30.1.2013   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 28/6

Eiropas Datu aizsardzības uzraudzītāja atzinuma kopsavilkums par Komisijas priekšlikumu Eiropas Parlamenta un Padomes Regulai par uzticamību un uzticēšanos elektroniskajiem darījumiem iekšējā tirgū (Elektronisko uzticamības pakalpojumu regula)

(Šā atzinuma pilns teksts EN, FR un DE valodā ir pieejams EDAU tīmekļa vietnē http://www.edps.europa.eu)

2013/C 28/04

I.   Ievads

I.1.   Priekšlikums

1.

2012. gada 4. jūnijā Komisija pieņēma priekšlikumu par Eiropas Parlamenta un Padomes Regulu, ar ko groza Eiropas Parlamenta un Padomes Direktīvu 1999/93/EK par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū (“Priekšlikums”) (1).

2.

Priekšlikums ir daļa no Komisijas ierosinātajiem pasākumiem, lai stiprinātu elektronisko darījumu izmantošanu Eiropas Savienībā. Tas ir darbību, kas paredzētas Digitālajā programmā Eiropai (2) saistībā ar tiesību aktu par e-parakstu uzlabošanu (3. pamatpasākums), turpinājums un nodrošina saskaņotu tiesisko regulējumu e-identifikācijas un e-autentifikācijas savstarpējai atzīšanai (16. pamatpasākums).

3.

Paredzams, ka ar Priekšlikumu tiks paaugstināta uzticamība elektroniskajiem darījumiem Eiropas mērogā un nodrošināta elektroniskās identifikācijas, autentifikācijas, paraksta un saistīto uzticamības pakalpojumu pārrobežu tiesiskā atzīšana iekšējā tirgū, vienlaicīgi garantējot augsta līmeņa datu aizsardzību un lietotāju iespēju uzlabošanu.

4.

Augsta līmeņa datu aizsardzība ir būtiska elektronisko identifikācijas shēmu un uzticamības pakalpojumu izmantošanai. Šādu elektronisko līdzekļu attīstībai un izmantošanai jābūt balstītai uz atbilstīgu personas datu apstrādi, ko veic uzticamības pakalpojumu sniedzēji un elektroniskās identitātes izdevēji. Tas ir vēl svarīgāk tāpēc, ka cita starpā šādai datu apstrādei uzticēsies, lai visuzticamākajā veidā veiktu fizisko (vai juridisko) personu identifikāciju un autentifikāciju.

I.2.   Apspriešanās ar EDAU

5.

Pirms Priekšlikuma pieņemšanas EDAU tika dota iespēja sniegt neoficiālus komentārus. Daudzi no šiem komentāriem Priekšlikumā ir ņemti vērā. Tā rezultātā datu aizsardzības drošības pasākumi Priekšlikumā ir stiprināti.

6.

EDAU atzinīgi vērtē to, ka Komisija ar to konsultējas neformālā veidā atbilstīgi Regulas (EK) Nr. 45/2001 28. panta 2. punktam.

I.3.   Priekšlikuma pamats

7.

Šis Priekšlikums sagatavots, pamatojoties uz Līguma par Eiropas Savienības darbību 114. pantu, un nosaka nosacījumus un mehānismus elektroniskās identifikācijas un uzticamības pakalpojumu savstarpējai atzīšanai un pieņemšanai dalībvalstu starpā. Īpaši tajā noteikti principi, kas attiecas uz identifikācijas un uzticamības elektronisko pakalpojumu sniegšanu, tostarp noteikumi, kas attiecas uz atzīšanu un pieņemšanu. Tajā arī noteiktas prasības attiecībā uz elektronisko parakstu, elektronisko zīmogu, elektronisko laika zīmogu, elektronisko dokumentu, elektronisko piegādes pakalpojumu, tīmekļa vietņu autentifikāciju un elektronisko sertifikātu radīšanu, pārbaudi, validāciju, apstrādi un saglabāšanu.

8.

Turklāt, ierosinātajā regulā noteikti noteikumi uzticamības pakalpojumu sniegšanas uzraudzībai un noteikts pienākums dalībvalstīm izveidot šim nolūkam uzraudzības iestādes. Šīs iestādes cita starpā novērtē elektronisko uzticamības pakalpojumu sniedzēju īstenoto tehnisko un organizatorisko pasākumu atbilstību.

9.

II nodaļā apskatīti elektroniskie identifikācijas pakalpojumi, bet III nodaļa veltīta citiem elektroniskajiem uzticamības pakalpojumiem, piemēram, elektroniskajiem parakstiem, zīmogiem, laika zīmogiem, dokumentiem, piegādes pakalpojumiem, sertifikātiem un tīmekļa vietņu autentifikācijai. Elektroniskie identifikācijas pakalpojumi ir saistīti ar nacionālajām identifikācijas kartēm, un tos var izmantot, lai piekļūtu digitālajiem pakalpojumiem, jo īpaši e-pārvaldības pakalpojumiem; tas nozīmē, ka iestāde, kas izdod elektronisko identifikāciju, rīkojas dalībvalsts vārdā un dalībvalsts ir atbildīga par to, lai pareizi noteiktu saistību starp konkrēto personu un šīs personas elektroniskās identifikācijas līdzekļiem. Attiecībā uz citiem elektroniskajiem uzticamības pakalpojumiem sniedzējs/izdevējs ir fiziska vai juridiska persona, kas ir atbildīga par šo pakalpojumu pareizu un drošu sniegšanu.

I.4.   Datu aizsardzības jautājumi, ko rada Priekšlikums

10.

Personas datu apstrāde ir neizbēgama, izmantojot identifikācijas shēmas, un zināmā mērā arī sniedzot citus uzticamības pakalpojumus (piemēram, saistībā ar elektroniskajiem parakstiem). Personas datu apstrāde būs nepieciešama, lai izveidotu uzticamu saikni starp elektronisko identifikāciju un autentifikācijas līdzekļiem, ko izmanto fiziska (vai juridiska) persona, un šo personu, lai apliecinātu, ka persona, kas uzrāda elektronisko sertifikātu, patiešām ir tā persona, par kuru uzdodas. Piemēram, elektroniskā identifikācija vai elektroniskie sertifikāti attiecas uz fiziskām personām, un tajos būs ietverts datu kopums, kas nepārprotami attiecas uz šīm personām. Citiem vārdiem sakot, Priekšlikuma 3. panta 12. punktā minētā elektronisko līdzekļu radīšana, pārbaudīšana, validēšana un apstrāde daudzos gadījumos būs saistīta ar personas datu apstrādi, un tāpēc ar to ir saistīta datu aizsardzība.

11.

Tāpēc ir būtiski, lai datu apstrāde elektronisko identifikācijas shēmu vai elektronisko uzticamības pakalpojumu nodrošināšanas kontekstā tiktu veikta atbilstīgi ES datu aizsardzības tiesiskajam regulējumam, jo īpaši valstu noteikumiem, ar kuriem īsteno Direktīvu 95/46/EK.

12.

Šajā atzinumā EDAU analīzi koncentrē uz trim galvenajiem jautājumiem:

a)

kā Priekšlikumā risināta datu aizsardzība;

b)

elektronisko identifikācijas shēmu, kuras paredzēts atzīt un pieņemt pārrobežu mērogā, datu aizsardzības aspekti; un

c)

elektronisko uzticamības pakalpojumu, kuras paredzēts atzīt un pieņemt pārrobežu mērogā, datu aizsardzības aspekti.

III.   Secinājumi

50.

EDAU atzinīgi vērtē šo Priekšlikumu, jo tas var veicināt elektronisko uzticamības pakalpojumu un identifikācijas shēmu savstarpējo atzīšanu (un pieņemšanu) Eiropas līmenī. Viņš atzinīgi vērtē arī kopīga prasību, kas jāizpilda elektronisko identifikācijas līdzekļu izdevējiem un elektronisko uzticamības pakalpojumu sniedzējiem, kopuma izveidošanu. Neskatoties uz vispārēju atbalstu šim Priekšlikumam, EDAU vēlas sniegt šādus vispārīgus ieteikumus:

Priekšlikumā iekļautos datu aizsardzības noteikumus nevajadzētu attiecināt tikai uz uzticamības pakalpojumu sniedzējiem, un tos vajadzētu piemērot arī attiecībā uz personas datu apstrādi elektroniskajās identifikācijas shēmās, kas aprakstītas Priekšlikuma II nodaļā,

ierosinātajā regulā vajadzētu noteikt kopīgu drošības prasību kopumu uzticamības pakalpojumu sniedzējiem un elektroniskās identifikācijas izdevējiem. Alternatīva iespēja būtu ļaut Komisijai nepieciešamības gadījumos noteikt kritērijus, nosacījumus un prasības elektroniskajos uzticamības pakalpojumu un identifikācijas shēmu drošības nodrošināšanai, selektīvi izmantojot deleģētos aktus vai īstenošanas pasākumus,

elektronisko uzticamības pakalpojumu sniedzējiem un elektroniskās identifikācijas izdevējiem būtu jāprasa sniegt lietotājiem savus pakalpojumus, norādot: i) piemērotu informāciju par viņu datu apkopošanu, paziņošanu un saglabāšanu, kā arī ii) iespējas kontrolēt savus personas datus un izmantot savas tiesības uz datu aizsardzību,

EDAU iesaka selektīvāk iekļaut Priekšlikumā noteikumus, ar kuriem Komisijai tiek dota iespēja noteikt vai precizēt konkrētus noteikumus pēc ierosinātās regulas pieņemšanas ar deleģētajiem vai īstenošanas aktiem.

51.

Varētu uzlabot arī atsevišķus konkrētus noteikumus, kas attiecas uz elektronisko identifikācijas shēmu savstarpējo atzīšanu:

ierosinātajā regulā būtu precīzi jānosaka, kādus datus vai datu kategorijas apstrādās, lai veiktu personu pārrobežu identifikāciju. Šajā specifikācijā būtu jāiekļauj vismaz tikpat precīza informācija, kā tas noteikts pielikumos attiecībā uz citiem uzticamības pakalpojumiem, un būtu jāievēro proporcionalitātes princips,

drošības pasākumiem, kas nepieciešami identifikācijas shēmu nodrošināšanai, būtu jābūt vismaz atbilstīgiem tam prasību kopumam, kas noteikts kvalificēto uzticamības pakalpojumu sniedzējiem,

Priekšlikumā būtu jānosaka piemēroti mehānismi, lai izveidotu ietvaru valstu identifikācijas shēmu sadarbspēju.

52.

Noslēgumā EDAU sniedz arī šādas rekomendācijas saistībā ar prasībām elektronisko uzticamības pakalpojumu sniegšanai un atzīšanai:

attiecībā uz elektroniskajiem pakalpojumiem būtu jānosaka, vai tiks apstrādāti personas dati, un tajos gadījumos, kad personas datu apstrāde notiks, jānosaka, kādi dati vai datu kategorijas tiks apstrādāti,

Regulā būtu jāparedz piemēroti drošības pasākumi, lai izvairītos no elektronisko uzticamības pakalpojumu uzraudzības iestāžu un datu aizsardzības iestāžu kompetences pārklāšanās,

elektronisko uzticamības pakalpojumu sniedzējiem noteiktajiem pienākumiem attiecībā uz datu pārkāpumiem un drošības incidentiem būtu jābūt atbilstīgiem prasībām, kas noteiktas pārskatītajā e-privātuma direktīvā un ierosinātajā datu aizsardzības regulā,

jānodrošina lielāka skaidrība attiecībā uz privāto un valsts iestāžu, kuras var darboties kā trešās personas ar tiesībām veikt 16. un 17. pantā paredzētās revīzijas vai kuras var pārbaudīt elektroniskā paraksta radīšanas ierīces atbilstīgi 23. pantam, definīciju, kā arī citiem kritērijiem, pamatojies uz kuriem tiks vērtēta šo iestāžu neatkarība,

Regulā būtu precīzāk jānosaka datu saglabāšanas laikposma ierobežojums, kas minēts 19. panta 2. un 4. punktā (3).

Briselē, 2012. gada 27. septembrī

Giovanni BUTTARELLI

Eiropas Datu aizsardzības uzraudzītāja palīgs

(1)  COM(2012) 238 final.

(2)  COM(2010) 245 (19.5.2010.)

(3)  Atbilstīgi 19. panta 2. punktam kvalificēti uzticamības pakalpojumu sniedzēji uz attiecīgu laikposmu reģistrē visu attiecīgo informāciju par to izsniegtajiem un saņemtajiem datiem. Atbilstīgi 19. panta 4. punktam kvalificēti uzticamības pakalpojumi sniedzēji nodrošina visām personām, kas uzticas sertifikātiem, informāciju par to izsniegto sertifikātu derīgumu vai atsaukšanu.