KOMISIJAS ĪSTENOŠANAS REGULA (ES) 2019/1799

(2019. gada 22. oktobris),

ar ko, pildot Eiropas Parlamenta un Padomes Regulu (ES) 2019/788 par Eiropas pilsoņu iniciatīvu, nosaka individuālo vākšanas tiešsaistes sistēmu tehniskās specifikācijas

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes 2019. gada 17. aprīļa Regulu (ES) 2019/788 par Eiropas pilsoņu iniciatīvu (1) un jo īpaši tās 11. panta 5. punktu,

tā kā:

(1)	Regula (ES) 2019/788 paredz pārskatītus noteikumus par Eiropas pilsoņu iniciatīvu un atceļ Eiropas Parlamenta un Padomes Regulu (ES) Nr. 211/2011 (2).

(2)

Regulā (ES) 2019/788 noteikts, ka paziņojumu par atbalstu reģistrētām pilsoņu iniciatīvām vākšanai tiešsaistē organizatoriem ir jāizmanto centralizēta vākšanas tiešsaistes sistēma, kuru izveido un ekspluatē Komisija. Tomēr, lai atvieglotu pāreju, organizatori drīkst izvēlēties izmantot savu individuālo vākšanas tiešsaistes sistēmu tām iniciatīvām, kas atbilstīgi Regulai (ES) 2019/788 reģistrētas līdz 2022. gada beigām.

(3)

Regulā (ES) 2019/788 noteikts, ka individuālajai sistēmai, ko izmanto paziņojumu par atbalstu vākšanai tiešsaistē, vajadzētu būt atbilstošiem tehniskiem un drošības elementiem, lai varētu nodrošinātu, ka visā vākšanas procedūras gaitā dati tiek droši savākti, uzglabāti un nosūtīti. Komisijai kopā ar dalībvalstīm būtu jānosaka tehniskās specifikācijas, kas vajadzīgas, lai izpildītu individuālās vākšanas tiešsaistes sistēmas prasības.

(4)	Šīs regulas noteikumi aizstāj Komisijas Īstenošanas regulas (ES) Nr. 1179/2011 (3) noteikumus, kura tādējādi kļūst novecojusi.

(5)

Īstenojamo tehnisko un organizatorisko pasākumu mērķim gan sistēmas izstrādes laikā, gan visā vākšanas posmā vajadzētu būt persondatu neatļautas apstrādes novēršanai un to aizsardzībai pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem.

(6)

Tādēļ organizatoriem būtu jāpiemēro atbilstoši riska pārvaldības procesi, lai apzinātu riskus to sistēmām un noteiktu adekvātus un proporcionālus pretpasākumus minēto risku mazināšanai līdz pieņemamam līmenim. Organizatoriem, ievērojot sertifikācijas iestādes piemērotos drošības noteikumus un prasības, būtu pienācīgi jādokumentē apzinātie drošības un datu aizsardzības riski un pasākumi, kuri vērsti pret minētajiem riskiem. Drošības noteikumiem un prasībām vajadzētu būt saskaņā ar Regulu (ES) 2019/788, un sertifikācijas iestādēm tie būtu jādara pieejami pēc pieprasījuma.

(7)	Šajā regulā noteikto tehnisko specifikāciju īstenošanai nevajadzētu skart organizatoru pienākumu ievērot datu aizsardzības prasības, kuras izriet no Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (4), arī iespējamo vajadzību novērtēt datu aizsardzības ietekmi.

(8)	Individuālajā vākšanas tiešsaistes sistēmā veiktajā persondatu apstrādē organizatoru grupas pārstāvis vai attiecīgā gadījumā minētās regulas 5. panta 7. punktā minētā juridiskā persona ir datu pārzinis Regulas (ES) 2016/679 nozīmē.

(9)

Organizatoriem, kuri ievieš izmaiņas savā individuālajā vākšanas tiešsaistes sistēmā pēc tam, kad tā sertificēta, bez liekas kavēšanās šīs izmaiņas būtu jādara zināmas attiecīgajai sertifikācijas iestādei tad, ja šīs izmaiņas varētu ietekmēt novērtējumu, kurš pamato sertifikāciju. Pirms izmaiņu ieviešanas organizatori var lūgt konsultēties ar sertifikācijas iestādi, lai pārbaudītu, vai izmaiņām var būt tāda ietekme, un tādējādi tās būtu jādara zināmas.

(10)

Saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2018/1725 (5) 42. pantu notika apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kurš sniedza piezīmes 2019. gada 16. septembrī. Notika apspriešanās ar Eiropas Savienības Tīklu un informācijas drošības aģentūru, kura 2019. gada 18. jūlijā sniedza piezīmes.

(11)	Šajā regulā noteiktie pasākumi ir saskaņā ar atzinumu, ko sniegusi atbilstīgi Regulas (ES) 2019/788 22. pantam izveidotā komiteja,

IR PIEŅĒMUSI ŠO REGULU.

1. pants

Regulas (ES) 2019/788 11. panta 5. punktā minētās tehniskās specifikācijas ir noteiktas šīs regulas pielikumā.

2. pants

1. Organizētāji nodrošina, ka visā vākšanas posmā to individuālās vākšanas tiešsaistes sistēmas atbilst pielikumā izklāstītajām tehniskajām specifikācijām.

2. Organizatori bez liekas kavēšanās dara zināmas Regulas (ES) 2019/788 11. panta 3. punktā minētajai dalībvalsts kompetentajai iestādei izmaiņas, kuras sistēmā ieviestas pēc tam, kad sistēmu sertificējusi minētā iestāde, ja šīs izmaiņas varētu ietekmēt novērtējumu, kurš pamato sertifikāciju. Pirms tam organizatori var lūgt konsultēties ar kompetento iestādi par to, vai izmaiņām varētu būt tāda ietekme.

3. pants

Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

To piemēro no 2020. gada 1. janvāra.

Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.

Briselē, 2019. gada 22. oktobrī

Komisijas vārdā

Priekšsēdētājs

Jean-Claude JUNCKER

(1) OV L 130, 17.5.2019., 55. lpp.

(2) Eiropas Parlamenta un Padomes 2011. gada 16. februāra Regula (ES) Nr. 211/2011 par pilsoņu iniciatīvu (OV L 65, 11.3.2011., 1. lpp.).

(3) Komisijas 2011. gada 17. novembra Īstenošanas regula (ES) Nr. 1179/2011, ar ko nosaka tehniskās specifikācijas vākšanas tiešsaistes sistēmām saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) Nr. 211/2011 par pilsoņu iniciatīvu (OV L 301, 18.11.2011., 3. lpp.).

(4) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula), (OV L 119, 4.5.2016., 1. lpp.).

(5) Eiropas Parlamenta un Padomes 2018. gada 23. oktobra Regula (ES) 2018/1725 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.).

PIELIKUMS

1. Tehniskās specifikācijas Regulas (ES) 2019/788 11. panta 4. punkta a) apakšpunkta īstenošanai

Sistēma īsteno tehniskus pasākumus, lai nodrošinātu, ka paziņojumus par atbalstu var iesniegt tikai fiziskas personas. Tehnisko pasākumu vajadzībām nav jāvāc un jāglabā citi persondati kā tikai tie, kas uzskaitīti Regulas (ES) 2019/788 III pielikumā.

2. Tehniskās specifikācijas Regulas (ES) 2019/788 11. panta 4. punkta b) apakšpunkta īstenošanai

Organizatori ievieš adekvātus tehniskus un organizatoriskus pasākumus, lai pārvaldītu riskus, kuri apdraud organizatoru darbībās izmantoto tīklu un informācijas sistēmu drošību, lai nodrošinātu, ka vākšanas tiešsaistes sistēmā par iniciatīvu sniegtā informācija un tiešsaistē publiski pieejamā informācija atbilst tai, kura par iniciatīvu publicēta reģistrā, kas minēts Regulas (ES) 2019/788 6. panta 5. punktā.

Organizatori nodrošina, ka:

a)	vākšanas tiešsaistes sistēmā par iniciatīvu sniegtā informācija atbilst reģistrā publicētajai informācijai;

b)	sistēmā ir sniegta reģistrā publicētā informācija par iniciatīvu, vēl pirms pilsoņi iesniedz paziņojumu par atbalstu;

c)	ieviesti drošības pasākumi, lai nodrošinātu, ka paziņojumos par atbalstu datu ievades lauki ir parādīti kopā ar informāciju par iniciatīvu, lai novērstu risku, ka iniciatīvas nepareiza atspoguļojuma dēļ paziņojumi par atbalstu tiek iesniegti par citu iniciatīvu;

d)	sistēma nodrošina, ka pēc paziņojumu par atbalstu iesniegšanas tajos sniegtie dati tiek saglabāti kopā ar informāciju par iniciatīvu;

e)	ieviesti drošības pasākumi, lai novērstu, ka vākšanas tiešsaistes sistēmā par iniciatīvu sniegtajā informācija tiktu izdarītas neatļautas izmaiņas.

3. Tehniskās specifikācijas Regulas (ES) 2019/788 11. panta 4. punkta c) apakšpunkta īstenošanai

Sistēma nodrošina, ka paziņojumi par atbalstu tiek iesniegti saskaņā ar Regulas (ES) 2019/788 III pielikuma datu laukiem.

Sistēma nodrošina, ka persona var iesniegt paziņojumu par atbalstu, tikai apstiprinājusi, ka ir izlasījusi Regulas (ES) 2019/788 III pielikuma paziņojumu par privātumu.

4. Tehniskās specifikācijas Regulas (ES) 2019/788 11. panta 4. punkta d) apakšpunkta īstenošanai

4.1. Pārvalde

4.1.1.

Organizatoru grupa norāda drošības speciālistu, kurš atbild par sistēmas drošību un savākto paziņojumu par atbalstu drošu sūtīšanu atbildīgās dalībvalsts kompetentajai iestādei. Drošības speciālists pārrauga informācijas aizsardzību un tehniskos un organizatoriskos drošības pasākumus parakstītāju sniegto datu drošai savākšanai, glabāšanai un nosūtīšanai.

4.1.2.

Organizatori var lūgt Regulas (ES) 2019/788 11. panta 3. punktā minēto valsts kompetento iestādi nodrošināt individuālās vākšanas tiešsaistes sistēmu sertifikācijai piemērojamos drošības noteikumus un prasības. Parasti viena mēneša laikā no lūguma saņemšanas kompetentā iestāde nodrošina drošības noteikumus un prasības. Piemērojamie drošības noteikumi un prasības atbilst spēkā esošajiem attiecīgajiem valsts vai starptautiskajiem drošības standartiem.

4.1.3.

Sistēmas sertifikācijai izvirzītie drošības noteikumi un prasības ņem vērā 4.2. sadaļā noteiktos riskus un specifikācijas 4.3. sadaļā.

4.2. Informācijas aizsardzība

4.2.1.

Organizatori izmanto riska pārvaldības procesus, lai apzinātu, kādi riski ir saistīti ar to sistēmu izmantošanu, ieskaitot riskus parakstītāju tiesībām un brīvībām, un lai noteiktu piemērotos un samērīgos pasākumus tādu incidentu ietekmes novēršanai un mazināšanai, kas skar to darbībās izmantoto tīklu un informācijas sistēmu drošību.

Riska pārvaldības procesā galvenā uzmanība tiek pievērsta riskiem, kas saistīti ar konfidencialitāti un informācijas integritāti sistēmā. Minētie riski var rasties no draudiem, to vidū:

a)	lietotāju kļūdas;

b)	sistēmas/drošības administratora kļūdas;

c)	konfigurācijas kļūdas;

d)	ļaunprogrammatūras infekcija;

e)	nejauša informācijas pārveidošana;

f)	informācijas izpaušana vai noplūde;

g)	programmatūras ievainojamība;

h)	neatļauta piekļuve;

i)	datu plūsmu pārtveršana vai slepena noklausīšanās; un

j)	datu aizsardzības riski.

4.2.2.

Organizatori uzrāda dokumentāciju, kas parāda, ka tie:

a)	novērtējuši sistēmas riskus;

b)	noteikuši piemērotus pasākumus tādu incidentu ietekmes novēršanai un mazināšanai, kas skar sistēmas drošību;

c)	apzinājuši nenovērstos riskus;

d)	īstenojuši pasākumus un pārbaudījuši, ka tie īstenoti;

e)	nodrošinājuši organizatoriskus līdzekļus, lai saņemtu informāciju par jauniem draudiem un drošības uzlabojumiem;

f)	visā vākšanas procesā ievēro Regulas (ES) 2019/788 11. panta 4. punktā izklāstītās sertifikācijas prasības, ieskaitot ieviest tā nodrošināšanai vajadzīgos procesus.

4.2.3.

Pasākumi tādu incidentu ietekmes novēršanai un mazināšanai, kas skar sistēmas drošību, aptver šādas jomas:

a)	cilvēkresursu drošība;

b)	piekļuves kontrole;

c)	kriptogrāfiskās kontroles;

d)	fiziskā un vidiskā drošība;

e)	darbību drošība;

f)	komunikācijas drošība;

g)	sistēmas iegāde, izstrāde un uzturēšana;

h)	informācijas drošības incidentu pārvaldība;

i)	atbilstība.

Šo drošības pasākumu piemērošanu var ierobežot un attiecināt tikai uz tām organizācijas daļām, kuras ir būtiskas vākšanas tiešsaistes sistēmai. Piemēram, cilvēkresursu drošību var attiecināt tikai uz personālu, kam ir fiziska vai pamatota piekļuve vākšanas tiešsaistes sistēmai, un fizisko/vidisko drošību var attiecināt tikai uz ēku (ēkām), kur tiek mitināta sistēma.

4.2.4.

Ja vākšanas tiešsaistes sistēmu vai to daļu izstrādei vai ekspluatācijai organizatori izmanto procesoru, tad tie uzrāda dokumentāciju, kas sertifikācijas iestādei ļauj pārliecināties, ka ieviestas vajadzīgās drošības kontroles.

4.3. Datu šifrēšana

Sistēmā tiek paredzēta šāda datu šifrēšana:

a)	persondati elektroniskā formātā tiek šifrēti, kad tie tiek glabāti vai nosūtīti kompetentajām iestādēm dalībvalstīs saskaņā ar Regulas (ES) 2019/788, atslēgu pārvaldīšanai un dublikātu sagatavošanai notiekot atsevišķi;

b)	tiek lietoti adekvāti standarta algoritmi un adekvātas atslēgas atbilstīgi starptautiskajiem standartiem (piem., ETSI standartam). ieviesta atslēgu pārvaldības sistēma;

c)	visas atslēgas un paroles tiek aizsargātas no neatļautas piekļuves.