1.4.2011   

LT

Europos Sąjungos oficialusis leidinys

C 101/20

1.

2010 m. rugsėjo 30 d. Komisija priėmė Europos Parlamento ir Tarybos reglamento dėl Europos tinklų ir informacijos apsaugos agentūros (ENISA) pasiūlymą (3).

2.

ENISA įsteigta 2004 m. kovo mėn. pradiniam penkerių metų laikotarpiui Reglamentu (EB) Nr. 460/2004 (4). 2008 m. Reglamentu (EB) Nr. 1007/2008 (5) jos įgaliojimai pratęsti iki 2012 m. kovo mėn.

3.

Kaip nustatyta Reglamento (EB) Nr. 460/2004 1 straipsnio 1 dalyje, agentūra įsteigta siekiant užtikrinti aukštą ir veiksmingą Sąjungos tinklų ir informacijos saugumo lygį bei prisidėti prie sklandaus vidaus rinkos veikimo.

4.

Komisijos pasiūlymu agentūrą ketinama atnaujinti, sustiprinti jos kompetenciją ir penkeriems metams suteikti naujus įgaliojimus, leisiančius agentūrai tęsti veiklą ir po 2012 m. kovo mėn. (6)

5.

Siūlomo reglamento teisinis pagrindas – SESV 114 straipsnis (7), kuriuo Europos Sąjungai suteikiama kompetencija imtis priemonių, skirtų vidaus rinkai sukurti ar jos veikimui užtikrinti. SESV 114 straipsnis – tai buvęs EB sutarties 95 straipsnis, kuriuo buvo grindžiami ankstesni reglamentai dėl ENISA (8).

6.

Kartu su pasiūlymu pateiktame aiškinamajame memorandume nurodoma, kad įsigaliojus Lisabonos sutarčiai nusikalstamumo prevencija ir kova su juo tapo Europos Sąjungos pasidalijamosios kompetencijos dalyku. Todėl, kovojant su elektroniniais nusikaltimais, ENISA galėtų būti tinklų ir informacijos saugumo (TIS) aspektų platforma; su kibernetinės gynybos, teisėsaugos ir privatumo apsaugos institucijomis ji galėtų keistis nuomonėmis ir gerąja patirtimi.

7.

Iš kelių alternatyvų Komisija pasirinko siūlymą plėsti ENISA uždavinius ir į jos nuolatinę visaverčių suinteresuotųjų subjektų grupę įtraukti teisėsaugos bei duomenų apsaugos institucijas. Tarp naujųjų uždavinių nėra operatyvinių, tačiau performuluojami ir atnaujinami esami uždaviniai.

8.

2010 m. spalio 1 d. pasiūlymas pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį buvo nusiųstas EDAPP konsultacijai. EDAPP palankiai vertina tai, kad su juo šiuo klausimu pasikonsultuota, ir rekomenduoja nuorodą į šią konsultaciją įtraukti į pasiūlymo konstatuojamąsias dalis, kaip tai paprastai daroma teisės aktuose, dėl kurių su EDAPP konsultuojamasi pagal Reglamentą (EB) Nr. 45/2001.

9.

Prieš priimant pasiūlymą su EDAPP konsultuotasi neoficialiai ir jis pateikė kelias neoficialias pastabas. Tačiau nė į vieną iš jų galutinės redakcijos pasiūlyme neatsižvelgta.

10.

EDAPP pabrėžia, kad duomenų tvarkymo saugumas yra esminis duomenų apsaugos elementas (9). Šiuo atžvilgiu jis palankiai vertina pasiūlymo tikslą stiprinti agentūros kompetenciją, kad ji galėtų veiksmingiau vykdyti dabartinius savo uždavinius ir pareigas ir kartu plėsti jos veiklos sritį. Be to, EDAPP palankiai vertina teisėsaugos ir duomenų apsaugos institucijų, kaip visaverčių suinteresuotųjų subjektų, įtraukimą. Jo nuomone, ENISA įgaliojimų išplėtimas yra būdas paskatinti profesionalų ir šiuolaikišką informacijos sistemų saugumo priemonių valdymą Europos lygmeniu.

11.

Apskritai pasiūlymas vertintinas teigiamai. Tačiau keli siūlomo reglamento aspektai yra neaiškūs ar neišsamūs ir kelia rūpesčių duomenų apsaugos požiūriu. Šie aspektai bus paaiškinti ir aptarti kitame šios nuomonės skyriuje.

12.

Išplėsti agentūros uždaviniai, susiję su teisėsaugos ir duomenų apsaugos institucijų įtraukimu, pasiūlymo 3 straipsnyje suformuluoti labai apibendrintai. Aiškinamajame memorandume šiuo atžvilgiu yra tikslesnė informacija. Jame ENISA minima kaip sąveikaujanti su elektroninio nusikalstamumo teisėsaugos institucijomis ir atliekanti neoperatyvines kovos su elektroniniu nusikalstamumu užduotis. Tačiau šie uždaviniai į 3 straipsnio nuostatas neįtraukti arba jose paminėti tik labai bendrais bruožais.

13.

Siekiant išvengti teisinio neapibrėžtumo, siūlomame reglamente reikėtų aiškiai ir nedviprasmiškai nurodyti ENISA uždavinius. Kaip minėta, duomenų tvarkymo saugumas yra esminis duomenų apsaugos elementas. ENISA vaidmuo šioje srityje bus vis svarbesnis. Piliečiams, institucijoms ir organizacijoms turėtų būti aišku, kokioje veikloje ENISA gali dalyvauti. Šis aspektas yra svarbus dar ir tuo atveju, jeigu į išplėstus ENISA įgaliojimus įeitų asmens duomenų tvarkymas (žr. šios nuomonės 17–20 punktus).

14.

Pasiūlymo 3 straipsnio 1 dalies k punkte nurodyta, kad agentūra vykdo Europos Sąjungos teisės aktais jai paskirtas užduotis. EDAPP kelia rūpestį ši neapibrėžta nuostata, nes ja sukuriama galima spraga, galinti paveikti teisės akto nuoseklumą ir lemti agentūros „funkcijų iškreipimą“.

15.

Viena iš pasiūlymo 3 straipsnio 1 dalies k punkte nurodytų užduočių yra nurodyta Direktyvoje 2002/58/EB (10). Joje numatyta, kad Komisija privalo konsultuotis su agentūra dėl visų techninių įgyvendinimo priemonių, taikytinų pranešimams duomenų pažeidimo srityje. EDAPP rekomenduoja šią agentūros veiklos sritį apibūdinti išsamiau ir priskirti ją saugumo sričiai. Atsižvelgiant į galimą ENISA poveikį politikos šioje srityje kūrimui, siūlomame reglamente šią veiklą reikėtų reglamentuoti aiškiau ir suprantamiau.

16.

Be to, EDAPP rekomenduoja į 21 konstatuojamąją dalį įtraukti nuorodą į Direktyvą 1999/5/EB (11), atsižvelgiant į konkrečią dabartinio pasiūlymo 3 straipsnio 1 dalies c punkte nurodytą ENISA užduotį padėti valstybėms narėms ir Europos institucijoms bei įstaigoms rinkti, analizuoti ir skleisti tinklų ir informacijos saugumo duomenis. Tai turėtų paskatinti ENISA parodomojo pobūdžio pratybas NIS (tinklo informacijos saugumo) geriausios patirties ir technikos naudai, nes taip bus geriau parodyta galima konstruktyvi agentūros ir standartizacijos įstaigų sąveika.

17.

Pasiūlyme nenurodyta, ar tarp agentūrai priskirtų užduočių gali būti asmens duomenų tvarkymas. Todėl pasiūlyme nėra konkretaus asmens duomenų tvarkymo teisinio pagrindo, kaip nurodyta Reglamento (EB) Nr. 45/2001 5 straipsnyje.

18.

Tačiau kai kurios agentūrai patikėtos užduotys gali būti susijusios (bent tam tikru mastu) su asmens duomenų tvarkymu. Pavyzdžiui, negalima atmesti galimybės, kad saugumo incidentų ir duomenų pažeidimo analizė arba neoperatyvinių funkcijų vykdymas kovojant su elektroniniu nusikalstamumu gali būti susijęs su asmens duomenų rinkimu ir analize.

19.

Pasiūlymo 9 konstatuojamojoje dalyje daroma nuoroda į Direktyvos 2002/21/EB (12) nuostatas, kuriose nustatyta, kad, kai taikytina, nacionalinės reguliavimo institucijos praneša agentūrai apie saugumo pažeidimus. EDAPP rekomenduoja pasiūlyme išsamiau reglamentuoti, kokių pranešimų siuntimas ENISA turimas omenyje ir kaip ENISA turėtų į juos reaguoti. Be to, pasiūlyme reikėtų reglamentuoti asmens duomenų tvarkymo padarinius, galinčius kilti analizuojant šiuos pranešimus (jeigu jie būtų analizuojami).

20.

EDAPP ragina teisės aktų leidėją patikslinti, ar 3 straipsnyje įrašyta ENISA veikla apims asmens duomenų tvarkymą, o jei taip, tai kuri.

21.

Nors ENISA atlieka svarbų vaidmenį diskusijoje dėl tinklų ir informacijos saugumo Europoje, pasiūlyme beveik nieko nenurodyta apie pačios agentūros saugumo priemonių (susijusių arba nesusijusių su asmens duomenų tvarkymu) nustatymą.

22.

EDAPP nuomone, agentūra galės netgi geriau skleisti gerąją patirtį duomenų tvarkymo saugumo srityje, jeigu ji pati griežtai taikys šias saugumo priemones agentūroje. Tai paskatins pripažinti agentūrą ne tik kaip ekspertų centrą, bet ir kaip atspirties tašką saugumo srityje praktiškai įgyvendinant geriausias turimas technologijas (GTT). Siekis kaip galima geriau įgyvendinti saugumo praktiką turėtų būti įtvirtintas agentūros darbo tvarką reglamentuojančiame reglamente. Todėl EDAPP siūlo šiuo tikslu į pasiūlymą įtraukti nuostatą, pavyzdžiui, reikalaujant, kad agentūra taikytų geriausias turimas technologijas, t. y. veiksmingiausias ir pažangiausias saugumo procedūras ir jų veikimo metodus.

23.

Laikydamasi tokio požiūrio, agentūra galės konsultuoti dėl praktinio konkrečios technikos tinkamumo užtikrinti reikiamas saugumo garantijas. Be to, įgyvendinant šias GTT, pirmenybė turėtų būti teikiama toms technologijoms, kurios leidžia užtikrinti saugumą ir kartu kuo labiau sumažinti poveikį privatumui. Turėtų būti pasirenkamos technologijos, geriau atitinkančios „privatumo užtikrinimo projektuojant“ principą.

24.

Net ir laikydamasis nuosaikesnio požiūrio, EDAPP rekomenduoja į reglamentą įtraukti bent tokius reikalavimus: i) sukurti vidaus saugumo politiką ir pateikti išsamų grėsmių vertinimą, kuriame atsižvelgiama į tarptautinius standartus ir geriausią valstybių narių patirtį, ii) paskirti už politikos įgyvendinimą atsakingą saugumo pareigūną ir užtikrinti pakankamus išteklius bei įgaliojimus, iii) patvirtinti šią politiką, atidžiai ištyrus liekamąją grėsmę ir valdybos siūlomas kontrolės priemones, ir iv) reguliariai atlikti politikos peržiūrą, aiškiai nurodžius periodiškumą ir peržiūros tikslus.

25.

Kaip jau nurodyta, EDAPP palankiai vertina agentūros įgaliojimų išplėtimą ir mano, kad duomenų apsaugos institucijoms agentūros buvimas gali būti labai naudingas (o agentūrai – šių institucijų patirtis). Atsižvelgiant į natūralią ir logišką saugumo ir duomenų apsaugos konvergenciją, agentūra ir duomenų apsaugos institucijos iš tikrųjų raginamos glaudžiai bendradarbiauti.

26.

24 ir 25 konstatuojamosiose dalyse pateikiama nuoroda į siūlomą ES direktyvą dėl elektroninių nusikaltimų ir minima, kad agentūra turėtų palaikyti ryšius su teisėsaugos institucijomis ir duomenų apsaugos institucijomis dėl kovos su elektroniniu nusikalstamumu informacijos saugumo aspektų (13).

27.

Be to, pasiūlyme reikėtų numatyti konkrečius kanalus ir bendradarbiavimo mechanizmus, i) užtikrinsiančius agentūros ir duomenų apsaugos institucijų veiksmų suderinamumą ir ii) leisiančius agentūrai ir duomenų apsaugos institucijoms glaudžiai bendradarbiauti.

28.

Dėl nuoseklumo, 27 konstatuojamojoje dalyje aiškiai nurodyta, kad agentūros užduotys neturėtų paveikti valstybių narių duomenų apsaugos institucijų kompetencijos. EDAPP palankiai vertina šią nuorodą, tačiau pažymi, kad nėra nuorodos į EDAPP ir 29 straipsnio darbo grupę. EDAPP rekomenduoja teisės aktų leidėjui įtraukti panašią nepaveikimo nuostatą į pasiūlymą ir dėl šių dviejų subjektų. Taip bus sukurta aiškesnė visų šalių darbo aplinka ir apibrėžti bendradarbiavimo kanalai bei mechanizmai, suteikiantys agentūrai galimybę padėti įvairioms duomenų apsaugos institucijoms ir 29 straipsnio darbo grupei.

29.

Todėl dėl glaudaus bendradarbiavimo EDAPP palankiai vertina tai, kad nuolatinėje suinteresuotųjų subjektų grupėje, konsultuosiančioje agentūrą jai vykdant veiklą, numatytas atstovavimas duomenų apsaugos institucijoms. Jis rekomenduoja aiškiai paminėti, kad tokį nacionalinių duomenų apsaugos institucijų atstovą, remdamasi 29 straipsnio darbo grupės pasiūlymu, skirtų agentūra. Be to, būtų gerai įtraukti nuorodą dėl EDAPP dalyvavimo tuose susitikimuose, kuriuose ketinama aptarti bendradarbiavimui su EDAPP svarbius klausimus. Be to, EDAPP rekomenduoja agentūrai (pasikonsultavus su nuolatine suinteresuotųjų subjektų grupe ir pritarus valdybai) sudaryti ad hoc darbo grupes įvairiems klausimams spręsti, kai duomenų apsauga ir saugumas sutampa, kad šios glaudaus bendradarbiavimo pastangos būtų apibrėžtos.

30.

Galiausiai, siekiant išvengti bet kokių galimų nesusipratimų, EDAPP rekomenduoja vartoti sąvoką „duomenų apsaugos institucijos“, o ne „privatumo apsaugos institucijos“ ir patikslinti, kas yra šios institucijos, pateikiant nuorodą į Direktyvos 95/46/EB 28 straipsnį ir EDAPP, kaip numatyta Reglamento (EB) Nr. 45/2001 V skyriuje.

31.

EDAPP pažymi siūlomo reglamento nenuoseklumą dėl to, kas gali prašyti ENISA pagalbos. Iš pasiūlymo 7, 15, 16, 18 ir 36 konstatuojamųjų dalių darytina išvada, kad ENISA gali padėti valstybių narių įstaigoms ir visai ES. Tačiau 2 straipsnio 1 dalyje minima tik Komisija ir valstybės narės, o 14 straipsnyje galimybė prašyti pagalbos suteikiama tik: i) Europos Parlamentui, ii) Tarybai, iii) Komisijai ir iv) bet kuriai valstybės narės paskirtai kompetentingai institucijai, o kai kurios ES institucijos, įstaigos, agentūros bei tarnybos neįtrauktos.

32.

Pasiūlymo 3 straipsnis yra konkretesnis ir jame numatyta įvairių rūšių pagalba, atsižvelgiant į tai, kas yra jos gavėjai: i) informacijos saugumo duomenų rinkimas ir analizė (valstybių narių bei Europos institucijų ir įstaigų atveju), ii) tinklų ir informacijos saugumo būklės Europoje analizė (valstybių narių ir Europos institucijų atveju), iii) skatinimas naudotis grėsmių valdymu ir saugumo srities gerąja patirtimi (visoje ES ir valstybėse narėse), iv) tinklų ir informacijos saugumo srities atpažinimo kūrimas (Europos institucijose ir įstaigose) ir v) bendradarbiavimas vedant dialogą ir bendradarbiavimas su trečiosiomis šalimis (ES atveju).

33.

EDAPP ragina teisės aktų leidėją ištaisyti šį nenuoseklumą ir suderinti minėtas nuostatas. Šiuo atžvilgiu EDAPP rekomenduoja 14 straipsnį pakeisti taip, kad į jį iš tikrųjų būtų įtrauktos visos ES institucijos, įstaigos, agentūros ir tarnybos ir kad būtų aišku, kokios pagalbos gali reikalauti įvairūs ES subjektai (jeigu teisės aktų leidėjas yra numatęs tokią diferenciaciją). Kartu rekomenduojama numatyti, kad tam tikri viešieji ir privatieji subjektai galėtų prašyti agentūros pagalbos, jeigu prašoma pagalba susijusi su aiškiomis galimybėmis europiniu požiūriu ir atitinka agentūros tikslus.

34.

Aiškinamajame memorandume numatyta sustiprinti valdybos kompetenciją jos vykdomos priežiūros srityje. EDAPP palankiai vertina šią papildomą kompetenciją ir rekomenduoja į valdybos funkcijas įtraukti kelis su duomenų apsauga susijusius aspektus. Be to, EDAPP rekomenduoja reglamente aiškiai numatyti, kas turi teisę: i) nustatyti agentūrai Reglamento (EB) Nr. 45/2001 taikymo priemones, įskaitant priemones, susijusias su duomenų apsaugos pareigūno skyrimu, ii) tvirtinti saugumo politiką ir paskesnius periodiškai atliekamus persvarstymus, ir iii) nustatyti bendradarbiavimo su duomenų apsaugos institucijomis ir teisėsaugos institucijomis protokolą.

35.

Nors Reglamente (EB) Nr. 45/2001 to ir taip reikalaujama, EDAPP siūlo į 27 straipsnį įtraukti nuostatą dėl duomenų apsaugos pareigūno paskyrimo, nes ji itin svarbi, ir iš karto turėtų būti sukurtos įgyvendinimo taisyklės, susijusios su duomenų apsaugos pareigūno įgaliojimų apimtimi ir užduotimis pagal Reglamento (EB) Nr. 45/2001 24 straipsnio 8 dalį. Konkrečiai 27 straipsnis galėtų būti suformuluotas taip:

36.

Jeigu reikėtų konkretaus asmens duomenų tvarkymo teisinio pagrindo, kaip aptarta šios nuomonės 17–20 punktuose, jame taip pat turėtų būti numatytos būtinos ir tinkamos garantijos, apribojimai bei sąlygos, kuriomis toks tvarkymas gali vykti.

37.

Apskritai pasiūlymas vertintinas teigiamai ir EDAPP palankiai vertina agentūros įgaliojimų bei užduočių išplėtimą – duomenų apsaugos ir teisėsaugos institucijų įtraukimą kaip visaverčių suinteresuotųjų subjektų. EDAPP nuomone, agentūros tęstinumas paskatins profesionaliai ir šiuolaikiškai valdyti informacijos sistemų saugumo priemones Europos lygmeniu.

38.

EDAPP rekomenduoja, siekiant vengti teisinio neapibrėžtumo, pasiūlyme patikslinti agentūros užduočių, visų pirma susijusių su teisėsaugos ir duomenų apsaugos institucijų dalyvavimu, išplėtimo klausimą. Be to, EDAPP atkreipia dėmesį į galimą spragą, susidarysiančią į pasiūlymą įtraukus nuostatą, pagal kurią agentūrai bet kuriuo kitu ES teisės aktu be jokių apribojimų gali būti paskirtos naujos užduotys.

39.

EDAPP ragina teisės aktų leidėją patikslinti, ar ENISA veikla apims asmens duomenų tvarkymą, o jei taip, tai kuri.

40.

EDAPP rekomenduoja įtraukti nuostatas dėl pačios agentūros saugumo politikos sukūrimo, kad būtų sustiprintas agentūros, kaip padedančios formuoti tobuliausią saugumo praktiką ir skatinančios užtikrinti privatumą projektuojant, į saugumą asmens duomenų apsaugos teisių požiūriu integruojant geriausias turimas technologijas, vaidmuo.

41.

Bendradarbiavimo su duomenų apsaugos institucijomis, įskaitant EDAPP ir 29 straipsnio darbo grupę, kanalus reikėtų geriau apibrėžti, siekiant užtikrinti nuoseklumą ir glaudų bendradarbiavimą.

42.

EDAPP ragina teisės aktų leidėją pašalinti kai kuriuos nenuoseklumus dėl apribojimų, susijusių su 14 straipsniu dėl galimybės prašyti agentūros pagalbos. Visų pirma EDAPP rekomenduoja atsisakyti šių apribojimų ir suteikti visoms ES institucijoms, įstaigoms, agentūroms ir tarnyboms teisę prašyti agentūros pagalbos.

43.

Galiausiai EDAPP rekomenduoja į papildomą valdybos kompetenciją įtraukti kai kuriuos konkrečius aspektus, padėsiančius geriau užtikrinti, kad agentūroje būtų laikomasi gerosios patirties saugumo ir duomenų apsaugos srityse. Be kita ko, siūloma įtraukti nuostatą dėl duomenų apsaugos pareigūno paskyrimo ir priemonių, kuriomis siekiama teisingai taikyti Reglamentą (EB) Nr. 45/2001, tvirtinimo.