1.4.2011   

SK

Úradný vestník Európskej únie

C 101/20

1.

Dňa 30. septembra 2010 Komisia prijala návrh nariadenia Európskeho parlamentu a Rady o Európskej agentúre pre bezpečnosť sietí a informácií (ENISA) (3).

2.

Agentúra ENISA bola zriadená v marci 2004 nariadením (ES) č. 460/2004 (4) na počiatočné obdobie piatich rokov. V roku 2008 sa nariadením (ES) č. 1007/2008 (5) predĺžil jej mandát do marca 2012.

3.

Ako vyplýva z článku 1 ods. 1 nariadenia (ES) č. 460/2004, agentúra bola vytvorená na zabezpečenie vysokej a účinnej úrovne bezpečnosti sietí a informácií v rámci Únie a s cieľom prispieť k plynulému fungovaniu vnútorného trhu.

4.

Návrh Komisie má za cieľ zmodernizovať agentúru, posilniť jej právomoci a stanoviť nový mandát na päťročné obdobie, ktorý umožní pokračovanie činnosti agentúry po marci 2012 (6).

5.

Navrhované nariadenie má právny základ v článku 114 ZFEÚ (7), ktorý Únii dáva právomoc prijímať opatrenia, ktoré smerujú k vytváraniu alebo zaisteniu fungovania vnútorného trhu. Článok 114 ZFEÚ je nástupcom článku 95 bývalej Zmluvy o ES, ktorý bol právnym základom predchádzajúcich nariadení o agentúre ENISA (8).

6.

Dôvodová správa, ktorá je k návrhu pripojená, poukazuje na skutočnosť, že prevencia trestnej činnosti a boj proti nej sa po nadobudnutí platnosti Lisabonskej zmluvy stali spoločnými právomocami. Tým bola vytvorená možnosť, aby agentúra ENISA hrala úlohu ako platforma pre boj proti počítačovej kriminalite v aspektoch bezpečnosti sietí a informácií (NIS) a vymieňali si názory a najlepšie postupy s orgánmi pôsobiacimi v oblasti počítačovej obrany, presadzovania práva a ochrany údajov.

7.

Z niekoľkých možností sa Komisia rozhodla navrhnúť rozšírenie úloh agentúry ENISA a pridanie orgánov pôsobiacich v oblasti presadzovania práva a ochrany údajov ako plnohodnotných členov jej stálej skupiny zainteresovaných strán. Nový zoznam úloh nezahŕňa operatívne úlohy, ale aktualizuje a opätovne formuluje súčasné úlohy.

8.

Návrh bol 1. októbra 2010 poslaný Európskemu dozornému úradníkovi pre ochranu údajov na konzultáciu podľa článku 28 ods. 2 nariadenia (ES) č. 45/2001. Európsky dozorný úradník pre ochranu údajov víta, že s ním bola táto záležitosť konzultovaná, a odporúča, aby sa odkaz na túto konzultáciu uviedol v odôvodneniach návrhu, ako býva obvyklé pri legislatívnych textoch, ktoré boli s Európskym dozorným úradníkom pre ochranu údajov konzultované podľa nariadenia (ES) č. 45/2001.

9.

Pred prijatím návrhu prebehli neformálne konzultácie s Európskym dozorným úradníkom pre ochranu údajov a on poskytol niekoľko neformálnych komentárov. Žiadne z týchto pripomienok však neboli v konečnom znení návrhu zohľadnené.

10.

Európsky dozorný úradník pre ochranu údajov zdôrazňuje, že bezpečnosť spracúvania údajov je kľúčový prvok ochrany údajov (9). V tomto smere víta účel návrhu, ktorým je posilnenie právomocí agentúry tak, aby mohla účinnejšie plniť svoje súčasné úlohy a povinnosti a súčasne rozširovať svoje pole pôsobnosti. Európsky dozorný úradník pre ochranu údajov navyše víta začlenenie orgánov pôsobiacich v oblasti ochrany údajov a presadzovania práva ako plnohodnotných zainteresovaných subjektov. Považuje rozšírenie mandátu agentúry ENISA za spôsob, ako na európskej úrovni podnecovať profesionálne a jednoznačné riadenie bezpečnostných opatrení pre informačné systémy.

11.

Celkové hodnotenie návrhu je pozitívne. V niektorých ohľadoch je však navrhnuté nariadenie nejasné alebo neúplné, čo z hľadiska ochrany údajov vyvoláva obavy. Táto problematika bude vysvetlená a prediskutovaná v ďalšej kapitole tohto stanoviska.

12.

Rozšírené úlohy agentúry, ktoré sa týkajú zapojenia orgánov na presadzovanie práva a orgánov pôsobiacich v oblasti ochrany údajov, sú formulované veľmi všeobecným spôsobom v článku 3 návrhu. Dôvodová správa je v tomto smere konkrétnejšia. Hovorí sa v nej o tom, že agentúra ENISA má spolupracovať s orgánmi na presadzovanie práva pôsobiacimi v oblasti počítačovej kriminality a má vykonávať neoperatívne úlohy v oblasti boja proti počítačovej kriminalite. Tieto úlohy však neboli do článku 3 zaradené alebo sa tam spomínajú len veľmi všeobecne.

13.

Na zabránenie akejkoľvek právnej neistote by navrhnuté nariadenie v otázke úloh agentúry ENISA malo byť jasné a jednoznačné. Ako je uvedené, bezpečnosť spracúvania údajov je kľúčový prvok ochrany údajov. Agentúra ENISA bude mať v tejto oblasti čoraz významnejšiu úlohu. Občanom, inštitúciám a orgánom by malo byť zrejmé, do akých činností sa agentúra ENISA môže zapájať. Takýto rozmer je ešte významnejší, ak by rozšírené úlohy agentúry ENISA mali zahŕňať spracúvanie osobných údajov (pozri body 17 – 20).

14.

V článku 3 ods. 1 písm. k) návrhu sa uvádza, že agentúra vykonáva akúkoľvek inú úlohu, ktorá sa agentúre zverí prostredníctvom iného legislatívneho aktu Únie. Európsky dozorný úradník pre ochranu údajov má z tohto otvoreného ustanovenia obavy, keďže vytvára potenciálnu medzeru, ktorá môže ovplyvniť koherentnosť tohto právneho nástroja a mohla by viesť k tzv. neplánovanému využívaniu funkcií agentúry.

15.

Jednu z úloh, na ktoré sa odkazuje v článku 3 ods. 1 písm. k) návrhu, obsahuje smernica 2002/58/ES (10). V nej sa uvádza, že Komisia je povinná poradiť sa s agentúrou o akýchkoľvek technických vykonávacích opatreniach týkajúcich sa oznámení v súvislosti s porušením ochrany údajov. Európsky dozorný úradník pre ochranu údajov odporúča, aby sa táto činnosť agentúry opísala podrobnejšie a pri tom sa obmedzila na oblasť bezpečnosti. So zreteľom na to, aký potenciálny vplyv môže agentúra ENISA mať na vývoj politiky v tejto oblasti, by táto činnosť mala mať v rámci navrhovaného nariadenia jasnejšiu a ústrednejšiu pozíciu.

16.

Európsky dozorný úradník pre ochranu údajov okrem toho odporúča začleniť do odôvodnenia 21 odkaz na smernicu 1999/5/ES (11), a to so zreteľom na osobitnú úlohu agentúry ENISA, spomínanú v článku 3 ods. 1 písm. c) súčasného návrhu – pomáhať členským štátom a európskym inštitúciám a orgánom v ich úsilí o zber, analýzu a šírenie údajov o bezpečnosti sietí a informácií. To by malo pomôcť propagačným činnostiam agentúry ENISA podporujúcim najlepšie postupy a techniky v oblasti bezpečnosti sietí a informácií (NIS), keďže to poskytne lepší príklad možných konštruktívnych interakcií medzi agentúrou a štandardizačnými orgánmi.

17.

V návrhu sa neuvádza, či úlohy pridelené agentúre môžu zahŕňať spracúvanie osobných údajov. Návrh preto neobsahuje osobitný právny základ pre spracúvanie osobných údajov v zmysle článku 5 nariadenia (ES) č. 45/2001.

18.

Niektoré z úloh, ktoré sú agentúre pridelené, však môžu (aspoň do istej miery) zahŕňať aj spracúvanie osobných údajov. Nie je napríklad vylúčené, že analýza bezpečnostných incidentov a prípadov porušenia ochrany údajov alebo plnenie neoperatívnych funkcií v rámci boja proti počítačovej kriminalite môžu zahŕňať zber a analýzu osobných údajov.

19.

Odôvodnenie 9 návrhu odkazuje na ustanovenia smernice 2002/21/ES (12), podľa ktorej vnútroštátne regulačné orgány v prípade potreby pri narušení bezpečnosti informujú agentúru. Európsky dozorný úradník pre ochranu údajov odporúča, aby bol návrh podrobnejší v tom, ktoré oznámenia sa majú zaslať agentúre ENISA, a ako by na ne agentúra ENISA mala reagovať. Návrh by sa mal tiež venovať (prípadným) dôsledkom spracúvania osobných údajov, ktoré môžu vyplynúť z analýzy týchto oznámení.

20.

Európsky dozorný úradník pre ochranu údajov vyzýva zákonodarcu, aby vyjasnil, či činnosti agentúry ENISA uvedené v článku 3 budú zahŕňať spracovanie osobných údajov, a ak áno, o ktoré činnosti pôjde.

21.

Hoci agentúra ENISA zohráva v diskusii o bezpečnosti sietí a informácií v Európe významnú úlohu, návrh takmer mlčí o vytvorení bezpečnostných opatrení pre samotnú agentúru (bez ohľadu na to, či by sa týkali spracúvania osobných údajov).

22.

Európsky dozorný úradník pre ochranu údajov sa domnieva, že agentúra bude mať ešte lepšiu pozíciu na presadzovanie osvedčených postupov v oblasti bezpečnosti spracúvania údajov, ak takéto bezpečnostné opatrenia budú intenzívne uplatňované v rámci samotnej agentúry. To podporí skutočnosť, aby agentúra bola vnímaná nielen ako stredisko odborných znalostí, ale aj ako referenčný bod praktického zavádzania najlepších dostupných techník v oblasti bezpečnosti. Úsilie o excelentnosť v oblasti uplatňovania bezpečnostných praktík by preto mala byť zakotvená v nariadení, ktorým sa riadia pracovné postupy agentúry. Európsky dozorný úradník pre ochranu údajov preto navrhuje, aby sa v tomto zmysle do návrhu doplnilo ustanovenie, a to napríklad také, ktoré by vyžadovalo, aby agentúra používala najlepšie dostupné techniky, čo znamená najúčinnejšie a najrozvinutejšie bezpečnostné postupy a ich operatívne metódy.

23.

Tento prístup agentúre umožní poskytovať rady v oblasti praktickej vhodnosti konkrétnych techník na poskytovanie požadovaných bezpečnostných záruk. Okrem toho by zavedenie týchto najlepších dostupných techník malo uprednostňovať tie, ktoré umožňujú zabezpečiť bezpečnosť a súčasne čo najviac minimalizovať možný vplyv na súkromie. Mali by sa vyberať techniky, ktoré viac zodpovedajú koncepcii ochrany súkromia už v štádiu návrhu.

24.

Aj v prípade menej ambiciózneho prístupu Európsky dozorný úradník pre ochranu údajov odporúča, aby nariadenie obsahovalo aspoň tieto požiadavky: i) vytvorenie vnútornej bezpečnostnej politiky podľa komplexného hodnotenia rizika a zohľadňujúcej medzinárodné normy a najlepšie postupy v členských štátoch, ii) vymenovanie bezpečnostného úradníka s primeranými prostriedkami a autoritou zodpovedného za plnenie politiky, iii) schválenie tejto politiky po dôkladnom preskúmaní zostatkového rizika a kontrol navrhnutých správnou radou, a iv) periodická revízia politiky s jasným uvedením zvoleného časového rámca periodicity a cieľov revízie.

25.

Ako už bolo uvedené, Európsky dozorný úradník pre ochranu údajov víta rozšírenie mandátu agentúry a domnieva sa, že orgány pôsobiace v oblasti ochrany údajov môžu mať veľký prospech z existencie agentúry (a agentúra z odborných znalostí týchto orgánov). So zreteľom na prirodzené a logické zbližovanie bezpečnosti a ochrany údajov je skutočne potrebné, aby agentúra a orgány pôsobiace v oblasti ochrany údajov úzko spolupracovali.

26.

Odôvodnenia 24 a 25 obsahujú odkaz na navrhovanú smernicu EÚ o počítačovej kriminalite a uvádza sa v nich, že agentúra by mala udržiavať styky s orgánmi na presadzovanie práva a orgánmi pôsobiacimi v oblasti ochrany údajov, a to so zreteľom na aspekty boja proti počítačovej kriminalite súvisiace s bezpečnosťou informácií (13).

27.

V návrhu by sa mali uvádzať aj konkrétne cesty a mechanizmy spolupráce, ktoré i) zabezpečia jednotu činností agentúry s činnosťami orgánov pôsobiacich v oblasti ochrany údajov, a ii) umožnia úzku spoluprácu medzi agentúrou a orgánmi pôsobiacimi v oblasti ochrany údajov.

28.

Pokiaľ ide o jednotu, v odôvodnení 27 sa výslovne spomína skutočnosť, že úlohy agentúry by nemali byť v rozpore s orgánmi členských štátov, ktoré pôsobia v oblasti ochrany údajov. Európsky dozorný úradník pre ochranu údajov tento odkaz víta, konštatuje však, že chýba akýkoľvek odkaz na Európskeho dozorného úradníka pre ochranu údajov a pracovnú skupinu zriadenú podľa článku 29. Európsky dozorný úradník pre ochranu údajov odporúča, aby zákonodarca do návrhu zaradil aj obdobné ustanovenie o nezasahovaní v súvislosti s týmito dvomi subjektmi. Tým sa vytvorí jasnejšie pracovné prostredie pre všetky strany a malo by vytvoriť rámec pre cesty a mechanizmy spolupráce, ktoré agentúre umožnia pomáhať rôznym orgánom pôsobiacim v oblasti ochrany údajov a pracovnej skupine zriadenej podľa článku 29.

29.

V súlade s tým, pokiaľ ide o úzku spoluprácu, Európsky dozorný úradník pre ochranu údajov víta začlenenie zástupcov orgánov pôsobiacich v oblasti ochrany údajov do stálej skupiny zainteresovaných strán, ktorá bude radiť agentúre pri výkone jej činností. Odporúča, aby sa výslovne uviedlo, že osoby zastupujúce vnútroštátne orgány pôsobiace v oblasti ochrany údajov budú vymenované agentúrou na základe návrhu pracovnej skupiny zriadenej podľa článku 29. Tiež by ocenil, ak by sa do návrhu vložil odkaz, ktorý by zabezpečil účasť Európskeho dozorného úradníka pre ochranu údajov ako takého na tých schôdzach, kde sa majú prediskutovávať otázky, ktoré sú relevantné pre spoluprácu s Európskym dozorným úradníkom pre ochranu údajov. Okrem toho Európsky dozorný úradník pre ochranu údajov odporúča, aby agentúra (po porade so stálou skupinou zainteresovaných strán a so súhlasom správnej rady) vytvorila ad hoc pracovné skupiny pre rozličné oblasti, kde sa ochrana údajov a bezpečnosť prekrývajú, aby sa vytvoril rámec pre toto úsilie o úzku spoluprácu.

30.

Napokon, aby sa predišlo akýmkoľvek možným nedorozumeniam, Európsky dozorný úradník pre ochranu údajov odporúča, aby sa namiesto pojmu „orgány pôsobiace v oblasti ochrany súkromia“ používal pojem „orgány pôsobiace v oblasti ochrany údajov“ a aby sa vyjasnilo, o aké orgány ide, a to prostredníctvom odkazu na článok 28 smernice 95/46/ES a na Európskeho dozorného úradníka pre ochranu údajov podľa kapitoly V nariadenia (ES) č. 45/2001.

31.

Európsky dozorný úradník pre ochranu údajov konštatuje nedôslednosť v návrhu nariadenia so zreteľom na to, kto môže žiadať agentúru ENISA o pomoc. Z odôvodnení 7, 15, 16, 18 a 36 návrhu vyplýva, že agentúra ENISA môže pomáhať orgánom členských štátov a Únii ako celku. V článku 2 ods. 1 sa však odkazuje len na Komisiu a členské štáty, kým článok 14 obmedzuje možnosť žiadať o pomoc na: i) Európsky parlament, ii) Radu, iii) Komisiu a iv) akýkoľvek príslušný orgán určený členským štátom, čím sa vynechávajú niektoré inštitúcie, orgány, agentúry a úrady Únie.

32.

Článok 3 návrhu je konkrétnejší a uvádzajú sa v ňom rôzne typy pomoci podľa typu príjemcov: i) zber a analýza údajov o bezpečnosti informácií (v prípade členských štátov a európskych inštitúcií a orgánov), ii) analýza stavu bezpečnosti sietí a informácií v Európe (v prípade členských štátov a európskych inštitúcií), iii) podpora používania osvedčených postupov v oblasti riadenia rizika a bezpečnosti (v celej Únii a vo všetkých členských štátoch), iv) rozvoj detekcie bezpečnosti sietí a informácií (v európskych inštitúciách a orgánoch), a v) spolupráca na dialógu a spolupráci s tretími krajinami (v prípade Únie).

33.

Európsky dozorný úradník pre ochranu údajov vyzýva zákonodarcu, aby túto nedôslednosť napravil a zosúladil uvedené ustanovenia. V tomto smere Európsky dozorný úradník pre ochranu údajov odporúča, aby sa článok 14 zmenil a doplnil tak, aby skutočne zahŕňal všetky inštitúcie, orgány, úrady a agentúry Únie, a aby bolo jasné, aký typ pomoci môžu požadovať rozličné subjekty v rámci Únie (ak toto rozčlenenie zákonodarca zavedie). V rovnakom zmysle sa odporúča, aby o pomoc agentúry mohli žiadať isté súkromné a verejné subjekty, ak by požadovaná podpora vykazovala jasný potenciál z európskeho pohľadu a ak by bola v súlade s cieľmi agentúry.

34.

Dôvodová správa zabezpečuje rozšírenie právomocí správnej rady, pokiaľ ide o jej dozornú úlohu. Európsky dozorný úradník pre ochranu údajov túto rozšírenú úlohu víta a odporúča, aby sa medzi funkcie správnej rady zaradili niektoré aspekty týkajúce sa ochrany údajov. Navyše Európsky dozorný úradník pre ochranu údajov odporúča, aby sa v nariadení jednoznačne uvádzalo, kto má nárok: i) vytvárať opatrenia na uplatňovanie nariadenia (ES) č. 45/2001 agentúrou, a to vrátane tých, ktoré sa týkajú vymenovania úradníka pre ochranu údajov, ii) schvaľovať bezpečnostnú politiku a nadväzujúce pravidelné revízie, a iii) vytvoriť protokol spolupráce s orgánmi pôsobiacimi v oblasti ochrany údajov a s orgánmi na presadzovanie práva.

35.

Hoci to už dnes nariadenie (ES) č. 45/2001 vyžaduje, Európsky dozorný úradník pre ochranu údajov navrhuje, aby sa do článku 27 začlenilo vymenovanie úradníka pre ochranu údajov, čo je nesmierne dôležité a malo by byť sprevádzané urýchleným vytvorením vykonávacích pravidiel týkajúcich sa rozsahu právomocí a úloh, ktoré sa majú úradníkovi pre ochranu údajov zveriť v súlade s článkom 24 ods. 8 nariadenia (ES) č. 45/2001. Konkrétnejšie by článok 27 mohol znieť takto:

36.

V prípade, že bude potrebný osobitný právny základ pre spracúvanie osobných údajov, ako sa uvádza v bodoch 17 – 20, mal by zabezpečiť aj vymedzenie potrebných a vhodných záruk, obmedzení a podmienok, za ktorých by sa toto spracúvanie vykonávalo.

37.

Celkové hodnotenie návrhu je kladné, a Európsky dozorný úradník pre ochranu údajov víta rozšírenie mandátu agentúry a rozšírenie jej úloh zaradením orgánov pôsobiacich v oblasti ochrany údajov a orgánov na presadzovanie práva medzi plnohodnotné zainteresované strany. Európsky dozorný úradník pre ochranu údajov sa domnieva, že pokračovanie činnosti agentúry na európskej úrovni podnieti profesionálne a efektívne riadenie bezpečnostných opatrení pre informačné systémy.

38.

Európsky dozorný úradník pre ochranu údajov odporúča, aby sa s cieľom zabrániť akejkoľvek právnej neistote návrh spresnil, pokiaľ ide o rozšírenie úloh agentúry, a to najmä tých, ktoré sa týkajú zapojenia orgánov na presadzovanie práva a orgánov pôsobiacich v oblasti ochrany údajov. Európsky dozorný úradník pre ochranu údajov upozorňuje na možnú medzeru vytvorenú tým, že do návrhu bolo začlenené ustanovenie, ktoré umožňuje pridať agentúre nové úlohy prostredníctvom ľubovoľného legislatívneho aktu Únie bez akýchkoľvek ďalších obmedzení.

39.

Európsky dozorný úradník pre ochranu údajov vyzýva zákonodarcu, aby ozrejmil, či činnosti agentúry ENISA budú zahŕňať spracúvanie osobných údajov, a ak áno, ktorých činností sa to bude týkať.

40.

Európsky dozorný úradník pre ochranu údajov odporúča začleniť do návrhu ustanovenia o vytvorení bezpečnostnej politiky pre samotnú agentúru, aby sa posilnila úloha agentúry ako subjektu, ktorý umožňuje excelentnosť v bezpečnostných postupoch a ktorý presadzuje koncepciu ochrany súkromia už v štádiu návrhu začlenením využívania najlepších dostupných techník v oblasti bezpečnosti, pokiaľ ide o práva na ochranu osobných údajov.

41.

Cesty spolupráce s orgánmi pôsobiacimi v oblasti ochrany údajov vrátane Európskeho dozorného úradníka pre ochranu údajov a pracovnej skupiny zriadenej podľa článku 29, by sa mali lepšie vymedziť s cieľom zabezpečiť konzistentnosť a úzku spoluprácu.

42.

Európsky dozorný úradník pre ochranu údajov vyzýva zákonodarcu, aby vyriešil niektoré nedôslednosti, pokiaľ ide o obmedzenia vyjadrené v článku 14 týkajúce sa možnosti požiadať agentúru o pomoc. Konkrétne Európsky dozorný úradník pre ochranu údajov odporúča, aby tieto obmedzenia boli zrušené a aby všetky inštitúcie, orgány, agentúry a úrady Únie boli oprávnené požiadať agentúru o pomoc.

43.

Napokon Európsky dozorný úradník pre ochranu údajov odporúča, aby rozšírené možnosti správnej rady zahŕňali niektoré konkrétne aspekty, ktoré by mohli lepšie zabezpečiť to, aby sa v rámci agentúry dodržiavali osvedčené postupy týkajúce sa bezpečnosti a ochrany údajov. Okrem iného navrhuje, aby zahŕňali možnosť vymenúvať úradníka pre ochranu údajov a schvaľovať opatrenia zamerané na správne uplatňovanie nariadenia (ES) č. 45/2001.