1.4.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 101/20

1.

Komisija 2010. gada 30. septembrī pieņēma priekšlikumu Eiropas Parlamenta un Padomes Regulai par ENISA, Eiropas Tīklu un informācijas drošības aģentūru (3).

2.

ENISA tika izveidota 2004. gada martā ar Regulu (EK) Nr. 460/2004 (4) uz piecu gadu sākotnējo darbības termiņu. Ar Regulu (EK) Nr. 1007/2008 (5) 2008. gadā pilnvaru termiņu pagarināja līdz 2012. gada martam.

3.

Kā izriet no Regulas (EK) Nr. 460/2004 1. panta 1. punkta, Aģentūra tika izveidota, lai Savienībā nodrošinātu efektīvu augsta līmeņa tīklu un informācijas drošību un veicinātu netraucētu iekšējā tirgus darbību.

4.

Komisijas priekšlikuma mērķis ir modernizēt Aģentūru, nostiprināt tās kompetences un noteikt jaunu pilnvaru termiņu uz pieciem gadiem, kas nodrošinās Aģentūras darbības turpināšanu pēc 2012. gada marta (6).

5.

Regulas priekšlikuma tiesiskais pamats ir Līguma par Eiropas Savienības darbību (LESD) (7) 114. pants, ar kuru Savienībai ir piešķirta kompetence pieņemt pasākumus, kuru mērķis ir nodrošināt iekšējā tirgus darbību. Ar LESD 114. pantu ir aizstāts bijušā EK Līguma 95. pants, kas bija pamats iepriekšējiem noteikumiem par ENISA  (8).

6.

Priekšlikumam pievienotais paskaidrojuma raksts skar faktu, ka, stājoties spēkā Lisabonas līgumam, noziedzības novēršana un apkarošana ir nonākusi kopīgā kompetencē. Tas ir radījis iespēju ENISA kļūt par cīņas pret kibernoziedzību platformu tīklu informācijas drošības aspektos, kā arī apmainīties ar viedokļiem un labākajām praksēm ar kiberaizsardzības, tiesībsargājošām un privātuma aizsardzības iestādēm.

7.

No vairākām iespējām Komisija izvēlējās piedāvāt ENISA pienākumu paplašināšanu un to, lai tiesībsargājošās un privātuma aizsardzības iestādes kļūtu par pilntiesīgām Aģentūras ieinteresētajām personām. Jauno pienākumu sarakstā nav ietverti jauni ar darbību saistīti pienākumi, bet ir atjaunināti un no jauna formulēti esošie pienākumi.

8.

Saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu priekšlikumu 2010. gada 1. oktobrī nosūtīja EDAU, lai veiktu apspriešanos. EDAU atzinīgi novērtē to, ka par šo jautājumu tiek lūgts viņa viedoklis, un iesaka priekšlikuma apsvērumu izklāstā izdarīt atsauci uz šo apspriešanos, kā tas parasti tiek darīts tiesību aktu tekstos, par kuriem ir notikusi apspriešanās ar EDAU saskaņā ar Regulu (EK) Nr. 45/2001.

9.

Pirms priekšlikuma pieņemšanas notika neoficiāla apspriešanās ar EDAU, un tas izteica vairākas neoficiālas piezīmes. Taču priekšlikuma galīgajā redakcijā netika ņemta vērā neviena no šīm piezīmēm.

10.

EDAU uzsver, ka datu apstrādes drošība ir kritisks datu aizsardzības elements (9). Šajā ziņā tas atzinīgi novērtē priekšlikuma mērķi nostiprināt Aģentūras kompetences tā, lai tā varētu efektīvāk pildīt savus esošos pienākumus un tajā pat laikā paplašināt savas darbības lauku. EDAU atzinīgi novērtē arī privātuma aizsardzības un tiesībsargājošo iestāžu kļūšanu par pilntiesīgām ieinteresētajām personām. Viņš uzskata ENISA pilnvaru paplašināšanu par veidu, kā Eiropas līmenī veicināt informāciju sistēmu drošības pasākumu profesionālu un modernizētu pārvaldību.

11.

Priekšlikuma novērtējums kopumā ir pozitīvs. Taču dažos punktos piedāvātā regula ir neskaidra vai nepilnīga, kas rada bažas no datu aizsardzības viedokļa. Šie jautājumi ir apspriesti un izskaidroti šī atzinuma nākošajā nodaļā.

12.

Aģentūras paplašinātie pienākumi attiecībā uz tiesībsargājošo un privātuma aizsardzības iestāžu iesaistīšanu priekšlikuma 3. pantā ir formulēti ļoti vispārīgi. Paskaidrojuma raksts šajā ziņā ir daudz precīzāk formulēts. Tas attiecas uz ENISA sadarbību ar tiesībsargājošajām struktūrām, kas apkaro kibernoziedzību, un ar darbību nesaistītu pienākumu veikšanu cīņā pret kibernoziegumiem. Taču šie pienākumi 3. pantā nav iekļauti vai ir pieminēti tikai ļoti vispārīgi.

13.

Lai izvairītos no jebkādas tiesiskās neskaidrības, piedāvātajā regulā būtu skaidri un nepārprotami jānosaka ENISA pienākumi. Kā jau minēts, datu apstrādes drošība ir kritisks datu aizsardzības elements. Šajā jomā ENISA būs arvien nozīmīgāka loma. Iedzīvotājiem, iestādēm un struktūrām būtu jābūt skaidram priekšstatam par to, kāda veida pasākumos ENISA varētu tikt iesaistīta. Šis apjoms būtu vēl jo svarīgāks, ja ENISA paplašinātajos pienākumos tiktu ietverta personas datu apstrāde (skatīt turpmāk 17.–20. punktu).

14.

Priekšlikuma 3. panta 1. punkta k) apakšpunktā teikts, ka Aģentūra pilda citus pienākumus, kas Aģentūrai uzticēti saskaņā ar citiem ES tiesību aktiem. EDAU ir bažas par šo atvērto klauzulu, jo tā rada iespējamu “caurumu”, kas var ietekmēt tiesiskā instrumenta saskaņotību un var novest pie Aģentūras “funkciju izplūšanas”.

15.

Viens no pienākumiem, kas minēts 3. panta 1. punkta k) apakšpunktā, ir ietverts Direktīvā 2002/58/EK (10). Tā paredz, ka Komisijai ir jāapspriežas ar Aģentūru par jebkuru tehnisko īstenošanas pasākumu, ko piemēro paziņojumiem datu aizsardzības pārkāpumu kontekstā. EDAU iesaka sīkāk aprakstīt šo Aģentūras darbības jomu, norobežojot to no drošības jomas. Ņemot vērā iespējamo ietekmi, kāda ENISA var būt uz politikas attīstību šajā jomā, piedāvātajā regulā šai darbības jomai būtu jābūt aprakstītai skaidrāk un saprotamāk.

16.

Turklāt EDAU iesaka 21. apsvērumā iekļaut atsauci uz Direktīvu 1999/5/EK (11), ņemot vērā īpašo ENISA pienākumu, kas minēts šī priekšlikuma 3. panta 1. punkta c) apakšpunktā, palīdzēt dalībvalstīm un Eiropas iestādēm un struktūrām vākt, analizēt un izplatīt ar tīklu un informācijas drošību saistītus datus. Tai būtu jāveicina ENISA reklāmas pasākumi attiecībā uz TID (tīklu un informācijas drošības) labākajām praksēm un tehniku, jo tas labāk ilustrēs iespējamo konstruktīvo mijiedarbību starp Aģentūru un standartizācijas struktūrām.

17.

Priekšlikumā nav konkrēti norādīts, vai Aģentūrai deleģētajos pienākumos varētu būt iekļauta personas datu apstrāde. Tāpēc priekšlikumā nav ietverts konkrēts tiesiskais pamats personas datu apstrādei Regulas (EK) Nr. 45/2001 5. panta nozīmē.

18.

Taču daži Aģentūrai deleģētie pienākumi (vismaz zināmā mērā) varētu būt saistīti ar personas datu apstrādi. Piemēram, nav izslēgts, ka drošības incidentu un datu drošības pārkāpumu analīze vai ar darbību nesaistīto funkciju izpilde cīņā pret kibernoziedzību var būt saistīta ar personas datu vākšanu un analīzi.

19.

Priekšlikuma 9. apsvērums attiecas uz Direktīvā 2002/21/EK (12) ietvertajiem noteikumiem, kas nosaka, ka vajadzības gadījumā valstu regulatīvās iestādes informē Aģentūru par drošības pārkāpumiem. EDAU iesaka sīkāk izstrādāt priekšlikumu attiecībā uz to, kādi paziņojumi ir paredzēti sūtīšanai uz ENISA un par to, kā ENISA būtu uz tiem jāatbild. Tāpat priekšlikumā būtu jāapskata personas datu iesaistīšana, kas varētu notikt šo paziņojumu (ja tādi būs) analīzes rezultātā.

20.

EDAU aicina likumdevēju precizēt, vai un kuras 3. pantā minētās ENISA darbības būs saistītas ar personas datu apstrādi.

21.

Lai gan ENISA ir nozīmīga loma diskusijā par tīklu un informācijas drošību Eiropā, priekšlikumā gandrīz nekas nav teikts par drošības pasākumu paredzēšanu pašai Aģentūrai (saistītu vai nesaistītu ar personas datu apstrādi).

22.

EDAU viedoklis ir, ka Aģentūra būs pat labākā situācijā, veicinot labas prakses izmantošanu saistībā ar datu apstrādes drošību, ja pati Aģentūra piemēros šādus iekšējos drošības pasākumus. Tas paātrinās Aģentūras atzīšanu ne tikai par ekspertīzes veikšanas centru, bet arī par atskaites punktu labāko pieejamo tehnisko paņēmienu (LPTP) praktiskajā īstenošanā drošības jomā. Tādējādi cenšanās sasniegt pilnību drošības prakšu īstenošanā būtu jānostiprina regulā, kas regulē Aģentūras darba procedūras. Tāpēc EDAU ierosina pielikumā pievienot attiecīgu noteikumu, piemēram, nosakot, ka Aģentūrai jāizmanto labākie pieejamie tehniskie paņēmieni, kas nozīmē visefektīvākās un progresīvākās drošības procedūras un to darbības metodes.

23.

Šī pieeja ļaus Aģentūrai sniegt konsultācijas par konkrētu tehnisko paņēmienu praktisko piemērotību nepieciešamo drošības aizsardzības pasākumu veikšanai. Turklāt šo LPTP ieviešana noteiktu prioritāti tiem pasākumiem, kas ļauj nodrošināt drošību, tai pat laikā līdz minimumam samazinot ietekmi uz privātumu. Būtu jāizvēlas tādus tehniskos paņēmienus, kas ir labāki saskaņā ar “integrētas privātās dzīves aizsardzības” koncepciju.

24.

Pat ar mazāk ambiciozu pieeju, EDAU iesaka regulā ietvert vismaz šādas prasības: i) pēc vispusīgas riska izvērtēšanas un ņemot vērā starptautiskos standartus un labākās prakses dalībvalstīs, izveidot iekšēju drošības politiku, ii) iecelt par drošību atbildīgo amatpersonu, kas atbildētu par politikas īstenošanu, ar atbilstīgiem resursiem un pilnvarām, iii) pēc atlikušā riska detalizētas pārbaudes un kontrolēm, ko piedāvājusi valde, apstiprināt šo politiku un iv) periodiski pārskatīt politiku, skaidri formulējot izvēlētā laikposma periodiskumu un pārskatīšanas mērķus.

25.

Kā jau minēts, EDAU atzinīgi novērtē Aģentūras pilnvaru paplašināšanu un uzskata, ka datu aizsardzības iestādes var daudz gūt no Aģentūras pastāvēšanas (un Aģentūra no šo iestāžu pieredzes). Ņemot vērā dabisko un loģisko saistību starp drošību un datu aizsardzību, Aģentūra un datu aizsardzības iestādes patiešām tiek aicinātas cieši sadarboties.

26.

24. un 25. apsvērumā iekļauta atsauce uz piedāvāto ES direktīvu par kibernoziedzību un piebilde, ka Aģentūrai saistībā ar informācijas drošības aspektiem cīņā pret kibernoziedzību (13) būtu jādarbojas saskaņoti ar tiesībsargājošām struktūrām un arī ar datu aizsardzības iestādēm.

27.

Priekšlikumā būtu jāietver arī konkrēti kanāli un sadarbības mehānismi, kas i) nodrošinās Aģentūras darbību saskaņotību ar datu aizsardzības iestāžu darbību un ii) sekmēs ciešu sadarbību Aģentūras un datu aizsardzības iestāžu starpā.

28.

Attiecībā uz saskaņotību 27. apsvērumā ir skaidra atsauce uz to, ka Aģentūras pienākumi nedrīkstētu nesaskanēt ar dalībvalstu datu aizsardzības iestāžu darbību. EDAU atzinīgi novērtē šo atsauci, bet atzīmē, ka nav veikta nekāda atsauce uz EDAU un 29. panta darba grupu. EDAU iesaka likumdevējam priekšlikumā iekļaut arī līdzīgu noteikumu par netraucēšanu attiecībā uz šīm abām struktūrām. Tas radīs skaidrāku darba vidi visām pusēm, un tam būtu jārada pamats sadarbības kanālu un mehānismu izveidošanai, kas dos iespēju Aģentūrai piedalīties dažādu datu aizsardzības iestāžu un 29. panta darba grupas darbā.

29.

Līdz ar to attiecībā uz ciešu sadarbību EDAU atzinīgi novērtē datu aizsardzības iestāžu pārstāvju iekļaušanu pastāvīgajā ieinteresēto personu grupā, kas konsultēs Aģentūru saistībā ar tās darbību. Viņš iesaka skaidri minēt to, ka šādus valstu datu aizsardzības iestāžu pārstāvjus būtu jānozīmē Aģentūrai, pamatojoties uz 29. panta darba grupas priekšlikumu. Turklāt pozitīvi tiktu novērtēts tas, ja priekšlikumā tiktu iekļauta atsauce, paredzot, ka EDAU piedalās tajās sanāksmēs, kurās plānots apspriest jautājumus, kas ir saistīti ar sadarbību ar EDAU. Turklāt EDAU iesaka Aģentūrai (konsultējoties ar pastāvīgo ieinteresēto personu grupu, un ar valdes atļauju) veidot ad hoc darba grupas par dažādām tēmām, saistībā ar kurām datu aizsardzība un drošība daļēji sakrīt ar šīs ciešās sadarbības ietvariem.

30.

Visbeidzot, lai izvairītos no iespējamiem pārpratumiem, EDAU iesaka apzīmējuma “privātuma aizsardzības iestādes” vietā lietot apzīmējumu “datu aizsardzības iestādes” un precizēt, kuras ir šīs iestādes, ietverot atsauci uz Direktīvas 95/46/EK 28. pantu un EDAU kā paredzēts Regulas (EK) Nr. 45/2001 V nodaļā.

31.

EDAU piedāvātajā regulā norāda uz nekonsekvenci attiecībā uz to, kas var lūgt palīdzību no ENISA. No priekšlikuma 7., 15., 16., 18. un 36. apsvēruma izriet, ka ENISA spēj palīdzēt dalībvalstīm un Savienībai kopumā. Taču 2. panta 1. punkts attiecas tikai uz Komisiju un dalībvalstīm, kamēr 14. pants paredz iespēju iesniegt palīdzības pieprasījumus tikai: i) Eiropas Parlamentam, ii) Padomei, iii) Komisijai un iv) jebkurai dalībvalsts nozīmētai kompetentai iestādei, neparedzot šādu iespēju vairākām citām Savienības iestādēm, struktūrām, aģentūrām un birojiem.

32.

Priekšlikuma 3. pants ir konkrētāks un paredz dažāda veida palīdzību atkarībā no tā, kas ir palīdzības saņēmējs: i) informācijas drošības datu vākšana un analīze (dalībvalstīm un Eiropas iestādēm un struktūrām), ii) tīklu un informācijas drošības stāvokļa analīze Eiropā (dalībvalstīm un Eiropas iestādēm), iii) riska pārvaldības un drošības labas prakses izmantošanas veicināšana (visā Savienībā un dalībvalstīs), iv) tīklu un informācijas drošības pārkāpumu atklāšanas sekmēšana (Eiropas iestādēs un struktūrās) un v) dialoga veidošana un sadarbība ar trešām valstīm (Savienībai).

33.

EDAU aicina likumdevēju novērst šo nekonsekvenci un sakārtot minētos noteikumus. Šajā sakarā EDAU iesaka grozīt 14. pantu, patiešām iekļaujot tajā visas Savienības iestādes, struktūras, birojus un aģentūras un precizējot, kāda veida palīdzību dažādas Savienības organizācijas var lūgt (ja likumdevējs ir paredzējis šādu diferencēšanu). Tāpat tiek ieteikts, ka dažas valsts vai privātās organizācijas varētu lūgt Aģentūras palīdzību, ja prasītais atbalsts ir acīmredzami iespējams, raugoties no Eiropas viedokļa, un ja tas atbilst Aģentūras mērķiem.

34.

Paskaidrojuma rakstā minēta valdes paaugstinātā kompetence saistībā ar tās pārraudzības lomu. EDAU atzinīgi novērtē šo lielāko nozīmi un iesaka valdes pienākumos iekļaut vairākus aspektus attiecībā uz datu aizsardzību. Turklāt EDAU iesaka regulā nepārprotami norādīt, kas ir tiesīgs i) izstrādāt pasākumus, lai Aģentūra varētu piemērot Regulu (EK) Nr. 45/2001, tostarp tos, kuri attiecas uz datu aizsardzības amatpersonas iecelšanu, ii) apstiprināt drošības politiku un veikt tās turpmāku periodisku pārskatīšanu un iii) sagatavot sadarbības protokolu ar datu aizsardzības iestādēm un tiesībsargājošām struktūrām.

35.

Lai gan tas jau ir prasīts Regulā (EK) Nr. 45/2001, EDAU ierosina 27. pantā iekļaut noteikumus par datu aizsardzības amatpersonas iecelšanu, jo tas ir īpaši svarīgi, un pēc tam nekavējoties būtu jāizstrādā īstenošanas noteikumi attiecībā uz datu aizsardzības amatpersonai uzticamo pilnvaru un pienākumu apjomu saskaņā ar Regulas (EK) Nr. 45/2001 24. panta 8. punktu. Konkrētāk, 27. pants varētu būt formulēts šādi:

36.

Ja personas datu apstrādei ir vajadzīgs konkrēts tiesiskais pamats, kā apspriests iepriekš 17.–20. punktā, tai būtu jāprecizē arī tie nepieciešamie aizsardzības pasākumi, ierobežojumi un nosacījumi, ievērojot kurus apstrāde varētu notikt.

37.

Priekšlikuma vērtējums kopumā ir pozitīvs, un EDAU atzinīgi novērtē Aģentūras pilnvaru un pienākumu apjoma paplašināšanu, ietverot datu aizsardzības iestādes un tiesībsargājošās struktūras kā pilntiesīgas Aģentūras ieinteresētās personas. EDAU uzskata, ka Aģentūras darbības turpināšana Eiropas līmenī veicinās ar informācijas sistēmām saistītu drošības pasākumu profesionālu un modernizētu pārvaldību.

38.

EDAU iesaka, lai izvairītos no jebkādas tiesiskās nenoteiktības, precizēt priekšlikumu attiecībā uz Aģentūras pienākumu apjoma paplašināšanu un jo īpaši tos noteikumus, kas attiecas uz tiesībsargājošo struktūru un datu aizsardzības iestāžu iesaistīšanu. Vēl EDAU vērš uzmanību uz iespējamo “caurumu”, ko rada tāda noteikuma iekļaušana priekšlikumā, kas bez papildu ierobežojumiem ar jebkādu citu Savienības tiesību aktu ļauj uzlikt Aģentūrai jaunus pienākumus.

39.

EDAU aicina likumdevēju precizēt, vai un kuras no ENISA darbībām ietvers personas datu apstrādi.

40.

EDAU iesaka iekļaut noteikumus par drošības politikas izveidi pašā Aģentūrā, lai nostiprinātu Aģentūras kā izcilas drošības nodrošinātājas un kā integrētas privātās dzīves aizsardzības veicinātājas lomu, apvienojot labākos pieejamos tehniskos paņēmienus ar drošību attiecībā uz personas datu aizsardzības tiesībām.

41.

Lai nodrošinātu konsekvenci un ciešu sadarbību, būtu labāk jādefinē sadarbības kanāli ar datu aizsardzības iestādēm, tostarp EDAU un 29. panta darba grupu.

42.

EDAU aicina likumdevēju novērst dažas neatbilstības saistībā ar 14. pantā noteiktajiem ierobežojumiem attiecībā uz iespējām lūgt Aģentūras palīdzību. Proti, EDAU iesaka atteikties no šiem ierobežojumiem un dot tiesības visām Savienības iestādēm, struktūrām, aģentūrām un birojiem lūgt Aģentūras palīdzību.

43.

Visbeidzot, EDAU iesaka valdes paplašinātajos pienākumos iekļaut vairākus konkrētus aspektus, kas varētu palielināt pārliecību, ka Aģentūra attiecībā uz drošību un datu aizsardzību seko labākajām praksēm. Cita starpā ir ierosināts iekļaut noteikumus par datu aizsardzības amatpersonas iecelšanu un par tādu pasākumu apstiprināšanu, kuru mērķis ir pareiza Regulas (EK) Nr. 45/2001 piemērošana.