EURÓPSKA KOMISIA

V Bruseli24. 7. 2019

COM(2019) 372 final

SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE

o vzájomnom prepojení vnútroštátnych centralizovaných automatizovaných mechanizmov (centrálnych registrov alebo centrálnych elektronických systémov vyhľadávania údajov) členských štátov v oblasti bankových účtov

SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE

o vzájomnom prepojení vnútroštátnych centralizovaných automatizovaných mechanizmov (centrálnych registrov alebo centrálnych elektronických systémov vyhľadávania údajov) členských štátov v oblasti bankových účtov

1.Úvod

V článku 32a smernice 2015/849/EÚ o boji proti praniu špinavých peňazí 1 sa od členských štátov vyžaduje, aby do 10. septembra 2020 zaviedli vnútroštátne centralizované automatizované mechanizmy, ako sú centrálne registre alebo centrálne elektronické systémy vyhľadávania údajov, ktoré umožňujú identifikáciu akýchkoľvek fyzických alebo právnických osôb, ktoré vlastnia alebo kontrolujú platobné účty, bankové účty a bezpečnostné schránky. V smernici o boji proti praniu špinavých peňazí sa vymedzuje minimálny súbor informácií, ktoré by mali tieto centralizované mechanizmy zahŕňať. Takisto sa v nej stanovuje, že finančné spravodajské jednotky by k nim mala mať okamžitý a nefiltrovaný prístup, pričom prístup by k nim mali mať aj ďalšie príslušné orgány, aby si mohli plniť povinnosti vyplývajúce zo smernice o boji proti praniu špinavých peňazí. V smernici 2019/1153 o uľahčení prístupu k finančným a iným informáciám 2 sa členským štátom ukladá povinnosť určiť vnútroštátne orgány zodpovedné za predchádzanie trestným činom, ich odhaľovanie, vyšetrovanie alebo stíhanie, ktoré by mali mať priamy, okamžitý a nefiltrovaný prístup k minimálnemu súboru informácií týchto centralizovaných mechanizmov. K uvedeným príslušným orgánom patria aspoň úrady pre vyhľadávanie majetku.

Prístup príslušných orgánov k centrálnym registrom bankových účtov alebo systémom vyhľadávania údajov o týchto účtoch bude dôležitou zložkou boja proti praniu špinavých peňazí, súvisiacim predikatívnym trestným činom a financovaniu terorizmu, ako aj všeobecnejšie boja proti závažným trestným činom. So zreteľom na ciele smernice o boji proti praniu špinavých peňazí a smernice o uľahčovaní prístupu k finančným a iným informáciám by budúce prepojenie registrov bankových účtov a systémov vyhľadávania údajov v rámci celej EÚ uľahčilo cezhraničnú spoluprácu príslušných orgánov zapojených do boja proti praniu špinavých peňazí, financovaniu terorizmu a ďalším závažným trestným činom.

V článku 32a ods. 5 smernice o boji proti praniu špinavých peňazí sa od Komisie vyžaduje, aby posúdila podmienky, technické špecifikácie a postupy na zaistenie bezpečného a účinného prepojenia centralizovaných automatizovaných mechanizmov. V tejto správe sa preto posudzujú viaceré IT riešenia na úrovni EÚ, ktoré sú už v prevádzke alebo sa v súčasnosti vyvíjajú a ktoré môžu poslúžiť ako modely pre možné prepojenie centralizovaných mechanizmov. Na dosiahnutie prepojenia by bol potrebný legislatívny nástroj.

Táto správa by sa mala brať do úvahy v spojení so správami Komisie o nadnárodnom posudzovaní rizík 3 , o finančných spravodajských jednotkách 4 a o posúdení nedávnych prípadov údajného prania špinavých peňazí so zapojením úverových inštitúcií EÚ 5 , ktoré sa predkladajú súbežne.

2.Súčasný stav

2.1.Centralizované registre alebo elektronické systémy vyhľadávania údajov v oblasti bankových účtov v členských štátoch

Centralizované mechanizmy obsahujúce informácie o bankových účtoch v súčasnosti 6 fungujú v 15 členských štátoch 7 . Z odpovedí získaných od členských štátov vyplýva, že sa mierne uprednostňuje technické riešenie centrálneho registra: kým centrálny register má alebo bude mať 17 členských štátov, 9 členských štátov oznámilo, že má alebo plánuje centrálny systém vyhľadávania údajov 8 . Takisto sa uprednostňujú systémy, ktoré obsahujú údaje presahujúce minimálny súbor informácií týkajúcich sa profilu účtu, ktorý sa stanovuje v článku 32a ods. 5 piatej smernice o boji proti praniu špinavých peňazí (11 odpovedí oproti 6) 9 .

2.2.Systémy EÚ na prepojenie vnútroštátnych decentralizovaných elektronických databáz

Existuje viacero projektov EÚ, ktoré zabezpečujú decentralizované prepojenie vnútroštátnych elektronických databáz v celej EÚ 10 . Na účely tejto správy sa za relevantné považujú tieto systémy IT:

Európsky informačný systém registrov trestov (ECRIS) začal fungovať v apríli 2012 s cieľom zlepšiť výmenu informácií o registroch trestov v rámci celej EÚ 11 . K ECRIS sú v súčasnosti pripojené všetky členské štáty. ECRIS zabezpečuje medzi členskými štátmi jednotnú, rýchlu a kompatibilnú výmenu informácií o odsúdeniach a sudcom a prokurátorom poskytuje jednoduchý prístup ku komplexným informáciám o predchádzajúcej trestnej činnosti príslušných osôb 12 .

Európsky informačný systém vozidiel a vodičských preukazov (EUCARIS) spája krajiny, aby si mohli vymieňať informácie o vozidlách a vodičských preukazoch a ďalšie údaje týkajúce sa dopravy. EUCARIS predstavuje mechanizmus, ktorý prepája orgány na registráciu vozidiel a vodičských preukazov v Únii a prostredníctvom ktorého sa medzi národnými kontaktnými miestami členských štátov môžu vymieňať informácie o majiteľoch vozidiel a poistení vozidla 13 .

Prepojenie konkurzných registrov v rámci celej EÚ (IRI), ktoré zahŕňa dva rôzne projekty. Prvá verzia systému (IRI 1.0) je dostupná na Európskom portáli elektronickej justície 14 od júla 2014. Bola vyvinutá ako pilotný projekt 15 za dobrovoľnej účasti niektorých členských štátov 16 . Druhá verzia (IRI 2.0) má základ v nariadení (EÚ) 2015/848 o insolvenčnom konaní a prepojí vnútroštátne konkurzné registre všetkých členských štátov (s výnimkou Dánska). Všetky členské štáty by mali splniť povinnosť prepojenia do júna 2021. Systém IRI 1.0 je založený na štandardizovaných bezpečných správach webovej služby (SOAP prostredníctvom HTTPS), kým IRI 2.0 podporuje aj výmenu údajov, pričom využíva základný prvok Nástroja na prepájanie Európy (NPE) elektronické doručovanie 17 .

Systém prepojenia obchodných registrov (BRIS) prepája obchodné registre, čím im umožňuje vymieňať si cezhraničné správy o fúziách a pobočkách a používateľom portálu elektronickej justície umožňuje získať informácie o spoločnostiach v EÚ vo viacerých jazykoch. Systém funguje od júna 2017 v súlade so smernicou (EÚ) 2012/17, pokiaľ ide o prepojenie centrálnych registrov, obchodných registrov a registrov spoločností 18 . BRIS na výmenu štandardizovaných správ využíva základný prvok Nástroja na prepájanie Európy elektronické doručovanie. Systém je decentralizovaný, pričom v centrálnej zložke (Európskej centrálnej platforme) sa uchovávajú a registrujú názvy spoločností a registračné čísla.

Prepojenie katastrov nehnuteľností (LRI) je prebiehajúci dobrovoľný projekt 19 , ktorého cieľom je poskytnúť v rámci Európskeho portálu elektronickej justície jednotný prístupový bod ku katastrom nehnuteľností zapojených krajín EÚ. Jeho sprevádzkovanie sa plánuje na druhý štvrťrok roku 2020.

Vlastnícke a kontrolné štruktúry európskych podnikov (EBOCS) sú projektom, ktorý realizuje Európske združenie obchodných registrov s finančnou podporou Fondu pre vnútornú bezpečnosť – Polícia (ročné pracovné programy na roky 2016 a 2018). Platforma EBOCS poskytuje zjednodušený a jednotný prístup k údajom obchodných registrov týkajúcim sa vlastníckych a kontrolných štruktúr podnikov na účely finančnej analýzy a vyšetrovania. Takisto poskytuje zhrnutie výsledkov vyhľadávaní na mape s vizualizáciou. Treba uviesť, že EÚ nevlastní práva duševného vlastníctva na tento systém.

Systém e-CODEX (Komunikácia v oblasti elektronickej justície prostredníctvom výmeny údajov on-line) umožňuje bezpečnú komunikáciu v občianskych súdnych konaniach a trestných konaniach tým, že poskytuje decentralizovaný systém na cezhraničnú výmenu elektronických správ v oblasti justície 20 . e-CODEX v súčasnosti uľahčuje elektronickú komunikáciu medzi občanmi a súdmi a medzi štátnymi správami členských štátov prostredníctvom pilotného vykonávania európskeho platobného rozkazu a európskeho konania vo veciach s nízkou hodnotou sporu. V oblasti trestnej justície je e-CODEX tiež zvoleným riešením pre systém digitálnej výmeny elektronických dôkazov 21 na účely elektronickej výmeny informácií v kontexte európskeho vyšetrovacieho príkazu (EVP) a dohôd o vzájomnej právnej pomoci.

3.Hlavné parametre

3.1.Podmienky prístupu pre používateľov

Pri pohľade na existujúce systémy je zrejmé, že prístupnosť systému zameraného na používateľa v interakcii s prepojeným systémom IT závisí od účelu, na ktorý bol vytvorený. V prípadoch, keď sa prepojenie vytvorilo s cieľom posilniť transparentnosť informácií pre podniky na vnútornom trhu (BRIS, IRI), je systém verejne prístupný. Keď je cieľom prepojenia zlepšenie cezhraničnej spolupráce medzi príslušnými orgánmi na účely presadzovania práva alebo verejnej správy, ako je to v prípade ECRIS alebo prümskej služby v rámci systému EUCARIS 22 , prístup je obmedzený.

Funkcia „vyhľadať spoločnosť“ systému BRIS je na portáli elektronickej justície dostupná pre každého, ale infraštruktúra pre posielanie správ sa v súčasnosti na základe právnych predpisov obmedzuje na vnútroštátne obchodné registre. Pokiaľ ide o systém IRI, informácie dostupné prostredníctvom vyhľadávacieho rozhrania sú verejne prístupné a členské štáty majú možnosť obmedziť prístup žiadateľov s legitímnym záujmom len v kontexte „spotrebiteľských konkurzných konaní“. Systém ECRIS je prístupný len pre určené ústredné orgány členských štátov. Podobne sa prístup k službám systému EUCARIS poskytuje verejným orgánom prostredníctvom určených národných kontaktných miest. V prípade systému EBOCS sa prístup obmedzuje na zapojené agentúry pre boj proti trestnej činnosti.

Tabuľka 1: Dostupnosť systému zameraného na používateľa v interakcii s prepojeným systémom IT

V súlade so smernicou o boji proti praniu špinavých peňazí je cieľom centralizovaných mechanizmov týkajúcich sa bankových účtov zlepšiť boj proti praniu špinavých peňazí a financovaniu terorizmu, pričom prístup k nim sa obmedzuje na určité verejné orgány. V smernici o uľahčovaní prístupu k finančným a iným informáciám sa rozširuje účel využívania informácií v centrálnych mechanizmoch na závažné trestné činy a prístupové práva sa poskytujú určeným príslušným orgánom. A napokon rozsah domácich orgánov, ktoré majú priamy prístup k vnútroštátnym registrom, určujú členské štáty, ktoré tieto registre prevádzkujú. To môže viesť k nezrovnalostiam, keďže určité druhy orgánov môžu v jednom členskom štáte získať prístup, ale v druhom nie. Pri cezhraničnej výmene prostredníctvom systému prepojenia v rámci celej EÚ by to mohlo viesť k situácii, keď nejaký orgán žiada o informácie z registra iného členského štátu, v ktorom má podobný orgán vyhľadávanie zakázané.

Jednou možnosťou riešenia by mohlo byť, že tým istým orgánom, ktorým bude poskytnutý priamy prístup k centralizovaným mechanizmom v súlade so smernicou o boji proti praniu špinavých peňazí a smernicou o uľahčovaní prístupu k finančným a iným informáciám, sa poskytne prístup k prepájacej platforme. Ďalšou možnosťou by bolo, že práva na prístup k systému prepojenia sa poskytnú rovnakým typom orgánov vo všetkých členských štátoch, čo by sa dalo dosiahnuť harmonizovaným a uzavretým zoznamom na úrovni EÚ s typmi orgánov špecifikovanými v súlade s účelom prístupu k informáciám.

V prípade, že by sa prepojenie rozšírilo na všetky orgány, ktorým je v súčasnosti poskytnutý prístup na základe vnútroštátnych právnych predpisov, by boli potrebné podrobné ustanovenia týkajúce sa podmienok prístupu a vyhľadávania pre príslušné vnútroštátne orgány. V tomto zmysle je dôležité zdôrazniť, že v smernici o využívaní finančných a iných informácií sa pre príslušné orgány určené na vnútroštátnej úrovni stanovujú prísne podmienky prístupu k informáciám o bankových účtoch obsiahnutých v centralizovaných automatizovaných mechanizmoch a ich vyhľadávania. Medzi tieto podmienky patrí napríklad poskytovanie prístupu k registrom a systémom vyhľadávania údajov len osobitne určeným a povereným osobám z jednotlivých príslušných orgánov. Ďalším opatrením na zmiernenie rizík, ktoré predstavuje rozšírenie prístupových práv pre určené vnútroštátne orgány, by mohlo byť obmedzenie rozsahu dostupných informácií v systéme prepojenia na minimálny súbor informácií týkajúcich sa profilu účtu, ako sa stanovuje v článku 32a ods. 3 smernice o boji proti praniu špinavých peňazí.

Pokiaľ ide o tento rozsah, v článku 32a ods. 3 smernice o boji proti praniu špinavých peňazí sa stanovujú informácie, ktoré musia obsahovať všetky centralizované systémy, a to informácie o držiteľovi účtu, bankových účtoch identifikovaných číslom IBAN a bezpečnostných schránkach vedených úverovou inštitúciou na území štátu. V článku 32a ods. 4 smernice sa však stanovuje možnosť, aby členské štáty do registrov zahrnuli ďalšie informácie, ktoré sa považujú za zásadné pre to, aby si finančné spravodajské jednotky a príslušné orgány mohli plniť svoje povinnosti vyplývajúce zo smernice. Z hľadiska ochrany osobných údajov sa zdá potrebné obmedziť rozsah informácií dostupných prostredníctvom prepájacej platformy na minimálny povinný súbor informácií vymedzených v článku 32a ods. 3 smernice o boji proti praniu špinavých peňazí. V súlade s pravidlami ochrany údajov by mal byť prístup k osobným údajom primeraný tomu, čo je potrebné na dosiahnutie cieľov stanovených v smernici o boji proti praniu špinavých peňazí. Podobný prístup sa uplatňuje v smernici o využívaní finančných a iných informácií. V článku 4 ods. 2 uvedenej smernice sa ozrejmuje, že ďalšie informácie, ktoré členské štáty zahrnú do centralizovaných mechanizmov, nie sú pre príslušné orgány prístupné a tieto orgány ich nemôžu vyhľadávať.

3.2.Funkcia vyhľadávania

Uplatniteľné kritériá vyhľadávania majú kľúčový význam, aby sa zabezpečilo, že prepojenie automatizovaných centralizovaných mechanizmov bude mať pre používateľov pridanú hodnotu. Kritériá vyhľadávania by sa mali navrhnúť spôsobom, ktorý posilní schopnosť príslušných orgánov efektívnejšie vykonávať svoje úlohy a viesť vyšetrovania, pričom sa zabezpečí proporcionalita a splnenie uplatniteľných požiadaviek v oblasti ochrany údajov.

Malo by sa zvážiť, kto bude mať právo vykonávať vyhľadávanie (súkromné strany alebo verejné strany) a pri ktorých údajoch možno alebo nemožno očakávať, že ich bude osoba vykonávajúca vyhľadávanie poznať. Uloženie požiadavky, aby vyhľadávanie zahŕňalo údaje, pri ktorých je nepravdepodobné, že sú osobe vykonávajúcej vyhľadávanie známe, môže skomplikovať alebo znemožniť účinné vyhľadávanie. Treba poznamenať aj, že sa vyskytujú prípady, keď finančná spravodajská jednotka alebo orgán presadzovania práva z jedného členského štátu nebudú poznať dátum narodenia alebo národné identifikačné číslo občana iného členského štátu. Pokiaľ sa prepojenie sprístupní pre takéto dodatočné informácie v centralizovaných systémoch, bude dôležité určiť, či bude takisto možné vykonávať vyhľadávanie na základe takýchto dodatočných informácií.

Ako kritériá vyhľadávania by sa mohli navrhnúť typy informácií tvoriace harmonizovaný minimálny súbor informácií uvedené v článku 32a ods. 3 smernice o boji proti praniu špinavých peňazí. Tak by bol systém prepojenia vhodný na pôvodné účely centralizovaných mechanizmov. Budú potrebné ďalšie bezpečnostné záruky pri umožnení overenia výsledkov vyhľadávania (najmä v prípadoch, keď má vyhľadávanie viacero výsledkov).

Pre efektívnosť využívania prepojených databáz majú rozhodujúci význam podmienky týkajúce sa použiteľných možností vyhľadávania. Možnosť vykonávať „približné vyhľadávanie“, t. j. vyhľadávanie, ktoré prinesie rozsiahlejšie výsledky, a to aj v prípade, že je v slove preklep alebo je neúplné, rozšíri škálu nájdených výsledkov, čím sa zvýši pravdepodobnosť prístupu k požadovanej informácií na základe vyhľadávania, ale môže vzbudiť obavy v oblasti ochrany údajov, keďže môže viesť k odhaleniu osobných údajov, ktorých sa vyhľadávanie v skutočnosti netýkalo. Požiadavka „presnej zhody“ naopak zmierňuje riziko zbytočného odhalenia osobných údajov, ale zvýši pravdepodobnosť, že vyhľadávač prehliadne požadovanú informáciu (v prípade rozdielneho písania vstupného údaju alebo pri použití rôznych pravidiel transliterácie).

Možnosťou vykonávať „približné vyhľadávanie“ by sa znížilo využívanie automatických overovacích postupov, a tým by sa zabránilo chybným výsledkom alebo by sa znížil ich objem, ale takisto by sa znížila operačná hodnota systému. V prípade použitia „približného vyhľadávania“ by sa mali zvážiť ďalšie nástroje na zmiernenie rizika nenáležite širokého vyhľadávania, napríklad ako v systéme IRI, kde existuje obmedzenie maximálneho počtu zobrazených výsledkov.

3.3.Štruktúra riadenia, zodpovednosť za údržbu

V prípade systémov BRIS, IRI, LRI a ECRIS sú za údržbu systému IT zodpovedné rôzne útvary Európskej komisie, t. j. musia zabezpečiť dostupnosť prepájacej zložky a niesť náklady na jej zriadenie a údržbu. Za údržbu systému e-CODEX v súčasnosti zodpovedá konzorcium členských štátov (zložka NPE elektronické doručovanie patrí do právomoci Európskej komisie). V prípade systému EUCARIS nesie zodpovednosť 28 členských štátov a zúčastnené tretie štáty, kým systém EBOCS je vo vlastníctve Európskeho združenia obchodných registrov (EBRA). Keďže tieto systémy IT prepájajú vnútroštátne databázy, za údržbu týchto vnútroštátnych databáz a zabezpečenie ich dostupnosti sú zodpovedné členské štáty.

Pokiaľ ide o štruktúru riadenia systému prepojenia databáz, rozhodovacie právomoci v otázkach politiky a prevádzky by mali byť postavené tak, aby slúžili záujmom vnútroštátnych zložiek.

V rámci systému BRIS pôsobí riadiaci výbor BRIS ako interné fórum Komisie pre rozhodnutia v oblasti politiky, dohľadu a správy systému BRIS, kým expertná skupina pre právo obchodných spoločností – obchodné registre (CLEG-BRIS) pôsobí ako fórum pre spoluprácu v oblasti politiky medzi zapojenými aktérmi. Podobné rozdelenie medzi tvorbou politiky a prevádzkovými štruktúrami možno vidieť, aj pokiaľ ide o EUCARIS, v prípade ktorého valné zhromaždenie pozostávajúce z vysokých predstaviteľov vládnych agentúr určuje politiku, ktorá sa má sledovať, schvaľuje rozpočet a ročné príspevky a vytvára podmienky pre správu systému.

3.4.Prevádzkovanie údajov

Zodpovednosť za údržbu systému IT je oddelená od otázky zodpovednosti z hľadiska ochrany údajov. Podľa všeobecného nariadenia o ochrane údajov 24 je prevádzkovateľ fyzická alebo právnická osoba, ktorá sama alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov a ktorá nesie zodpovednosť za spracúvanie osobných údajov. Otázka prevádzkovania je zložitá a prevádzkovateľ má na posúdenie mnoho relevantných faktorov vrátane otázky, kto a kde ukladá údaje, a ďalších aspektov).

Pokiaľ ide o systém IRI, platforma EÚ prepája len decentralizované vnútroštátne databázy a všetky údaje zobrazené na centrálnej platforme sú len „dočasné súbory“, neukladajú sa v zložke EÚ a logy z vyhľadávaní, ktoré vykonávajú používatelia prostredníctvom webovej služby, sa v centre nezaznamenávajú ani neuchovávajú. Situácia sa trochu líši, pokiaľ ide o systém BRIS, v rámci ktorého sa zaviedla osobitná funkcia ukladania základných profilových údajov o podnikoch v centrálnej zložke na úrovni Komisie, ktoré vnútroštátne registre v pravidelných intervaloch aktualizujú. Počiatočné vyhľadávanie sa vykonáva v tejto centrálnej databáze a jeho výsledkom je zoznam nájdených výsledkov s názvami subjektov. Žiadateľ môže získať podrobné údaje o konkrétnom subjekte tým, že si vyberie názov tohto subjektu zo zoznamu výsledkov, a tento úkon vedie k priamemu prepojeniu na informácie vo vnútroštátnej databáze.

Pokiaľ ide o možné prepojenie centralizovaných mechanizmov, mal by sa zvážiť vývoj systému IT, v rámci ktorého sa v centrálnej smerovacej zložke neukladajú žiadne osobné údaje a v ktorom sa všetky rozhodnutia o prostriedkoch a účeloch spracúvania údajov prijímajú na vnútroštátnej úrovni. Cieľom prepájacej služby by jednoducho bolo uľahčiť spracúvanie údajov v mene centralizovaných mechanizmov, ktoré by zostali prevádzkovateľmi príslušných súborov údajov.

3.5.Náklady na zriadenie a údržbu

Vytvorenie systému prepájajúceho vnútroštátne centrálne mechanizmy vedie k vzniku nákladov, a to pokiaľ ide o zriadenie, ako aj údržbu systému, pričom tieto náklady sa musia rozdeliť medzi EÚ a jej členské štáty. Pri pohľade na rozdelenie nákladov v modelových príkladoch badať pravidlo, že náklady súvisiace so zložkou EÚ (centrálna smerovacia zložka, platforma EÚ) sa financovali zo všeobecného rozpočtu EÚ, kým členské štáty znášali náklady potrebné na úpravu svojich vnútroštátnych systémov tak, aby boli interoperabilné so systémom prepojenia EÚ. V prípade systému BRIS si vývoj prvej verzie, ktorá bola spustená v júni 2017 a ktorá zahŕňala európsku centrálnu platformu, vyžiadal približne 1,7 milióna EUR. Pokiaľ ide o systém IRI, ktorý má jednoduchšiu architektúru, dosiahli náklady na vývoj centrálneho vyhľadávacieho pilotného systému (IRI 1.0) približne 280 000 EUR, pričom prispôsobenie centrálnej vyhľadávacej aplikácie na účely zriadenia IRI 2.0 bude stáť približne 170 000 EUR. Pokiaľ ide o ECRIS, celkové náklady na zavedenie „referenčnej implementácie“, čo je softvér na výmenu údajov týkajúcich sa registrov trestov medzi členskými štátmi, dosiahli 2 050 000 EUR. Ročné náklady na údržbu systému dosiahli 150 000 EUR. Pokiaľ ide o EUCARIS, na účely údržby sa od všetkých zapojených krajín požaduje všeobecný poplatok vo výške 20 000 EUR.

Z uvedených údajov vyplýva, že náklady na zriadenie a údržbu systému prepojenia v rámci celej EÚ sú relatívne nízke v porovnaní s výhodami, ktoré takýto projekt EÚ prináša. Nákladová efektívnosť by sa mohla zlepšiť opätovným využitím existujúcich kapacít (napríklad prístupové body elektronického doručovania, základné prvky Nástroja na prepájanie Európy, základná terminológia Generálneho riaditeľstva Európskej komisie pre informatiku atď.).

4.Technické špecifikácie systémov vrátane bezpečnosti údajov

4.1.Použitá sieť a bezpečnosť údajov

Prümská služba v rámci systému EUCARIS a ECRIS využívajú transeurópske telematické služby pre administratívne orgány (TESTA), čo je súkromná sieť, ktorá je úplne oddelená od verejného internetu. Určené vnútroštátne kontaktné miesta majú k tejto súkromnej sieti prístup. Službu siete TESTA prevádzkuje Komisia a sieť poskytuje zaručený výkon a vysoký stupeň bezpečnosti. Pokiaľ ide o EUCARIS, je možné použitie prostredníctvom verejného internetu, ale v súčasnosti sa nevyužíva. Je prepojený so všetkými inštitúciami EÚ a vnútroštátnymi sieťami a uprednostňuje sa v kontexte spolupráce pri presadzovaní práva, ktorá zahŕňa citlivé informácie. Inštitúcie EÚ vyvinuli aj ďalšie bezpečné siete, napríklad spoločnú komunikačnú sieť/spoločné systémové rozhranie (CCN/CSI), ktorá sa využíva v oblasti colnej politiky a daní.

Systémy BRIS, IRI, LRI a EBOCS využívajú verejný internet (s vhodnou šifrovacou technológiou pre údaje prechádzajúce webovou sieťou). Pokiaľ ide o bezpečnú výmenu informácií cez verejný internet, základný prvok elektronického doručovania umožňuje podnikom a orgánom verejnej správy vymieňať si s inými organizáciami elektronické údaje a dokumenty v digitálnom formáte interoperabilným, bezpečným, spoľahlivým a dôveryhodným spôsobom. Je to v súlade s vymedzením elektronických doručovacích služieb pre registrované zásielky (známe ako „ERDS“) v článku 3 ods. 36 nariadenia eIDAS 25 .

Na možné prepojenie centralizovaných systémov, ktoré pravdepodobne zahŕňa citlivé informácie, by sa mohlo počítať s využitím siete TESTA. Mohli by sa však zvážiť aj riešenia zahŕňajúce verejný internet. Verejný internet využívajú takmer všetky vnútroštátne centralizované systémy. Z hľadiska bezpečnosti a integrity údajov zníži možné riziká skutočnosť, že systém budú tvoriť decentralizované databázy, keďže decentralizácia a distribuované technológie sú samy o sebe odolnejšie voči kybernetickým útokom, keďže je oveľa zložitejšie poškodiť údaje v širokom meradle a oveľa jednoduchšie získať späť údaje po takýchto incidentoch.

4.2.Centrálna smerovacia zložka

Existujú dva hlavné typy architektúry systémov IT, t. j. čisto decentralizované systémy a systémy, ktoré majú centrálnu platformu alebo smerovaciu zložku zavedenú na úrovni EÚ, ktoré slúžia ako „konektor“ medzi decentralizovanými vnútroštátnymi databázami.

V „čisto distribuovaných systémoch“ neexistuje žiadna platforma ani zložka na úrovni EÚ, ale všetky krajiny komunikujú priamo medzi sebou za pomoci spoločne dohodnutých noriem, ktoré umožňujú priame partnerské výmeny medzi prepojenými bodmi členských štátov. Keď sa tak zadá dopyt po informácii, individuálne sa rozpošle do všetkých ďalších vnútroštátnych systémov a získané odpovede sa zhromažďujú a zobrazujú prostredníctvom webového klientského rozhrania žiadateľa. Systémy EUCARIS, ECRIS a e-CODEX využívajú túto technológiu (pričom sa opierajú o spoločne vyvinutú aplikáciu).

V „distribuovaných systémoch s centrálnou smerovacou zložkou“ existuje centralizovaná platforma na úrovni EÚ: jednotná centrálna webová služba, ktorá sa udržiava a prevádzkuje na úrovni EÚ a ktorá je prepojená so všetkými vnútroštátnymi systémami. Používatelia vyhľadávajú prostredníctvom centrálnej webovej služby, ktorá zhromažďuje informácie z vnútroštátnych databáz. Túto technológiu využívajú systémy BRIS, EBOCS a IRI 26 .

Riešenie s centrálnou smerovacou zložkou môže byť jednoduchšie na zavedenie z hľadiska prepojiteľnosti. Keď existuje jedna platforma, každý členský štát musí vytvoriť a udržiavať len jedno prepojenie medzi vnútroštátnym systémom a touto centralizovanou platformou. Pri absencii „skutočnej“ centralizovanej platformy však každý členský štát bude musieť vytvoriť, odskúšať a udržiavať prepojenie so všetkými ďalšími vnútroštátnymi systémami členských štátov (napr. prümská služba v rámci systému EUCARIS v súčasnosti zahŕňa takmer 756 prepojení). Čisto distribuovaný systém sa musí vyrovnať s výzvou vyššieho počtu prepojení, čo môže zvýšiť problémy, pokiaľ ide o správu, kontrolu a audit. Existujú však technologické riešenia problému správy vysokého počtu možných prepojení. Zároveň však treba náležite zvážiť skutočnosť, že pri systéme centrálneho smerovania sa môže centrálna zložka stať jediným bodom zlyhania celého systému.

4.3.Protokol výmeny údajov

Systémy BRIS a e-CODEX využívajú riešenie elektronického poskytovania NPE, kým IRI 2.0 bude využívať elektronické doručovanie NPE, ako aj komunikáciu vo formáte SOAP 27 . Prümská služba v rámci systému EUCARIS a EBOCS využívajú rozhrania založené na SOAP. Systém LRI využíva webové služby RESTful Web Services 28 .

Základný prvok NPE elektronické doručovanie pomáha používateľom navzájom si vymieňať elektronické údaje bezpečným, spoľahlivým a dôveryhodným spôsobom. Riešenie elektronického doručovania NPE je založené na distribuovanom modeli nazývanom „štvoruholníkový model“, v ktorom si backendové systémy používateľov nevymieňajú údaje priamo medzi sebou, ale prostredníctvom prístupových bodov. Tieto prístupové body majú rovnaké technické špecifikácie, a preto sú schopné medzi sebou komunikovať. Ďalšou výhodou elektronického doručovania je, že sa stará o bezpečnosť údajov vymieňaných medzi rôznymi prístupovými bodmi, a to bez potreby osobitného vývoja. V dôsledku toho si môžu používatelia, ktorí zavedú elektronické doručovanie NPE, jednoducho a bezpečne vymieňať údaje, a to aj v prípade, že ich IT systémy boli vyvinuté nezávisle od seba. Model elektronického doručovania – veľmi užitočný pri prepojení s viacerými backendovými systémami – má viacero funkcií, ktoré možno aj centralizovať. Pri využití tohto technologického riešenia budú členské štáty (prípadne Komisia v prípade centrálnej smerovacej zložky) musieť zaviesť portál elektronického doručovania na svojich príslušných úrovniach. Môžu nanovo využiť svoje existujúce brány vytvorené pre iné služby (čo prispeje k nákladovej efektívnosti tohto riešenia). K dispozícii je kompatibilné softvérové riešenie, ktoré vyvinulo Generálne riaditeľstvo Európskej komisie pre informatiku a ktoré sa poskytuje bezplatne na základe verejnej licencie Európskej únie. Väčšinou je však potrebné určité prispôsobenie a vývoj. V modeli elektronického doručovania sa uplatňuje asynchronická komunikácia, čo implicitne vedie k určitým oneskoreniam výkonu (typicky 3 – 10 sekúnd). Pokiaľ ide o základné prvky NPE, existuje všeobecná politika EÚ, ktorej cieľom je zblíženie rôznych systémov vyvinutých v rámci rôznych oblastí politiky EÚ.

V prípadoch, keď sa používa synchronizovaný protokol SOAP, ktorý umožňuje komunikáciu cez bezpečnú vrstvu, sa najčastejšie vyberie jednoduchá architektúra s cieľom čo najlepšieho výkonu. Štýl architektúry využívajúci službu RESTful prestavuje novšie riešenie v porovnaní so SOAP a vzniká trend nahrádzania SOAP technológiou REST. V prípade elektronického doručovania aj prístupov založených na technológiách SOAP alebo REST sa dôveryhodnosť zvyčajne zakladá na digitálnych certifikátoch, pričom sa vykonávajú viaceré kontroly.

Pokiaľ ide o budúce prepojenie centralizovaných mechanizmov, treba poznamenať, že v rámci NPE sa elektronické doručovanie využíva, keď sa uskutočňujú dvojstranné výmeny medzi decentralizovanými vnútroštátnymi databázami, kým v systémoch, kde sa komunikácia uskutočňuje len medzi vnútroštátnou databázou a centrálnou platformou, postačuje rozhranie založené na technológii SOAP (alebo RESTful).

4.4.Práca vo viacjazyčnom prostredí a sémantická interoperabilita

Všetky posudzované systémy pracujú vo viacjazyčnom prostredí s výnimkou EBOCS, ktorý v súčasnosti funguje v troch jazykoch, pričom sa v dlhodobom horizonte plánuje prevádzka vo všetkých jazykoch. V systéme BRIS sa transliterácia vykonáva na úrovni EÚ, kým v systémoch IRI, LRI a EUCARIS na vnútroštátnej úrovni. Pokiaľ ide o sémantickú interoperabilitu (slovníky), budúce prepojenie centralizovaných mechanizmov si nevyžaduje osobitnú terminológiu, keďže minimálny súbor informácií netvoria vnútroštátne koncepcie, ale osobné údaje, ako je meno, jedinečný identifikátor (napr. národné identifikačné čísla) a číslo IBAN. Rovnaké chápanie vo všetkých vnútroštátnych systémoch je dôležité najmä preto, že vnútroštátne centralizované mechanizmy nemajú informácie o subjektoch EÚ a tretích krajín. V tomto kontexte by ako užitočný príklad mohli poslúžiť transliteračné pravidlá Schengenského informačného systému (SIS).

Podľa európskeho rámca interoperability sémantický aspekt odkazuje na zmysel prvkov údajov a ich vzájomný vzťah. Zahŕňa vypracúvanie terminológií a schém na opis výmen údajov a zabezpečuje, že všetky komunikujúce strany rozumejú jednotlivým prvkom údajov rovnakým spôsobom.

V systéme prepojených bankových registrov sa budú musieť vymieňať údaje medzi rôznymi databázami, z ktorých každá má vlastný model údajov a sémantické normy. Bude potrebné vytvoriť spoločný sémantický model, a to buď prvotne v systémoch, alebo ako mapovaciu vrstvu medzi rôznymi normami v členských štátoch. Pred vytvorením akejkoľvek novej sémantickej normy však treba zvážiť opätovné použitie existujúcich noriem.

Základné terminológie (podnik, miesto, osoba, ako aj iné), ktoré boli vytvorené programom ISA2, sú zjednodušené, opätovne použiteľné a rozšíriteľné modely údajov, ktoré možno využiť na tento účel. Rôzne riešenia na prepojenie základných registrov, napríklad BRIS, už tieto normy opätovne využívajú (napríklad základnú terminológiu v oblasti podnikania).

5.Ďalšie kroky

V tejto správe sa uvádza viacero prvkov, ktoré treba zvážiť pri možnom prepojení registrov bankových účtov a systémov vyhľadávania údajov, a ukazuje sa, že prepojenie týchto centralizovaných mechanizmov je technicky uskutočniteľné. Takýto systém by mohol byť decentralizovaným systémom so spoločnou platformou na úrovni EÚ. Mohla by sa využiť technológia, ktorú už vyvinula Európska komisia v kontexte viacerých analyzovaných modelov.

V uplynulých rokoch sa v rôznych systémoch uplatňovalo opätovné využitie spoločných základných prvkov. Tieto základné prvky sú v podstate súborom dobre známych noriem a technických špecifikácií, ktoré sa dajú uplatniť na znovu sa objavujúce výzvy, ako je napríklad bezpečná výmena informácií. Konzistentné využívanie týchto základných prvkov predstavuje prístup zastávaný v súčasnej digitálnej politike Komisie, ku ktorej sa členské štáty zaviazali v Tallinskom vyhlásení o elektronickej verejnej správe 29 . Pri budúcom prepojení vnútroštátnych centralizovaných automatizovaných mechanizmov by sa mohli tieto základné prvky využiť na zrýchlenie jeho vytvorenia a zosúladenie s príslušnými nariadeniami EÚ, ako je napríklad nariadenie eIDAS.

Vzhľadom na to, že budúce prepojenie centralizovaných mechanizmov na úrovni celej EÚ by zrýchlilo prístup k finančným informáciám a uľahčilo cezhraničnú spoluprácu príslušných orgánov, Komisia zamýšľa viesť ďalšie konzultácie s príslušnými zainteresovanými stranami, vládami, ako aj finančnými spravodajskými jednotkami, orgánmi presadzovania práva a úradmi pre vyhľadávanie majetku, ako s možnými „koncovými používateľmi“ prípadného systému prepojenia.

(1)

     Smernica Európskeho parlamentu a Rady (EÚ) 2015/849 z 20. mája 2015 o predchádzaní využívaniu finančného systému na účely prania špinavých peňazí alebo financovania terorizmu, ktorou sa mení nariadenie Európskeho parlamentu a Rady (EÚ) č. 648/2012 a zrušuje smernica Európskeho parlamentu a Rady 2005/60/ES a smernica Komisie 2006/70/ES (Ú. v. EÚ L 0849, 9.7.2018, s. 1).

(2)

     Smernica Európskeho parlamentu a Rady (EÚ) 2019/1153 z 20. júna 2019, ktorou sa stanovujú pravidlá uľahčovania využívania finančných a iných informácií na predchádzanie určitým trestným činom, ich odhaľovanie, vyšetrovanie alebo stíhanie (Ú. v. EÚ L 186, 11.7.2019, s. 122 – 137).

(3)

     Správa Komisie Európskemu parlamentu a Rade o posudzovaní rizík spojených s praním špinavých peňazí a financovaním terorizmu, ktoré majú vplyv na vnútorný trh a súvisia s cezhraničnou činnosťou – COM(2019) 370.

(4)

     Správa Komisie Európskemu parlamentu a Rade, v ktorej sa posudzuje rámec pre spoluprácu medzi finančnými spravodajskými jednotkami – COM(2019) 371.

(5)

     Správa Komisie Európskemu parlamentu a Rade o posúdení nedávnych prípadov údajného prania špinavých peňazí so zapojením úverových inštitúcií EÚ – COM(2019) 373.

(6)

     Informácie v tomto oddiele sa zakladajú na odpovediach členských štátov na osobitný dotazník, ktorý im bol poslaný v marci 2019, na informáciách získaných v rámci seminára o transpozícii, ktorý zorganizovala Komisia 1. apríla 2019, a na prílohe 7 k posúdeniu vplyvu, ktoré je sprievodným dokumentom k návrhu smernice Európskeho parlamentu a Rady, ktorou sa stanovujú pravidlá uľahčovania využívania finančných a iných informácií na predchádzanie určitým trestným činom, ich odhaľovanie, vyšetrovanie alebo stíhanie a ktorou sa zrušuje rozhodnutie Rady 2000/642/SVV [SWD(2018) 114 final].

(7)

     Belgicko, Bulharsko, Česko, Nemecko, Grécko, Španielsko, Francúzsko, Chorvátsko, Taliansko, Lotyšsko, Litva, Rakúsko, Portugalsko, Rumunsko, Slovinsko. Slovensko má centralizovaný elektronický systém vyhľadávania údajov, ku ktorému však majú v súčasnosti prístup len súdni úradníci.

(8)

     Fínsko sa započítava do oboch skupín, keďže sa chystá zaviesť systém, v ktorom sa využívajú obe riešenia. V centrálnom registri sa zbierajú a uchovávajú príslušné informácie do jednej centrálnej databázy, kým centrálny elektronický systém vyhľadávania údajov pozostáva z centrálneho IT portálu, v rámci ktorého sa vyhľadávajú informácie z rôznych východiskových databáz (ktoré spravujú napr. finančné inštitúcie).

(9)

     Z odpovedí získaných od členských štátov vyplýva, že takéto dodatočné informácie by mohli zahŕňať informácie o finančných zmluvách, ktoré uzatvoril majiteľ účtu, alebo o transakciách, ku ktorým došlo v súvislosti s účtom.

(10)

     Centralizované systémy IT s jednotnou databázou na úrovni EÚ, ako sú Schengenský informačný systém alebo vízový informačný systém, sú z posúdenia vylúčené, keďže tieto systémy sú nezlučiteľné s predchádzajúcou existenciou vnútroštátne centralizovaných databáz.

(11)

     Rámcové rozhodnutie Rady 2009/315/SVV z 26. februára 2009 o organizácii a obsahu výmeny informácií z registra trestov medzi členskými štátmi a rozhodnutie Rady 2009/316/SVV zo 6. apríla 2009 o zriadení Európskeho informačného systému registrov trestov (ECRIS) podľa článku 11 rámcového rozhodnutia 2009/315/SVV – v súčasnosti zmenené smernicou Európskeho parlamentu a Rady (EÚ) 2019/884 zo 17. apríla 2019, pokiaľ ide o výmenu informácií o štátnych príslušníkoch tretích krajín a pokiaľ ide o Európsky informačný systém registrov trestov (ECRIS).

(12)

     V apríli 2019 bol prijatý nový legislatívny rámec s cieľom doplniť ECRIS o mechanizmus, ktorý bude umožňovať účinnú výmenu informácií o záznamoch v registri trestov štátnych príslušníkov tretích krajín odsúdených na území EÚ. Európsky informačný systém registrov trestov týkajúcich sa štátnych príslušníkov tretích krajín (ECRIS-TCN) bude centralizovaný systém založený na pozitívnej/negatívnej lustrácii, ktorý bude obsahovať len informácie o identite odsúdeného štátneho príslušníka tretej krajiny a informáciu o členskom štáte, kde bol v minulosti odsúdený. Pri pozitívnej lustrácii bude musieť žiadajúci členský štát prostredníctvom existujúceho ECRIS požiadať o informácie o odsúdení z členského štátu/štátov uvedených v systéme ECRIS-TCN.

(13)

     Právnym základom prümskej služby je –rozhodnutie Rady 2008/615/SSV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, a rozhodnutie Rady 2008/616/SSV o vykonávaní rozhodnutia 2008/615/SSV.

(14)

    https://beta.e-justice.europa.eu/246/EN/bankruptcy_amp_insolvency_registers__search_for_insolvent_firms_in_the_eu

(15)

     Pilotný projekt sa zaviedol a ďalej vykonával na základe viacročného akčného plánu na roky 2009 – 2013 týkajúceho sa elektronickej justície, Ú. v. EÚ C 75, 31.3.2009, s. 1 – 12, a viacročného akčného plánu na roky 2014 – 2018 týkajúceho sa elektronickej justície, Ú. v. EÚ C 182, 14.6.2014, s. 2 – 13.

(16)

     V súčasnosti sú do nej zapojené Česko, Nemecko, Estónsko, Taliansko, Lotyšsko, Holandsko, Rakúsko, Rumunsko a Slovinsko.

(17)

      https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/eDelivery

(18)

     Smernica Európskeho parlamentu a Rady 2012/17/EÚ z 13. júna 2012, ktorou sa mení a dopĺňa smernica Rady 89/666/EHS a smernice Európskeho parlamentu a Rady 2005/56/ES a 2009/101/ES, pokiaľ ide o prepojenie centrálnych registrov, obchodných registrov a registrov spoločností (Ú. v. EÚ L 156, 16.6.2012).

(19)

     Pre toto prepojenie neexistuje žiadny právny základ, ale bude fungovať ako dobrovoľný systém, ku ktorému sa členské štáty môžu rozhodnúť pripojiť.

(20)

     Systém e-CODEX sa skladá z balíka softvérových produktov (elektronické doručovanie NPE a konektor pre e-CODEX), ktoré možno využiť na vytvorenie prístupového bodu na vnútroštátnej úrovni na účely bezpečnej komunikácie. Nejde o systém prepájajúci vnútroštátne databázy alebo registre, ale o komunikačnú infraštruktúru na zaistenie bezpečnej komunikácie a výmeny informácií medzi vnútroštátnymi systémami IT, a ako taký sa považuje za relevantný na posúdenie v tejto správe. Systém e-CODEX v rokoch 2010 – 2016 vyvinulo 21 členských štátov so zapojením ďalších krajín/území a organizácií.

(21)

     Vytvorený na základe záverov Rady o zlepšení trestnej justície v kybernetickom priestore z 9. júna 2016.

(22)

     Hoci k systému EUCARIS má umožnený prístup viacero orgánov, prümská služba v rámci systému EUCARIS má regulovaný prístup pre orgány presadzovania práva.

(23)

*     zatiaľ mimo prevádzky

(24)

     Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016).

(25)

     Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES, Ú. v. EÚ L 257, 28.8.2014, s. 73 – 114.

(26)

     Centrálna zložka má alternatívy. Napríklad služba elektronického doručovania NPE Service Metadata Publisher (SMP) umožňuje účastníkom infraštruktúry posielania správ navzájom dynamicky objavovať svoje kapacity (právne, organizačné a technické). Z dôvodu tejto distribuovanej architektúry musí mať každý účastník jedinečný identifikátor. Centrálna zložka, ktorá sa nazýva Service Metadata Locator (SML) využíva tieto identifikátory na vytvorenie URL, ktoré po analýze nasmerujú prístupové body elektronického poskytovania k špecifickým informáciám o účastníkovi.

(27)

     Simple Object Access Protocol.

(28)

     Representational State Transfer je štýl softvérovej architektúry, ktorý vymedzuje súbor obmedzení, ktoré sa využívajú pri tvorbe webových služieb.

(29)

     Všetky členské štáty Európskej únie a krajiny EZVO podpísali vyhlásenie o elektronickej verejnej správe 6. októbra 2017 v Talline. Text vyhlásenia je dostupný na http://ec.europa.eu/newsroom/document.cfm?doc_id=47559 .