30.1.2013   

LT

Europos Sąjungos oficialusis leidinys

C 28/6


Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl Komisijos pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl elektroninių operacijų patikimumo užtikrinimo vidaus rinkoje ir pasitikėjimo jomis (Elektroninių operacijų patikimumo užtikrinimo paslaugų reglamentas) santrauka

(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje http://www.edps.europa.eu)

2013/C 28/04

I.   Įvadas

I.1.   Pasiūlymas

1.

2012 m. birželio 4 d. Komisija priėmė Europos Parlamento ir Tarybos reglamento dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje pasiūlymą (toliau – pasiūlymas) (1), kuriuo iš dalies keičiama Europos Parlamento ir Tarybos direktyva 1999/93/EB.

2.

Pasiūlymas yra viena iš kelių Komisijos pasiūlytų priemonių, kuriomis siekiama skatinti aktyviau naudotis elektroninėmis operacijomis Europos Sąjungoje. Juo tęsiami Europos skaitmeninėje darbotvarkėje (2) numatyti veiksmai, susiję su elektroninius parašus reglamentuojančių teisės aktų patobulinimu (3 pagrindinis veiksmas) ir išsamios elektroninės atpažinties ir tapatumo nustatymo abipusio pripažinimo sistemos sukūrimu (16 pagrindinis veiksmas).

3.

Tikimasi, kad pasiūlymu bus stiprinamas pasitikėjimas Europos masto elektroninėmis operacijomis ir užtikrinamas elektroninės atpažinties, tapatumo nustatymo, parašo ir su tuo susijusių patikimumo užtikrinimo paslaugų tarpvalstybinis teisinis pripažinimas vidaus rinkoje, taip pat bus užtikrinamas aukštas duomenų apsaugos lygis ir vartotojų galimybių didinimas.

4.

Aukštas duomenų apsaugos lygis yra labai svarbus naudojant elektroninės atpažinties schemas ir patikimumo užtikrinimo paslaugas. Patikimumo užtikrinimo paslaugų teikėjai ir elektroninės atpažinties priemones išduodantys subjektai, kurdami ir taikydami tokias elektronines priemones, privalo užtikrinti tinkamą asmens duomenų tvarkymą. Tai yra dar svarbiau dėl to, kad tokiu duomenų tvarkymu bus remiamasi, siekiant, be kita ko, kuo patikimiau atpažinti fizinius (arba juridinius) asmenis arba nustatyti jų tapatybę.

I.2.   Konsultacijos su EDAPP

5.

Prieš priimant pasiūlymą EDAPP buvo suteikta galimybė pateikti neoficialias pastabas. Pasiūlyme atsižvelgta į daugumą iš šių pastabų. Todėl duomenų apsaugos priemonės pasiūlyme buvo sugriežtintos.

6.

EDAPP palankiai vertina tai, kad su juo taip pat oficialiai konsultavosi Komisija pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį.

I.3.   Pasiūlymo aplinkybės

7.

Pasiūlymas grindžiamas Sutarties dėl Europos Sąjungos veikimo 114 straipsniu ir jame nustatytos elektroninės atpažinties ir patikimumo užtikrinimo paslaugų valstybėse narėse abipusio pripažinimo ir priėmimo sąlygos ir mechanizmai. Visų pirma pasiūlyme nustatomi principai, susiję su atpažinties ir patikimų elektroninių paslaugų teikimu, įskaitant pripažinimui ir priėmimui taikytinas taisykles. Jame taip pat nustatyti elektroninių parašų, elektroninių spaudų, elektroninių laiko žymų, elektroninių dokumentų, elektroninių pristatymo paslaugų, svetainių tapatumo nustatymo priemonių ir elektroninių sertifikatų kūrimo, patikrinimo, tvirtinimo, tvarkymo ir saugojimo reikalavimai.

8.

Be to, siūlomame reglamente nustatytos patikimumo užtikrinimo paslaugų teikimo priežiūros taisyklės ir valstybės narės įpareigojamos šiuo tikslu įkurti priežiūros įstaigas. Šios įstaigos, be kitų užduočių, taip pat vertins elektroninių patikimumo užtikrinimo paslaugų teikėjų įgyvendinamų techninių ir organizacinių priemonių atitiktį.

9.

II skyriuje aptariamos elektroninės atpažinties paslaugos, o III skyrius skirtas kitoms elektroninėms patikimumo užtikrinimo paslaugoms, pvz., elektroniniams parašams, spaudams, laiko žymoms, dokumentams, pristatymo paslaugoms, sertifikatams ir svetainių tapatumo nustatymo priemonėms. Elektroninės atpažinties paslaugos susijusios su nacionalinėmis tapatybės kortelėmis, kurios gali būti naudojamos prieigai prie skaitmeninių paslaugų užtikrinti, visų pirma tai pasakytina apie elektroninės valdžios paslaugas; tai reiškia, kad elektroninės atpažinties priemonę išduodanti institucija veikia valstybės narės vardu ir kad valstybė narė turi pareigą teisingai nustatyti ryšį tarp konkretaus fizinio asmens ir jo elektroninės atpažinties priemonių. Kitų elektroninių patikimumo užtikrinimo paslaugų atveju pareigą teisingai ir saugiai teikti šias paslaugas turi fizinis arba juridinis asmuo, kuris teikia patikimumo užtikrinimo paslaugas arba išduoda elektroninės atpažinties priemonę.

I.4.   Pasiūlyme keliami su duomenų apsauga susiję klausimai

10.

Asmens duomenys dažnai tvarkomi naudojant atpažinties schemas ir tam tikru mastu jie tvarkomi taip pat teikiant kitas patikimumo užtikrinimo paslaugas (pvz., elektroninių parašų atveju). Asmens duomenis reikės tvarkyti patikimam ryšiui tarp elektroninės atpažinties ir tapatumo nustatymo priemonių, kurias naudoja fizinis (arba juridinis) asmuo, ir to asmens nustatyti, siekiant patvirtinti, kad elektroninį sertifikatą naudoja tinkamas asmuo. Pavyzdžiui, elektroninės atpažinties priemonės arba elektroniniai sertifikatai yra susiję su fiziniais asmenimis ir juose bus pateikiamas duomenų, vienareikšmiškai patvirtinančių tų fizinių asmenų tapatybę, rinkinys. Kitais žodžiais tariant, pasiūlymo 3 straipsnio 12 punkte nurodytas elektroninių priemonių kūrimas, patikrinimas, tvirtinimas ir tvarkymas daugeliu atvejų bus susijęs su asmens duomenų tvarkymu ir todėl duomenų apsauga tampa svarbi.

11.

Todėl labai svarbu, kad nustatant elektroninės atpažinties schemas arba teikiant elektronines patikimumo užtikrinimo paslaugas duomenys būtų tvarkomi pagal ES duomenų apsaugos sistemą, visų pirma laikantis nacionalinių nuostatų, kuriomis įgyvendinama Direktyva 95/46/EB.

12.

Šioje nuomonėje pateikiamoje EDAPP analizėje daugiausia dėmesio bus skiriama trims pagrindiniams klausimams:

a)

kaip pasiūlyme sprendžiamas duomenų apsaugos klausimas;

b)

elektroninės atpažinties schemų, kurios bus pripažįstamos ir priimamos tarpvalstybiniu mastu, duomenų apsaugos aspektams; ir

c)

elektroninių patikimumo užtikrinimo paslaugų, kurios bus pripažįstamos ir priimamos tarpvalstybiniu mastu, duomenų apsaugos aspektams.

III.   Išvados

50.

EDAPP palankiai vertina pasiūlymą, nes jis gali padėti įgyvendinti elektroninių patikimumo užtikrinimo paslaugų ir atpažinties schemų abipusį pripažinimą (ir priėmimą) Europos lygmeniu. Jis taip pat palankiai vertina nustatytą bendrą reikalavimų, kuriuos turi tenkinti elektronines atpažinties priemones išduodantys subjektai ir patikimumo užtikrinimo paslaugų teikėjai, rinkinį. EDAPP iš esmės pritaria pasiūlymui, tačiau jis nori pateikti šias bendro pobūdžio rekomendacijas:

pasiūlyme numatytos duomenų apsaugos nuostatos neturėtų apsiriboti tik patikimumo užtikrinimo paslaugų teikėjais, jos taip pat turėtų būti taikomos tvarkant asmens duomenis elektroninės atpažinties schemose, aprašytose pasiūlymo II skyriuje,

siūlomame reglamente turėtų būti nustatytas bendras patikimumo užtikrinimo paslaugų teikėjams ir elektroninės atpažinties priemones išduodantiems subjektams taikomas saugumo reikalavimų rinkinys. Be to, reglamente Komisijai galėtų būti suteikiama galimybė prireikus apibrėžti (pasirinktinai: deleguotuose aktuose arba įgyvendinimo priemonėse) elektroninių patikimumo užtikrinimo paslaugų ir atpažinties schemų saugumo kriterijus, sąlygas ir reikalavimus,

turėtų būti reikalaujama, kad elektroninių patikimumo užtikrinimo paslaugų teikėjai ir elektronines atpažinties priemones išduodantys subjektai jų paslaugomis besinaudojantiems asmenims pateiktų: i) tinkamą informaciją apie jų duomenų rinkimą, perdavimą ir saugojimą; ir ii) priemones, kurios leistų tokiems asmenims kontroliuoti savo asmens duomenis ir įgyvendinti savo duomenų apsaugos teises,

EDAPP rekomenduoja laikytis lankstesnio požiūrio ir į pasiūlymą įtraukti nuostatas, kuriomis, priėmus siūlomą reglamentą, Komisijai būtų suteikiami įgaliojimai deleguotuose arba įgyvendinimo aktuose patikslinti arba išsamiau aprašyti konkrečias nuostatas.

51.

Kai kurios konkrečios nuostatos, susijusios su elektroninės atpažinties schemų abipusiu pripažinimu, taip pat turėtų būti patobulintos:

siūlomame reglamente turėtų būti konkrečiai nurodoma, kokie duomenys ar duomenų kategorijos bus tvarkomi tarpvalstybiniu mastu nustatant fizinių asmenų tapatybę. Šiose konkrečiose nuostatose turėtų būti įtvirtintas bent jau toks pat išsamumo lygis, kuris nustatytas prieduose dėl kitų patikimumo užtikrinimo paslaugų, ir jose turėtų būti atsižvelgiama į atitiktį proporcingumo principui,

priemonės, kurių reikalaujama įgyvendinant atpažinties schemas, turėtų bent jau atitikti reikalavimus, kurie nustatyti kvalifikuotų patikimumo užtikrinimo paslaugų teikėjams,

pasiūlyme turėtų būti nustatyti tinkami mechanizmai, skirti nacionalinių atpažinties schemų sąveikumo sistemai sukurti.

52.

Galiausiai EDAPP taip pat pateikia šias rekomendacijas, susijusias su elektroninių patikimumo užtikrinimo paslaugų teikimo ir pripažinimo reikalavimais:

visų elektroninių paslaugų atveju turėtų būti konkrečiai nurodoma, ar bus tvarkomi asmens duomenys, o tais atvejais, kai asmens duomenys bus tvarkomi, turėtų būti nurodomi duomenys, kurie bus tvarkomi, arba tokių duomenų rūšys,

reglamente reikėtų numatyti tinkamas apsaugos priemones, kad būtų išvengta bet kokio elektroninių patikimumo užtikrinimo paslaugų priežiūros įstaigų ir duomenų apsaugos institucijų kompetencijos sutapimo,

elektroninių patikimumo užtikrinimo paslaugų teikėjams nustatytos pareigos, susijusios su duomenų naudojimo pažeidimais ir saugumo incidentais, turėtų atitikti persvarstytoje E. privatumo direktyvoje ir siūlomame duomenų apsaugos reglamente nustatytus reikalavimus,

reikėtų aiškiau apibrėžti privačiųjų arba viešųjų institucijų, kurios gali būti trečiosiomis šalimis, turinčiomis teisę atlikti auditą pagal 16 ir 17 straipsnius, arba kurie gali tikrinti elektroninio parašo kūrimo įtaisus pagal 23 straipsnį, sąvokas, taip pat reikėtų aiškiau apibrėžti kriterijus, kuriais remiantis bus vertinamas šių įstaigų nepriklausomumas,

reglamente reikėtų tiksliau apibrėžti 19 straipsnio 2 ir 4 dalyse nurodytą duomenų saugojimo terminą (3).

Priimta Briuselyje 2012 m. rugsėjo 27 d.

Giovanni BUTTARELLI

Europos duomenų apsaugos priežiūros pareigūno padėjėjas


(1)  COM(2012) 238 galutinis.

(2)  COM(2010) 245, 2010 5 19.

(3)  Pagal 19 straipsnio 2 dalies g punktą kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai reikiamą laikotarpį privalo registruoti visą svarbią informaciją, susijusią su patikimumo užtikrinimo paslaugų teikėjų parengtais ir gautais duomenimis. Pagal 19 straipsnio 4 dalį kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai kiekvienai sertifikatais besinaudojančiai šaliai turėtų pateikti informaciją apie jų išduotų kvalifikuotų sertifikatų galiojimą arba atšaukimą.