4.2.2014

Az Európai Unió Hivatalos Lapja

C 32/19

Az európai adatvédelmi biztos véleményének összefoglalója a Bizottság és az Európai Unió külügyi és biztonságpolitikai főképviselője „Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér” című közös közleményéről, valamint a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről szóló bizottsági irányelvjavaslatról

(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: http://www.edps.europa.eu)

2014/C 32/10

1. Bevezetés

1.1. Egyeztetés az európai adatvédelmi biztossal

2013. február 7-én a Bizottság és az Európai Unió külügyi és biztonságpolitikai főképviselője az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának szóló közös közleményt fogadott el „Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér” (1) (a továbbiakban: a „közös közlemény”, a „kiberbiztonsági stratégia” vagy a „stratégia”) címmel.

Ugyanezen a napon a Bizottság irányelvjavaslatot fogadott el a hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekről (2) (a továbbiakban: az „irányelvjavaslat” vagy a „javaslat”). Ezt a javaslatot egyeztetés céljából 2013. február 7-én elküldték az európai adatvédelmi biztosnak.

3.	Az európai adatvédelmi biztosnak már a közös közlemény és a javaslat elfogadása előtt lehetősége nyílt arra, hogy a Bizottság számára előterjessze nem hivatalos észrevételeit. Az európai adatvédelmi biztos üdvözli, hogy a közös közleményben és a javaslatban figyelembe vették egyes észrevételeit.

4. Következtetések

74.

Az európai adatvédelmi biztos üdvözli, hogy a Bizottság és az Unió külügyi és biztonságpolitikai főképviselője átfogó kiberbiztonsági stratégiát terjesztett elő, amelyet a hálózat- és információbiztonság (NIS) közös magas szintjének az Unión belüli biztosítására irányuló intézkedésekre vonatkozó irányelvjavaslattal egészített ki. A stratégia kiegészíti az Unió által a hálózat- és információbiztonság területén már kidolgozott szakpolitikai intézkedéseket.

75.

Az európai adatvédelmi biztos üdvözli, hogy a stratégia túllép a biztonság kontra adatvédelem hagyományos megközelítésén, mivel kifejezetten rendelkezik a magánélet védelme és az adatvédelem alapértékként való elismeréséről, amelyeknek az Unióban és nemzetközi szinten is meg kell határozniuk a kiberbiztonság-politikát. Az európai adatvédelmi biztos megjegyzi, hogy a kiberbiztonsági stratégia és a hálózat- és információbiztonságra vonatkozó irányelvjavaslat alapvetően hozzájárulhat az egyének magánélethez és adatvédelemhez való jogának online környezetben való védelméhez. Ugyanakkor biztosítani kell, hogy a stratégia és az irányelvjavaslat nem vezet olyan intézkedésekhez, amelyek az egyének magánélethez és adatvédelemhez való jogát jogellenesen korlátozó cselekménynek minősülnek.

76.

Az európai adatvédelmi biztos üdvözli továbbá, hogy az adatvédelmet a stratégia több helyen említi, és a hálózat- és információbiztonságra vonatkozó irányelvjavaslat is figyelembe veszi. Sajnálatát fejezi ki azonban amiatt, hogy a stratégia és az irányelvjavaslat nem hangsúlyozza jobban a meglévő és a jövőbeli adatvédelmi jogszabályoknak a biztonsághoz való hozzájárulását, és nem biztosítja teljes mértékben, hogy az irányelvjavaslatból, illetve a stratégia egyéb elemeiből következő kötelezettségek kiegészítsék az adatvédelmi kötelezettségeket, és ne fedjék egymást vagy mondjanak ellent egymásnak.

77.

Ezenfelül az európai adatvédelmi biztos megjegyzi, hogy mivel a kiberbiztonsági stratégia nem mérlegelte és nem vette teljes körűen figyelembe a többi, párhuzamos bizottsági kezdeményezést és folyamatban lévő jogalkotási eljárást, köztük az adatvédelmi reformot, valamint az elektronikus azonosításra és megbízható szolgáltatásokra vonatkozó rendeletjavaslatot, nem nyújt valóban átfogó és holisztikus képet az Unióban a kiberbiztonságról, és azzal a veszéllyel jár, hogy egy széttöredezett és elszigetelt kategóriákon alapuló megközelítést állandósít. Az európai adatvédelmi biztos ezenkívül megjegyzi, hogy a hálózat- és információbiztonságra vonatkozó irányelvjavaslat a biztonság uniós szintű átfogó megközelítését sem teszi lehetővé, és az adatvédelmi jogszabályokban megállapított kötelezettség valószínűleg a legátfogóbb hálózati és biztonsági kötelezettség az uniós jogban.

78.	Az európai adatvédelmi biztos szintén sajnálatát fejezi ki amiatt, hogy a közös közlemény és a javaslat az adatvédelmi hatóságoknak a biztonsági kötelezettségek végrehajtásában és kikényszerítésében, valamint a kiberbiztonság fokozásában játszott szerepét sem veszi megfelelően figyelembe.

79.

A kiberbiztonsági stratégiával kapcsolatban az európai adatvédelmi biztos hangsúlyozza, hogy:

—

A számítástechnikai ellenálló képesség, a számítástechnikai bűnözés és a kibervédelem fogalmának egyértelmű meghatározása rendkívül fontos, mivel ezeket a fogalmakat olyan különleges intézkedések megindokolására használják, amelyek zavaró hatással lehetnek az alapvető jogokra, köztük a magánélethez és az adatvédelemhez való jogra. Ezzel szemben a számítástechnikai bűnözésnek a stratégiában és a számítástechnikai bűnözéssel szembeni egyezményben szereplő fogalommeghatározása továbbra is igen tág. A „számítástechnikai bűnözés” fogalmának túlzottan tág meghatározása helyett tanácsos lenne e fogalmat egyértelműen és leszűkítően meghatározni,

—

Az adatvédelmi jogszabályoknak a stratégia szerinti valamennyi fellépésre vonatkozniuk kellene, amennyiben azok személyes adatok feldolgozásával járó intézkedéseket érintenek. Bár a számítástechnikai bűnözéssel és a kibervédelemmel foglalkozó szakaszok nem említik kifejezetten az adatvédelmi jogszabályokat, az európai adatvédelmi biztos hangsúlyozza, hogy számos, e területeken tervezett intézkedés személyes adatok feldolgozásával jár együtt, azaz az alkalmazandó adatvédelmi jogszabályok hatálya alá tartozik. Az európai adatvédelmi biztos megjegyzi továbbá, hogy számos intézkedés koordinációs mechanizmusok létrehozására is kiterjed, ehhez viszont megfelelő adatvédelmi biztosítékokat kell megvalósítani a személyes adatok cseréjének részletes szabályaira vonatkozóan,

—

Az adatvédelmi hatóságok fontos szerepet töltenek be a kiberbiztonsággal kapcsolatban. Mint a magánélethez és az egyének adatvédelemhez való jogának védelmezői, az adatvédelmi hatóságok aktívan részt vesznek az egyének személyes adatainak internetes és interneten kívüli védelmében. Ezért e hatóságokat – felügyeleti hatóságként – megfelelően be kellene vonni a személyes adatok feldolgozásával járó végrehajtási intézkedésekbe (pl. a botnetek és rosszindulatú programok elleni küzdelemmel kapcsolatos uniós kísérleti projekt elindításába). A kiberbiztonság területén működő többi szereplőnek is együtt kellene működnie velük a feladataik teljesítése során, például a bevált gyakorlatok cseréjében és a tudatosságnövelő kampányokban. Az európai adatvédelmi biztosnak és a nemzeti adatvédelmi hatóságoknak megfelelően részt kellene venniük a stratégia végrehajtása terén tett előrehaladást értékelő, 2014-ben megrendezésre kerülő magas szintű konferencián.

80.

A hálózat- és információbiztonságra vonatkozó irányelvjavaslattal kapcsolatban az európai adatvédelmi biztos a következő javaslatokat teszi a jogalkotóknak:

—

a 3. cikk (8) bekezdésében egyértelműbben és minden kétséget kizáróan meg kell határozni a javaslat hatálya alá tartozó piaci szereplők fogalmát, és a biztonságra vonatkozóan az Unión belüli harmonizált és integrált megközelítés biztosítása céljából teljes körű listát kell készíteni, amelyen az összes érintett érdekelt fél szerepel,

—	az 1. cikk (2) bekezdésének c) pontjában pontosítani kell, hogy az irányelvjavaslat az uniós intézményekre és szervekre alkalmazandó, és a javaslat 1. cikkének (5) bekezdését ki kell egészíteni a 45/2001/EK rendeletre való utalással,

—

e javaslat tekintetében el kell ismerni a biztonság horizontálisabb szerepét azzal, hogy az 1. cikkben kifejezetten rendelkeznek arról, hogy a javaslat – az egyes konkrét területeken érvényes jelenlegi vagy jövőbeni részletesebb szabályok (pl. a bizalmi szolgáltatások nyújtóira vonatkozóan az elektronikus azonosításra vonatkozó rendeletjavaslatban meghatározandó szabályok) sérelme nélkül – általánosan alkalmazandó,

—

ki kell egészíteni a szöveget egy preambulumbekezdéssel, amely kifejti annak szükségességét, hogy a beépített és az alapértelmezett adatvédelmet már a javaslatban meghatározott mechanizmusok tervezésének korai szakaszától kezdődően, az érintett folyamatok, eljárások, szervezetek, technikák és infrastruktúrák teljes élettartama alatt – figyelemmel az adatvédelmi rendelet tervezetére – be kell építeni,

—

pontosítani kell a 3. cikk (1) bekezdésében a „hálózati és információs rendszer”, valamint a 3. cikk (4) bekezdésében a „biztonsági esemény” fogalmát, továbbá az 5. cikk (2) bekezdésében a „kockázatértékelési terv” létrehozására irányuló kötelezettség helyébe a „kockázatkezelési keret létrehozása és fenntartása” szöveget kell illeszteni,

—

az 1. cikk (6) bekezdésében szerepeltetni kell, hogy a személyes adatok feldolgozása a 95/46/EK irányelv 7. cikkének e) pontja értelmében indokolt, amennyiben az irányelvjavaslat közérdekű céljainak eléréséhez szükséges. A szükségesség és az arányosság elvének kellő tiszteletben tartását azonban biztosítani kell, hogy csak a cél eléréséhez feltétlenül szükséges adatokat dolgozzák fel,

—

meg kell határozni a 14. cikkben azokat a körülményeket, amikor kötelező a bejelentés, továbbá a bejelentés tartalmát és formáját – a bejelentendő személyes adatok típusát és azt is beleértve, hogy a bejelentés és az ahhoz csatolt igazoló dokumentumok tartalmaznak-e – és ha igen, milyen mértékben – a konkrét biztonsági esemény által érintett személyes adatokat (pl. IP-címeket). Figyelmet kell fordítani arra, hogy a hálózat- és információbiztonság területén illetékes hatóságok számára csak a feltétlenül szükséges mértékig tegyék lehetővé személyes adatok biztonsági esemény keretében történő gyűjtését és feldolgozását. A hálózat- és információbiztonság területén illetékes hatóságok által feldolgozott adatok megfelelő védelmének biztosítása céljából megfelelő biztosítékokat kell beépíteni a javaslatba,

—

pontosítani kell a 14. cikkben, hogy az események 14. cikk (2) bekezdése szerinti bejelentését a személyes adatok megsértésének az alkalmazandó adatvédelmi jogszabályok szerinti bejelentésére vonatkozó kötelezettségek sérelme nélkül kell megtenni. Olyan esetekre vonatkozóan, amikor a biztonsági esemény személyes adatok megsértésével jár, a hálózat- és információbiztonság területén illetékes hatóságok és az adatvédelmi hatóságok közötti együttműködésre vonatkozó eljárás főbb szempontjait rögzíteni kell a javaslatban,

—

módosítani kell a 14. cikk (8) bekezdését olyan módon, hogy a mikrovállalkozásoknak a bejelentésre kötelezettek köréből való kizárása ne vonatkozzon azon piaci szereplőkre, amelyek fontos szerepet töltenek be az információs társadalmi szolgáltatások nyújtásában – tekintettel például az általuk feldolgozott információk jellegére (pl. biometrikus adatok vagy érzékeny adatok),

—

a javaslatot ki kell egészíteni olyan rendelkezésekkel, amelyek személyes adatoknak a hálózat- és információbiztonság területén illetékes hatóságok és más címzettek közötti további cseréjét szabályozzák – annak biztosítása érdekében, hogy i. személyes adatok csak olyan címzettekhez jutnak el, akik számára azok – megfelelő jogalappal történő – feldolgozása feladataik teljesítéséhez szükséges, és ii. a szóban forgó információk köre nem haladja meg a feladataik teljesítéséhez szükséges mértéket. Azt is figyelembe kell venni, hogy az információmegosztási hálózatnak adatokat szolgáltató jogalanyok hogyan biztosítják a célhoz kötöttség elvének betartását,

—	meg kell határozni a személyes adatoknak az irányelvjavaslatban foglalt célokra való megőrzésének határidejét, különösen a hálózat- és információbiztonság területén illetékes hatóságok általi, valamint az együttműködési hálózat biztonságos infrastruktúráján belüli megőrzést illetően,

—	emlékeztetni kell a hálózat- és információbiztonság területén illetékes hatóságokat arra a kötelezettségükre, hogy nyújtsanak megfelelő tájékoztatást a személyes adatok feldolgozásáról az érintetteknek – például úgy, hogy adatvédelmi politikát tesznek közzé a honlapjukon,

—

ki kell egészíteni a szöveget a biztonsági szintre vonatkozó rendelkezéssel, amelyet a hálózat- és információbiztonság területén illetékes hatóságoknak a gyűjtött, feldolgozott, illetve cserélt információk tekintetében be kell tartaniuk. A személyes adatoknak a hálózat- és információbiztonság területén illetékes hatóságok általi védelmével kapcsolatban kifejezetten utalni kell a 95/46/EK irányelv 17. cikkének biztonsági követelményeire,

—

pontosítani kell a 9. cikk (2) bekezdésében, hogy a biztonságos információmegosztási rendszerben való tagállami részvétel kritériumainak biztosítaniuk kell, hogy az e rendszerben részt vevő valamennyi szereplő a feldolgozás minden szakaszában magas szintű biztonságot és ellenálló képességet garantáljon. E kritériumok között – a 95/46/EK irányelv 16. és 17. cikkével, valamint a 45/2001/EK rendelet 21. és 22. cikkével összhangban – megfelelő titoktartási és biztonsági intézkedéseknek is szerepelniük kell. A Bizottságra nézve – a biztonságos információmegosztási rendszerben adatkezelőként való részvétele esetén – e kritériumoknak kifejezetten kötelezőnek kell lenniük,

—

a 9. cikket ki kell egészíteni a Bizottság és a tagállamok által a biztonságos információmegosztási rendszer létrehozása, üzemeltetése és fenntartása terén betöltendő szerep, illetve feladatok leírásával, és rendelkezni kell arról, hogy a rendszer tervezését a beépített és az alapértelmezett adatvédelem, valamint a beépített biztonság elveivel összhangban kell végezni, és

—	a 13. cikket ki kell egészíteni azzal, hogy az Unión kívüli országokban letelepedett címzetteknek történő személyesadat-továbbítást a 95/46/EK irányelv 25. és 26. cikkével, valamint a 45/2001/EK rendelet 9. cikkével összhangban kell végezni.

Kelt Brüsszelben, 2013. június 14-én.

Peter HUSTINX

európai adatvédelmi biztos

(1) JOIN(2013) 1 final.

(2) COM(2013) 48 final.