eszközök kibocsátóinak szolgáltatásaik igénybe vevői számára biztosítaniuk kell az alábbiakat: i. adataik összegyűjtésével, kommunikációjával és megőrzésével kapcsolatos megfelelő információk, valamint ii. személyes adataik ellenőrzésére és adatvédelmi jogaik gyakorlására alkalmas eszközök.

Az európai adatvédelmi biztos azt ajánlja, hogy a javaslatba sokkal szelektívebben kell beépíteni azokat a rendelkezéseket, amelyek felhatalmazzák a Bizottságot arra, hogy a rendeletjavaslat elfogadása után végrehajtási vagy felhatalmazáson alapuló jogi aktusok útján pontosítson, illetve részletezzen konkrét rendelkezéseket.

51.

Az elektronikus azonosítási rendszerek kölcsönös elismerésével kapcsolatos néhány egyedi rendelkezést ugyancsak javítani kell:

A rendeletjavaslatnak pontosítania kell, hogy az egyének tagállamok közötti azonosítása során mely adatok vagy adatkategóriák kerülnek feldolgozásra. E pontosításnak amellett, hogy az arányosság elvének betartását is szem előtt kell tartania, legalább olyan részletesnek kell lennie, mint a más megbízható szolgáltatásokról szóló mellékleteknek.

Az azonosítási rendszerek felállításához előírt biztosítékoknak legalább a minősített megbízható szolgáltatókra vonatkozó követelményeknek meg kell felelniük.

A javaslatnak a nemzeti azonosítási rendszerek közötti interoperabilitás keretének létrehozásához megfelelő mechanizmusokat kell bevezetnie.

52.

Végezetül az európai adatvédelmi biztos a megbízható elektronikus szolgáltatások nyújtására és elismerésére vonatkozó követelményekkel kapcsolatban az alábbi ajánlásokat teszi:

Valamennyi elektronikus szolgáltatás tekintetében pontosítani kell, hogy személyes adatok feldolgozására sor kerül-e, és amennyiben igen, azt, hogy melyek a feldolgozandó adatok vagy adatkategóriák.

A rendeletnek megfelelő biztosítékokat kell tartalmaznia arra, hogy a megbízható elektronikus szolgáltatások felügyeleti szerveinek és az adatvédelmi hatóságoknak a hatáskörei között elkerülhető legyen az átfedés.

Az adatok megsértése és a biztonsági események vonatkozásában a megbízható elektronikus szolgáltatókra háruló kötelezettségeknek összhangban kell állniuk a felülvizsgált elektronikus hírközlési adatvédelmi irányelvben és az adatvédelmi rendeletre irányuló javaslatban megállapított követelményekkel.

Pontosabb megfogalmazásra van szükség azon magán, illetve állami szervek meghatározása esetében, amelyek a javaslat 16. és 17. cikkében említett ellenőrzés elvégzésére harmadik félként jogosultak, illetve a 23. cikkben meghatározott minősített elektronikus aláírás létrehozására alkalmas eszközöket ellenőrizhetik; továbbá azon kritériumokkal kapcsolatban, amelyek értelmében e szervek függetlenségét értékelni kell.

A rendelet szövegének pontosabban kell fogalmaznia a javaslat 19. cikkének (2) és (4) bekezdésében (3) említett adatok megőrzési határidejének megállapításával kapcsolatban.

Kelt Brüsszelben, 2012. szeptember 27-én.

Giovanni BUTTARELLI

az európai adatvédelmi biztos helyettese

(1)  COM(2012) 238 végleges.

(2)  COM(2010) 245 végleges, 2010.5.19.

(3)  A 19. cikk (2) bekezdésének g) pontja értelmében a minősített megbízható szolgáltató megfelelő időszakon keresztül rögzíti egy adott minősített megbízható szolgáltató által vagy számára kibocsátott adatokra vonatkozó lényeges információkat. A 19. cikk (4) bekezdése értelmében a minősített megbízható szolgáltató tájékoztatja a szolgáltatást igénybe vevő felet az általa kibocsátott minősített tanúsítvány érvényességéről vagy visszavont státuszáról.