|
28.10.2019 |
RO |
Jurnalul Oficial al Uniunii Europene |
L 274/3 |
REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2019/1799 AL COMISIEI
din 22 octombrie 2019
de stabilire a unor specificații tehnice pentru sistemele separate de colectare online în temeiul Regulamentului (UE) 2019/788 al Parlamentului European și al Consiliului privind inițiativa cetățenească europeană
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2019/788 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind inițiativa cetățenească europeană (1), în special articolul 11 alineatul (5),
întrucât:
|
(1) |
Regulamentul (UE) 2019/788 stabilește norme revizuite privind inițiativa cetățenească europeană și abrogă Regulamentul (UE) nr. 211/2011 al Parlamentului European și al Consiliului (2). |
|
(2) |
Regulamentul (UE) 2019/788 prevede că, pentru colectarea online a declarațiilor de susținere pentru inițiativele cetățenești înregistrate, organizatorii trebuie să utilizeze sistemul central de colectare online instituit și gestionat de Comisie. Cu toate acestea, pentru a facilita tranziția, pentru inițiativele înregistrate în temeiul Regulamentului (UE) 2019/788 înainte de sfârșitul anului 2022, organizatorii pot alege să utilizeze propriul sistem de colectare online. |
|
(3) |
În temeiul Regulamentului (UE) 2019/788, un sistem separat utilizat pentru colectarea online a declarațiilor de susținere ar trebui să dispună de caracteristicile tehnice și de securitate adecvate pentru a asigura faptul că datele sunt colectate, stocate și transferate în siguranță pe tot parcursul procedurii de colectare. Comisia ar trebui să definească, împreună cu statele membre, specificațiile tehnice pentru punerea în aplicare a cerințelor privind sistemele separate de colectare online. |
|
(4) |
Normele prevăzute în prezentul regulament le înlocuiesc pe cele prevăzute în Regulamentul de punere în aplicare (UE) nr. 1179/2011 al Comisiei (3), care, prin urmare, vor deveni caduce. |
|
(5) |
Măsurile tehnice și organizatorice care trebuie puse în aplicare ar trebui să prevină, atât la momentul conceperii sistemului, cât și pe parcursul întregii perioade de colectare, orice prelucrare neautorizată a datelor cu caracter personal și să le protejeze împotriva distrugerii accidentale sau ilegale, a pierderii accidentale, a modificării, a divulgării sau a accesului neautorizat. |
|
(6) |
În acest scop, organizatorii ar trebui să aplice proceduri adecvate de gestionare a riscurilor pentru a identifica riscurile la adresa sistemelor lor și a determina contramăsurile adecvate și proporționale pentru a reduce aceste riscuri la niveluri acceptabile. Organizatorii ar trebui să documenteze în mod corespunzător riscurile identificate în materie de securitate și de protecție a datelor, precum și măsurile luate pentru a contracara riscurile respective, având în vedere normele și cerințele de securitate aplicate de autoritatea de certificare. Normele și cerințele de securitate ar trebui să fie conforme cu Regulamentul (UE) 2019/788 și ar trebui să fie puse la dispoziție, la cerere, de către autoritatea de certificare. |
|
(7) |
Punerea în aplicare a specificațiilor tehnice prevăzute în prezentul regulament nu ar trebui să aducă atingere obligației organizatorilor de a respecta cerințele privind protecția datelor care decurg din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4), inclusiv eventuala necesitate a unei evaluări a impactului asupra protecției datelor. |
|
(8) |
Reprezentantul unui grup de organizatori sau, după caz, entitatea juridică menționată la articolul 5 alineatul (7) din regulamentul sus-menționat sunt considerați operatori de date în temeiul Regulamentului (UE) 2016/679 în ceea ce privește prelucrarea datelor cu caracter personal în cadrul unui sistem separat de colectare online. |
|
(9) |
Organizatorii care introduc modificări în sistemul lor separat de colectare online după ce sistemul a fost certificat ar trebui să notifice fără întârzieri nejustificate autoritatea de certificare relevantă în cazul în care modificarea ar putea afecta evaluarea care stă la baza certificării. Înainte de a face acest lucru, organizatorii pot solicita avizul autorității de certificare pentru a verifica dacă modificarea poate avea un astfel de impact și, prin urmare, dacă autoritatea ar trebui să fie notificată. |
|
(10) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (5) și a emis observații la 16 septembrie 2019. Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor a fost consultată și a furnizat observații la 18 iulie 2019. |
|
(11) |
Măsurile prevăzute în prezentul regulament sunt conforme cu avizul comitetului instituit în temeiul articolului 22 din Regulamentul (UE) 2019/788, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Specificațiile tehnice menționate la articolul 11 alineatul (5) din Regulamentul (UE) 2019/788 sunt cele stabilite în anexa la prezentul regulament.
Articolul 2
(1) Organizatorii se asigură că sistemul lor separat de colectare online respectă specificațiile tehnice stabilite în anexă pe parcursul întregii perioade de colectare.
(2) Organizatorii notifică fără întârzieri nejustificate autoritatea competentă a statului membru menționată la articolul 11 alineatul (3) din Regulamentul (UE) 2019/788 cu privire la modificările introduse în sistem sau în măsurile organizatorice de sprijin după certificarea sistemului de către autoritatea în cauză, în cazul în care modificările respective ar putea avea un impact asupra evaluării care stă la baza certificării. Înainte de a face acest lucru, organizatorii pot solicita avizul autorității competente pentru a verifica dacă modificarea poate avea un astfel de impact.
Articolul 3
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică de la 1 ianuarie 2020.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 22 octombrie 2019.
Pentru Comisie
Președintele
Jean-Claude JUNCKER
(1) JO L 130, 17.5.2019, p. 55.
(2) Regulamentul (UE) nr. 211/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 privind inițiativa cetățenească (JO L 65, 11.3.2011, p. 1).
(3) Regulamentul de punere în aplicare (UE) nr. 1179/2011 al Comisiei din 17 noiembrie 2011 de stabilire a unor specificații tehnice pentru sistemele de colectare online în conformitate cu Regulamentul (UE) nr. 211/2011 al Parlamentului European și al Consiliului privind inițiativa cetățenească (JO L 301, 18.11.2011, p. 3).
(4) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(5) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
ANEXĂ
1. Specificații tehnice pentru punerea în aplicare a articolului 11 alineatul (4) litera (a) din Regulamentul (UE) 2019/788
Sistemul trebuie să pună în aplicare măsuri tehnice pentru a se asigura că numai persoanele fizice pot depune declarații de susținere. Măsurile tehnice nu trebuie să impună obligația de a colecta și a stoca mai multe date cu caracter personal decât cele care sunt enumerate în anexa III la Regulamentul (UE) 2019/788.
2. Specificații tehnice pentru punerea în aplicare a articolului 11 alineatul (4) litera (b) din Regulamentul (UE) 2019/788
Organizatorii trebuie să instituie măsuri tehnice și organizatorice adecvate și eficace pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care le utilizează în cadrul operațiunilor lor, pentru a se asigura că informațiile furnizate cu privire la inițiativă în sistemul de colectare online și prezentate online publicului corespund informațiilor publicate cu privire la inițiativă în registrul menționat la articolul 6 alineatul (5) din Regulamentul (UE) 2019/788.
Organizatorii trebuie să se asigure că:
|
(a) |
informațiile furnizate cu privire la inițiativă în sistemul de colectare online corespund informațiilor publicate în registru; |
|
(b) |
sistemul prezintă informațiile privind inițiativa publicate în registru înainte ca cetățeanul să depună declarația de susținere; |
|
(c) |
sunt instituite măsuri de securitate pentru a asigura prezentarea concomitentă a câmpurilor de date introduse în declarațiile de susținere și a informațiilor privind inițiativa, pentru a se preveni riscul ca declarațiile de susținere să fie prezentate cu privire la o altă inițiativă, prin prezentarea unei alte inițiative; |
|
(d) |
sistemul garantează faptul că, după transmiterea acestora, datele din declarațiile de susținere sunt salvate împreună cu informațiile privind inițiativa; |
|
(e) |
sunt instituite măsuri de securitate pentru a preveni efectuarea unor modificări neautorizate ale informațiilor furnizate cu privire la inițiativă în sistemul de colectare online. |
3. Specificații tehnice pentru punerea în aplicare a articolului 11 alineatul (4) litera (c) din Regulamentul (UE) 2019/788
Sistemul trebuie să se asigure că declarațiile de susținere sunt transmise în conformitate cu câmpurile de date din anexa III la Regulamentul (UE) 2019/788.
Sistemul trebuie să se asigure că o persoană poate depune o declarație de susținere numai după ce a confirmat că a citit declarația de confidențialitate din anexa III la Regulamentul (UE) 2019/788.
4. Specificații tehnice pentru punerea în aplicare a articolului 11 alineatul (4) litera (d) din Regulamentul (UE) 2019/788
4.1. Guvernanță
|
4.1.1. |
Grupul de organizatori trebuie să numească un agent care să fie responsabil de securitatea sistemului și de transmiterea securizată a declarațiilor de susținere colectate către autoritatea competentă din statul membru responsabil. Agentul responsabil cu securitatea trebuie să supravegheze procesele de asigurare a informațiilor și măsurile de securitate tehnice și organizatorice pentru a asigura colectarea, stocarea și transmiterea în siguranță a datelor furnizate de semnatari. |
|
4.1.2. |
Organizatorii pot solicita autorității naționale competente menționate la articolul 11 alineatul (3) din Regulamentul (UE) 2019/788 să furnizeze normele de securitate aplicabile și cerințele pentru certificarea sistemelor separate de colectare online. Autoritatea competentă trebuie să furnizeze normele și cerințele de securitate, de regulă în termen de o lună de la primirea cererii. Normele și cerințele de securitate aplicabile trebuie să fie conforme cu standardele de securitate naționale sau internaționale adecvate existente. |
|
4.1.3. |
Normele și cerințele de securitate pentru certificarea sistemului trebuie să abordeze riscurile definite la punctul 4.2 și să țină seama de specificațiile de la punctul 4.3. |
4.2. Asigurarea informațiilor
|
4.2.1. |
Organizatorii trebuie să utilizeze procese de gestionare a riscurilor pentru a identifica riscurile legate de utilizarea sistemelor lor, inclusiv în ceea ce privește drepturile și libertățile semnatarilor, și pentru a stabili măsurile adecvate și proporționale pentru prevenirea și atenuarea impactului incidentelor care afectează securitatea rețelelor și a sistemelor informatice pe care le utilizează în operațiunile lor.
Procesul de gestionare a riscurilor trebuie să se axeze în special pe riscurile legate de confidențialitatea și integritatea informațiilor din sistem. Aceste riscuri pot fi rezultatul unor amenințări, inclusiv:
|
|
4.2.2. |
Organizatorii trebuie să furnizeze documentația care să demonstreze că:
|
|
4.2.3. |
Măsurile de prevenire și atenuare a impactului incidentelor care afectează securitatea sistemelor trebuie să acopere următoarele domenii:
Aplicarea acestor măsuri de securitate poate fi limitată la acele secțiuni ale organizației care sunt relevante pentru sistemul de colectare online. De exemplu, securitatea resurselor umane poate fi limitată la membrii personalului care au acces fizic sau logic la sistemul de colectare online, iar securitatea fizică/a mediului poate fi limitată la clădirea (clădirile) care găzduiește (găzduiesc) sistemul. |
|
4.2.4. |
În cazul în care apelează la o persoană împuternicită de către operator pentru dezvoltarea sau desfășurarea sistemelor de colectare online sau a unor părți ale acestora, organizatorii trebuie să furnizeze documentația necesară pentru a permite autorității de certificare să se asigure că sunt instituite măsurile de securitate necesare. |
4.3. Criptarea datelor
Sistemul trebuie să prevadă următoarea criptare a datelor:
|
(a) |
datele cu caracter personal în format electronic trebuie să fie criptate când sunt stocate sau transferate către autoritățile competente ale statelor membre, în conformitate cu Regulamentul (UE) 2019/788, administrarea și copia de rezervă a cheilor fiind făcute separat; |
|
(b) |
în conformitate cu standardele internaționale (precum standardul ETSI), se utilizează algoritmi standard adecvați și chei adecvate. Trebuie să existe o procedură de gestionare a cheilor; |
|
(c) |
toate cheile și parolele trebuie să fie protejate împotriva accesului neautorizat. |