INT/951
Elektronikus azonosítás
VÉLEMÉNY
„Egységes piac, termelés és fogyasztás” szekció
Javaslat európai parlamenti és tanácsi rendeletre a 910/2014/EU rendeletnek az európai digitális személyazonosság keretének létrehozása tekintetében történő módosításáról
[COM(2021) 281 final – 2021/0136 (COD]
Előadó: Tymoteusz Adam ZYCH
|
Felkérés:
|
Európai Parlament, 2021. 07. 08.
Tanács, 2021. 07. 15.
|
|
Jogalap:
|
az Európai Unió működéséről szóló szerződés 114. cikke
|
|
|
|
|
Illetékes szekció:
|
„Egységes piac, termelés és fogyasztás” szekció
|
|
Elfogadás a szekcióülésen:
|
2021. 09. 30.
|
|
Elfogadás a plenáris ülésen:
|
ÉÉÉÉ.HH.NN.
|
|
Plenáris ülés száma:
|
xx.
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
…/…/…
|
1.Következtetések és ajánlások
1.1Az Európai Gazdasági és Szociális Bizottság (EGSZB) üdvözli az Európai Bizottság javaslatát az eIDAS-rendeletet az európai digitális személyazonosság keretének létrehozásával módosító eszközre, amely ezt a jogi aktust a jelenlegi piaci igényekhez igazítaná. A hatályos szabályozás értékelése azt mutatta, hogy jobb megoldásokra van szükség a digitális szolgáltatások terén, amelyek a magán- és a közszférára egyaránt kiterjesztenék a hozzáférést, és amelyek az európai polgárok és lakosok nagy többsége számára elérhetőek lennének.
1.2Az EGSZB azonban megjegyzi, hogy a szolgáltatások javasolt digitalizálása az európai társadalom egy részének, különösen az időseknek, az alacsony digitális jártassággal rendelkezőknek és a fogyatékkal élőknek a kirekesztéséhez vezethet. Az EGSZB ezért arra kéri az Európai Bizottságot és a tagállamokat, hogy hozzák létre a digitális oktatáshoz és tájékoztató kampányhoz szükséges keretet, amelynek egyúttal a személyes adatok védelmével kapcsolatos tudatosság növelését is szolgálnia kell.
1.3Az EGSZB üdvözli, hogy az európai digitális személyiadat-tárca használata opcionális és díjmentes lesz. Mindazonáltal az új digitális megoldások bevezetése szükségszerűen jelentős idő- és költségráfordítással jár. Ezért az EGSZB felkéri az Európai Bizottságot, hogy a piacot érintő negatív hatások elkerülése érdekében vizsgálja meg még jobban az új rendelet tényleges végrehajtásához szükséges időt, és biztosítson további elemzést és nagyobb egyértelműséget a rendeletben a végrehajtás várható költségeiről.
1.4Az EGSZB megjegyzi, hogy a rendelet javasolt 9. szakasza előírja a valamely tagállamban kiállított minősített elektronikus attribútumtanúsítványok határokon átnyúló kötelező elismerését. Tekintettel azonban arra, hogy a tagállamok nemzeti jogszabályainak rendelkezései gyakran jelentősen eltérnek egymástól, az EGSZB elismeri, hogy tisztázni kell, hogy egy minősített elektronikus attribútumtanúsítvány egyik tagállamban való elismerése a tények megerősítésére korlátozódik, az egyes közokiratoknak az Európai Unión belüli bemutatására vonatkozó előírások egyszerűsítése révén a polgárok szabad mozgásának előmozdításáról és az 1024/2012/EU rendelet módosításáról szóló rendelet 2. cikkének (4) bekezdésével analóg módon: „E rendelet nem alkalmazandó egy másik tagállam hatóságai által kiállított közokiratok tartalmához kapcsolódó joghatások valamely tagállamban történő elismerésére.”.
1.5Az EGSZB véleménye szerint a hatékony adatvédelmet mindenekelőtt az alapvető jogok, különösen a magánélethez való jog és a személyes adatok védelméhez való jog védelmével összefüggésben kell vizsgálni. Az EGSZB ezért teljes mértékben támogatja azt a követelményt, hogy az európai digitális személyazonosság keretének lehetővé kell tennie a felhasználók számára annak ellenőrzését, hogy ki férhet hozzá személyük digitális másához, és pontosan milyen adatokhoz nyer hozzáférést. Az EGSZB felkéri az Európai Bizottságot és a tagállamokat, hogy az európai digitális személyazonosság keretének technikai szempontjairól folytatott konzultációkat követően vegyék fel a keretrendszerbe egy olyan nyilvántartás létrehozásának kérdését, amely lehetővé teszi a felhasználók számára az adataikhoz való hozzáférés nyomon követését.
1.6Az EGSZB szeretné kiemelni a digitalizációs folyamattal kapcsolatos biztonsági aggályokat, különösen az olyan, hatalmas rendszerek fejlesztése kapcsán, amelyek csalásnak és adatvesztésnek kitett adatokat tárolnak és kezelnek. Az EGSZB tisztában van azzal is, hogy jelenleg nincs olyan biztonsági rendszer, amely teljes körű adatvédelmet tudna biztosítani. Ezért az EGSZB véleménye szerint az európai digitális személyiadat-tárcák felhasználóinak kártérítést kellene garantálni az adataikkal kapcsolatos bármilyen nemkívánatos helyzet (pl. adatlopás vagy adatok nyilvánosságra hozatala) esetére. Ennek a felelősségnek attól függetlenül fenn kell állnia, hogy a szolgáltató volt-e a hibás.
2.Bevezetés
2.1E vélemény tárgya a 910/2014/EU rendeletnek („eIDAS-rendelet”) az európai digitális személyazonosság keretének létrehozása tekintetében történő módosításáról szóló európai bizottsági rendeletjavaslat.
2.2Az indokolásban foglaltak szerint az eIDAS-rendelet a következő védelmet és előnyöket biztosítaná: (1) hozzáférést kiemelkedően biztonságos és megbízható elektronikus személyazonossági megoldásokhoz; (2) olyan megbízható és biztonságos digitális személyazonossági megoldásokat, amelyekre a köz- és magánszolgáltatások támaszkodhatnak; (3) a természetes és jogi személyek képessé tételét a digitális személyazonossági megoldások használatára; (4) e megoldások különféle attribútumokhoz kapcsolását, és a személyazonosító adatok célzott megosztásának lehetővé tételét az igénybe vett szolgáltatás szükségleteire korlátozva; valamint (5) a minősített bizalmi szolgáltatások elfogadását az EU-ban, és egyenlő feltételeket ezek nyújtásához. A javasolt módosítások válaszul szolgálnak a megbízható, határokon átnyúló digitális megoldások iránti növekvő keresletre, amely a felhasználók magas szintű bizonyossággal történő azonosítása és hitelesítése iránti igényen alapul.
3.Általános megjegyzések
3.1Az EGSZB tisztában van a határokon átnyúló elektronikus tranzakciókhoz szükséges elektronikus azonosítási és bizalmi szolgáltatások fejlesztésével kapcsolatos új belső piaci követelményekkel. Az eIDAS-rendeletben előírt meglévő megoldások, amelyek 2016 júliusától kezdődően több lépcsőben kezdtek joghatásokat kiváltani, nem felelnek meg ezeknek az igényeknek, amit az is alátámaszt, hogy jelenleg az uniós lakosoknak csupán 59%-a fér hozzá megbízható és biztonságos elektronikus azonosítási (eID) megoldásokhoz. Ráadásul az ilyen szolgáltatásokhoz való határokon átnyúló hozzáférés is korlátozott, mivel az egyes tagállamok által kínált rendszerek nem interoperábilisak.
3.2Az EGSZB ezért üdvözli az Európai Bizottság új javaslatát az eIDAS-rendeletet az elektronikus személyazonosság keretének létrehozása tekintetében módosító eszközre, amely ezt a jogi aktust a jelenlegi piaci igényekhez igazítaná. Becslések szerint az Európai Bizottság dokumentumában javasolt megoldások hozzájárulhatnak ahhoz, hogy a digitális személyazonosítást igénybe vevők száma az EU polgárainak és lakosainak 80%-ára, vagy akár 100%-ára emelkedjen.
3.3Az EGSZB különösen üdvözli azokat a megoldásokat, amelyek célja a felhasználók személyes adatai biztonságának növelése azáltal, hogy garantálják a mérlegelés lehetőségét az adatok megosztása terén, valamint a megbízható felek számára átadott adatok jellegének és mennyiségének ellenőrzésére vonatkozó lehetőséget. Mivel – a javaslat szerint – a tagállamok fenntartják a digitális szolgáltatók feletti ellenőrzést, ők garantálnák, hogy az érzékeny (pl. egészségi állapotra, vallásra és meggyőződésre, politikai véleményre, faji vagy etnikai származásra vonatkozó) adatkészleteket csak a szolgáltatók kérésére, a személyazonosság tulajdonosának az alkalmazandó nemzeti joggal összhangban hozott, tájékozott döntését követően adják át.
3.4Az EGSZB rámutat arra, hogy az új rendelet egyes rendelkezéseinek alkalmazására vonatkozó ütemterv meglehetősen optimista, és arra kéri az Európai Bizottságot, hogy a végleges alkalmazási határidők megállapításakor vegye figyelembe azt az időt is, amelyre a szolgáltatóknak informatikai rendszereiknek az új kötelezettségeknek való megfelelést célzó korszerűsítéséhez szükségük van. Az EGSZB ezért felkéri az Európai Bizottságot, hogy vizsgálja meg jobban az új rendelet tényleges végrehajtásához szükséges időt, és így hosszabbítsa meg az alkalmazási határidőt, hogy az ne befolyásolja az érintett piacot. A rendelet hatálybalépése például megköveteli, hogy a minősített aláírást létrehozó eszközökön alapuló távoli aláírást kínáló meglévő minősített bizalmi szolgáltatók minősített szolgáltatókká váljanak az adott szolgáltatás tekintetében; időre lesz szükségük ahhoz, hogy mind a technikai szempontokat, mind az engedélyezési eljárást végrehajtsák.
3.5Az EGSZB megjegyzi, hogy a szolgáltatások javasolt digitalizálása – függetlenül annak előnyeitől – az európai társadalom egy részének, különösen az időseknek, az alacsony digitális jártassággal rendelkezőknek és a fogyatékkal élőknek a kirekesztését is eredményezheti. Az EGSZB elismeri az európai polgárok oktatásának kulcsszerepét az ilyen kirekesztés ellensúlyozásában; annak ugyanakkor a személyes adatok védelme terén a tudatosság növelését is szolgálnia kell.
4.Az európai digitális személyazonossági keret elérhetősége és szabad megítélés alapján való használata
4.1Az EGSZB üdvözli azt az elképzelést, hogy a digitális szolgáltatások terén olyan fejlettebb megoldásokat kell biztosítani, amelyek a hozzáférést nemcsak a közszolgáltatásokra, hanem a magánszektorra is kiterjesztik. Az EGSZB egyetért továbbá az Európai Bizottság azon törekvéseivel, hogy az európai polgárok nagy többsége számára elérhetővé tegye az európai digitális személyazonossági keretet. Az eID-szolgáltatásokhoz való határokon átnyúló hozzáférés jelenlegi akadályai miatt (pl. a tagállamok által kifejlesztett eID-rendszerek közötti átjárhatóság hiánya) sok uniós lakos egyáltalán nem használja azokat. Az európai digitális személyiadat-tárcákon alapuló új megoldások hozzájárulhatnak ahhoz, hogy az európaiak legalább 80%-a számára elérhetővé váljanak a megbízható online szolgáltatások.
4.2Az EGSZB ezért támogatja azt a javaslatot, hogy a tagállamok kötelesek legyenek európai digitális személyiadat-tárcát kibocsátani. Ez egy olyan eszköz, amely a következőket teszi lehetővé a felhasználók számára: (1) az online és offline hitelesítéshez szükséges jogi személyazonosító adatok és elektronikus attribútumtanúsítvány beszerzése, tárolása, kiválasztása, kombinálása és megosztása biztonságos, a felhasználó számára átlátható és nyomon követhető módon az online köz- és magánszolgáltatások igénybevétele érdekében, valamint (2) dokumentumok aláírása az EU egész területén elfogadott minősített elektronikus aláírással.
4.3Az EGSZB üdvözli továbbá azt a javaslatot, hogy az (EU) 2019/882 irányelv I. mellékletének rendelkezéseivel összhangban az európai digitális személyiadat-tárca a fogyatékossággal élők számára is ugyanúgy hozzáférhető legyen, ami összhangban van a megkülönböztetésmentességnek az EU Alapjogi Chartájának 21. cikkében foglalt uniós elvével. Az adott kérdéssel kapcsolatos digitális kirekesztés elkerülése érdekében az EGSZB azt javasolja, hogy bármely megoldást az illetékes intézményekkel és a fogyatékossággal élő személyeket képviselő nem kormányzati szervezetekkel együttműködve, egy „több érdekelt felet bevonó megközelítés” alapján dolgozzanak ki.
4.4Az EGSZB szempontjából az is pozitívum, hogy a polgárok és a lakosok belátására bízzák, hogy használnak-e európai digitális személyiadat-tárcát. Az EGSZB véleménye szerint a felhasználók nem kötelezhetők arra, hogy a tárcát magán- vagy közszolgáltatások igénybevételére használják, hanem egyszerűen csak lehetőséget kell biztosítani számukra erre.
4.5A megfizethetőség szempontjából az EGSZB üdvözli, hogy az európai digitális személyiadat-tárca használata a felhasználók számára ingyenes lesz. Az EGSZB azonban arra kéri az Európai Bizottságot, hogy a rendeletben végezzen további elemzést és teremtsen egyértelműséget a következőket illetően: i. a kibocsátás költségei természetes személyek számára, ii. a jogi személyek számára felmerülő (kibocsátási és használati) költségek, valamint iii. digitális személyazonossági attribútumok ilyen tárcákhoz való hozzáadásának költségei, mivel az EGSZB véleménye szerint minden ilyen hozzáadás bizalmi szolgáltatást jelentene, ami a tárca tulajdonosa számára költségeket vonna maga után.
5.Az európai digitális személyazonossági keret használhatósági szempontjai
5.1Az EGSZB üdvözli az Európai Bizottság arra irányuló kezdeményezését, hogy az elektronikus azonosítási eszközök használhatóságát egy közös európai digitális személyazonossági keret létrehozásával javítsa, amely az európai digitális személyiadat-tárca határokon átnyúló mivoltára támaszkodik.
5.2A javaslat szerint a használhatóságot az eIDAS-rendelet új 12b. cikkében előírt eszközökkel lehet javítani, amelyek az európai digitális személyiadat-tárcák elismerésére vonatkozó követelményeket tartalmaznak, és amelyek nemcsak a tagállamoknak, hanem a szolgáltatásokat nyújtó, magánszférabeli igénybe vevő feleknek és a digitális szolgáltatásokról szóló jogszabályjavaslat 25. cikkének (1) bekezdésében meghatározott „online óriásplatformoknak” is szólnak. Ezen új rendelkezések alapján egyes magánszektoroknak (pl. közlekedés, energia, banki és pénzügyi szolgáltatások, szociális biztonság, egészségügy, ivóvíz, postai szolgáltatások, digitális infrastruktúra, oktatás és távközlés) el kell fogadniuk az európai digitális személyiadat-tárca használatát a szolgáltatások nyújtása során, amennyiben a nemzeti vagy uniós jog vagy szerződéses kötelezettségek erős felhasználóhitelesítést írnak elő az online azonosításhoz. Az Európai Bizottság javaslatának fényében ugyanez a követelmény vonatkozna az online óriásplatformokra (pl. közösségi oldalak), amelyeknek a hitelesítést igénylő konkrét online szolgáltatáshoz szükséges minimális attribútumok – például az életkor igazolása – tekintetében el kell fogadniuk az európai digitális személyiadat-tárcák használatát.
5.3Az EGSZB megjegyzi, hogy az elektronikus azonosítási eszközök – köztük az európai digitális személyiadat-tárcák – széles körű elérhetőségének és használhatóságának biztosítása érdekében az online magánszolgáltatókat (amelyek nem minősülnek „óriásplatformoknak”) be kell vonni az elektronikus azonosítási eszközök széles körű elfogadását elősegítő, önszabályozó „magatartási kódexek” kidolgozásába. Az Európai Bizottság feladata annak értékelése, hogy az ilyen rendelkezések az európai digitális személyiadat-tárcák felhasználói szempontjából mennyire hatékonyak és használhatóak.
6.Az európai digitális személyiadat-tárcák joghatásaival kapcsolatos kérdések
6.1Az EGSZB támogatja a javaslatot abból a szempontból, hogy az javítja a digitális közszolgáltatásokhoz való hozzáférést, beleértve a határokon átnyúló helyzeteket is.
6.2Az eIDAS-rendelet javasolt új 9. szakasza előírja, hogy a valamely tagállamban kibocsátott, minősített elektronikus attribútumtanúsítványokat valamennyi tagállamban el kell ismerni minősített elektronikus attribútumtanúsítványként.
6.3A tagállamok nemzeti jogára tekintettel azonban, amely egyes esetekben jelentősen eltérhet, az EGSZB rámutat, hogy az egyik tagállamban hiteles források alapján tanúsított attribútumok kizárólag ténybeli körülmények megerősítésére korlátozódhatnak, és nem járhatnak joghatással más tagállamokban, kivéve, ha az igazolt attribútumok megfelelnek az adott tagállam nemzeti jogának. Lényegében – az (EU) 2016/1191 rendelet analógiájára – a javasolt jogi megoldások nem befolyásolhatják az egyik tagállamban hiteles források alapján tanúsított attribútumok tartalmához kapcsolódó joghatások másik tagállamban való elismerését. Itt egyes (konkrét személyek vallására vagy meggyőződésére vonatkozó) személyes adatok szolgálhatnak példaként. Egyes uniós országokban az ilyen jellegű információk joghatásokat váltanak ki (pl. Németországban az
anyakönyvek
tartalmaznak vallásra vonatkozó információkat, amelyek egyháziadó-fizetési kötelezettséget alapoznak meg, ami nélkül az
egyházi szertartás keretében történő házasságkötés
nem lehetséges, míg más országokban (pl. Lengyelországban) nem ez a helyzet.
6.4Az EGSZB ezért arra kéri az Európai Bizottságot, hogy fontolja meg a 9. szakasz szövegének pontosítását, hogy egyértelmű legyen, hogy a minősített elektronikus attribútumtanúsítványok bármely más tagállamban való elismerése a szóban forgó attribútummal kapcsolatos ténybeli körülmények megerősítésére korlátozódik, és nem eredményez joghatásokat más tagállamokban, kivéve, ha az igazolt attribútumok megfelelnek az adott tagállam nemzeti jogának.
7.Biztonsági szempontok
A.Adatvédelem az alapvető jogokkal összefüggésben
7.1Az EGSZB megjegyzi, hogy a közös európai digitális személyazonossági keret hiánya miatt a polgárok és más lakosok a legtöbb esetben akadályokba ütköznek a személyazonosságukkal kapcsolatos információk határokon átnyúló digitális cseréje során, és ezen túlmenően az ilyen információk biztonságos módon és magas szintű adatvédelem mellett történő cseréje során is.
7.2Az EGSZB ezért üdvözli az európai digitális személyiadat-tárcákon alapuló, interoperábilis és biztonságos rendszer létrehozására irányuló kísérleteket, amelyek javíthatják a tagállamok közötti információcserét, többek között a foglalkoztatási helyzettel vagy szociális jogokkal kapcsolatban. Ezzel kapcsolatban az EGSZB arra számít, hogy az új európai digitális személyazonossági keret például lehetőséget teremt a határokon átnyúló foglalkoztatási lehetőségek gyors növelésére, valamint a szociális jogok automatikus, további kérelmezési eljárások vagy egyéb adminisztratív erőfeszítések nélküli megadásának kiterjesztésére.
7.3Az EGSZB szempontjából azonban az alapvető jogok – különösen a magánélethez való jog és a személyes adatok védelméhez való jog – védelmével összefüggésben a hatékony adatvédelem a legfontosabb kérdés, amellyel foglalkozni kell.
7.4Ezért az EGSZB teljes mértékben támogatja azt a követelményt, hogy az európai digitális személyazonossági keret mindenkinek biztosítson eszközöket annak ellenőrzésére, hogy ki férhet hozzá személyük digitális másához, és pontosan milyen adatokhoz nyer hozzáférést (ideértve a közszféra általi hozzáférést is). Amint arra a javaslatban rámutatnak, ez magas szintű biztonságot is megkövetel a digitális személyazonossági szolgáltatások nyújtásához kapcsolódó valamennyi szempont tekintetében, beleértve az európai digitális személyiadat-tárcák kiadását, valamint a digitális személyazonosító adatok gyűjtésére, tárolására és közzétételére szolgáló infrastruktúrát.
7.5Ebben az összefüggésben az EGSZB üdvözli azt a javaslatot, amely szerint a felhasználóknak jogukban áll majd szelektíven, az adott helyzetben szükségesekre korlátozva nyilvánosságra hozni attribútumaikat. A javaslat szerint az európai digitális személyiadat-tárcák használata során a felhasználónak ellenőrzése lesz afölött, hogy mennyi adatot ad át harmadik feleknek, és tájékoztatást kell kapnia arról, hogy mely attribútumok szükségesek egy adott szolgáltatás nyújtásához.
7.6Az EGSZB támogatja azt a javaslatot, hogy az európai digitális személyiadat-tárcák szolgáltatásával kapcsolatos személyes adatokat fizikailag és logikailag el kell különíteni az ilyen tárcák kibocsátói által tárolt egyéb adatoktól, és helyesli azt a követelményt, hogy a minősített elektronikus attribútumtanúsítvánnyal kapcsolatos szolgáltatásokat nyújtó szolgáltatóknak külön jogi személyként kell működniük.
7.7A hatékony adatvédelem mellett, amelyet garantálni kell, alapvető fontosságú, hogy a felhasználók rendelkezhessenek adataik felett. E tekintetben az EGSZB egy, a tagállamok által kibocsátott jogi személyazonosságokra, valamint a minősített és nem minősített digitális személyazonossági attribútumok biztosítására épülő európai digitális személyazonossági keret létrehozását is helyeselné.
7.8Az EGSZB rámutat, hogy a felhasználói adatok magas szintű jogi védelmének biztosítása érdekében a felhasználóknak nagyobb ellenőrzést kell biztosítani az európai digitális személyiadat-tárcák felett, beleértve az egyes felhasználói adatokhoz való hozzáférés nyomon követhetőségét. E célból a javaslat jóváhagyását követő megbeszélések során meghatározandó technikai szempontok közé kell tartoznia egy olyan nyilvántartás létrehozásának, amely lehetővé teszi a felhasználó számára, hogy kérésre ellenőrizni tudja az adataihoz való hozzáférés minden egyes esetét.
B.Egyéb biztonsági és felelősségi szempontok
7.9A javaslat szerint az új európai digitális személyazonossági keret a csalás megelőzésére és a személyazonosító adatok hitelesítésének biztosítására szolgáló mechanizmusokat fog kínálni. Mivel a javaslat tartalmaz egy olyan rendelkezést, amely eszközöket vezet be az attribútumok hiteles forrásokból történő ellenőrzésének lehetővé tételére, ez javíthatja például a gyermekek online biztonságát azáltal, hogy megakadályozza, hogy életkoruknak nem megfelelő tartalmakhoz férjenek hozzá. Az EGSZB megjegyzi, hogy nemzeti szinten jelenleg ilyen hatékony védelem vagy nem áll rendelkezésre, vagy nagyon kevéssé hatékony.
7.10Az EGSZB üdvözli azt az elképzelést, hogy a webböngészőknek támogatást és interoperabilitást kell biztosítaniuk az eIDAS-rendelet szerinti, minősített weboldal-hitelesítő tanúsítványok számára. A magas szintű bizonyosság nyújtása érdekében el kell ismerniük és meg kell jeleníteniük a minősített weboldal-hitelesítő tanúsítványokat, lehetővé téve a weboldal-tulajdonosok számára, hogy a weboldal tulajdonosaiként tüntessék fel magukat, illetve a felhasználók számára, hogy nagyfokú biztossággal azonosítsák a weboldal-tulajdonosokat. Az EGSZB ugyanakkor úgy látja, hogy egyszerű, gyors és hatékony fellebbezési mechanizmusokat kell biztosítani annak érdekében, hogy a tévesen veszélyesnek minősített weboldalak blokkolását feloldják. Felelősségi szabályokat is meg kell állapítani minden olyan esetre vonatkozóan, amikor egy weboldalt tévesen minősítettek veszélyesnek.
7.11Az EGSZB emlékeztet arra, hogy az adatok mindenfajta digitalizálása biztonsági aggályokat vet fel, különösen az adatokat tároló és feldolgozó hatalmas rendszerek esetében, amelyek a csalás és az adatvesztés által veszélyeztetett információforrást jelentenek. Az EGSZB tisztában van azzal is, hogy jelenleg nem létezik olyan teljesen hatékony (azaz hiányosságoktól és hibáktól mentes) biztonsági rendszer, amely teljes mértékben kiküszöbölné az ilyen fenyegetést.
7.12Ezért az EGSZB rámutat arra, hogy a felhasználók adataival kapcsolatos minden ilyen nemkívánatos helyzet minimalizálása érdekében a tagállamok által az Európai Bizottság koordinálása mellett kidolgozott európai digitális személyazonossági keret műszaki architektúrájának az adatbiztonságot növelő és az adatkezelési mechanizmusokat biztosító intézkedésekre kell összpontosítania. Ezek a mechanizmusok fontosak például a felhasználóktól gyűjtött adatoknak az eredetileg tervezettől eltérő célokra történő felhasználásával összefüggésben. Az EGSZB ugyanakkor úgy véli, hogy a műszaki architektúrát az alapvető jogok és a tagállamok szuverenitásának tiszteletben tartásával kell kialakítani.
7.13Az EGSZB megjegyzi, hogy az eIDAS-rendelet 13. cikkének (1) bekezdése felelősséget állapít meg a bizalmi szolgáltatók számára a természetes vagy jogi személyeknek az e rendelet szerinti kötelezettségek (és az Európai Bizottság javaslata szerint a javasolt „NIS 2 irányelv” 18. cikke szerinti kiberbiztonsági kockázatkezelési kötelezettségek) teljesítésének elmulasztása miatt szándékosan vagy gondatlanságból okozott károkért. Ezt a rendelkezést a felelősségre vonatkozó nemzeti szabályokkal összhangban kell alkalmazni (13. cikk (3) bekezdés).
7.14A felelősségre vonatkozó aggályokkal kapcsolatban az EGSZB szeretné felhívni a figyelmet arra, hogy a kár fogalmának meghatározásával, mértékével és az esedékes kártérítéssel kapcsolatos kérdéseket a tagállamok nemzeti joga szabályozza. E szabályok szerint a bizalmi szolgáltatók felelőssége a nemzeti jog vonatkozó rendelkezései és a szolgáltatók által meghatározott „szolgáltatásnyújtási politikák” alapján korlátozható.
7.15Az EGSZB úgy véli, hogy az európai digitális személyiadat-tárcák felhasználóinak kártérítést kell garantálni az adataikkal kapcsolatos minden nemkívánatos esemény, például adatlopás, adatvesztés, adatközlés, az eredeti szándéktól eltérő célú felhasználás stb. esetére. Ennek a felelősségnek a fent említett valamennyi helyzetre ki kell terjednie, függetlenül attól, hogy a szolgáltató szándékosan vagy gondatlanul járt-e el (vagyis hogy a szolgáltató mennyiben hibázott).
7.16Az adatok (különösen a személyes adatok) ellopása, jogosulatlan közzététele vagy elvesztése hosszú távú kárt okozhat a tulajdonosuknak. Ha a digitális információ egyszer már nyilvánosságra került, azt hosszú távon számos szervezet megszerezheti, a tulajdonosuk akarata ellenére is. Az EGSZB arra ösztönzi az Európai Bizottságot és a tagállamokat, hogy keressenek és dolgozzanak ki olyan hatékony mechanizmusokat, amelyek ilyen esetekben jogorvoslatot jelentenek az adattulajdonosok számára.
7.17Az új rendszer javasolt megoldásai arra kényszerítik majd a szolgáltatókat, hogy elektronikus biztonsági rendszereiket jelentősen, sokkal magasabb szintre fejlesszék, különös figyelmet fordítva a kiberbiztonságra. Az EGSZB arra számít, hogy ez jelentős költségekkel és a meglévő IT-infrastruktúra korszerűsítésével jár majd, és egyes szolgáltatók számára túlzott terhet jelenthet, ami akár ahhoz is vezethet, hogy egyes piacokról eltűnnek azok a szolgáltatók, amelyek rövid időn belül nem tudják megfizetni ezeket a beruházásokat. Ezért az EGSZB véleménye szerint az Európai Bizottságnak és a tagállamoknak olyan megoldásokat kellene keresniük, amelyek megvédik a szolgáltatókat a diszkriminációtól ezen a területen, és lehetővé teszik e tekintetben a fokozatos átmenetet, többek között azáltal, hogy lehetőséget biztosítanak arra, hogy az új követelményeknek való megfelelést több szakaszban, észszerű időn belül biztosítsák.
Kelt Brüsszelben, 2021. szeptember 30-án.
Alain COHEUR
az „Egységes piac, termelés és fogyasztás” szekció elnöke
_____________