30.1.2013   

SK

Úradný vestník Európskej únie

C 28/6

Zhrnutie stanoviska európskeho dozorného úradníka pre ochranu údajov k návrhu nariadenia Európskeho parlamentu a Rady, predloženého Komisiou o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (nariadenie o dôveryhodných elektronických službách)

(Úplné znenie tohto stanoviska sa nachádza v anglickom, vo francúzskom a v nemeckom jazyku na webovej stránke európskeho dozorného úradníka pre ochranu údajov http://www.edps.europa.eu)

2013/C 28/04

I.   Úvod

I.1.   Návrh

1.

Dňa 4. júna 2012 Komisia prijala návrh nariadenia Európskeho parlamentu a Rady o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (ďalej len „návrh“) (1), ktorým sa mení a dopĺňa smernica Európskeho parlamentu a Rady 1999/93/ES.

2.

Tento návrh je súčasťou opatrení Komisie s cieľom posilniť zavádzanie elektronických transakcií v Európskej únii. Nadväzuje na opatrenia predpokladané v Digitálnej agende pre Európu (2), týkajúce sa zlepšenia právnych predpisov o elektronických podpisoch (kľúčové opatrenie 3) a poskytnutia jednotného rámca na vzájomné uznávanie elektronickej identifikácie a elektronického overovania (kľúčové opatrenie 16).

3.

Očakáva sa, že návrh posilní dôveru v celoeurópske elektronické transakcie a zabezpečí cezhraničné právne uznávanie elektronickej identifikácie, overovania, podpisov a súvisiacich dôveryhodných služieb na vnútornom trhu a súčasne zaručí aj vysokú úroveň ochrany údajov a posilnenie postavenia používateľov.

4.

Na využívanie systémov elektronickej identifikácie a dôveryhodných služieb je nevyhnutná vysoká úroveň ochrany údajov. Rozvoj a používanie takýchto elektronických prostriedkov sa musí spoliehať na primerané spracovanie osobných údajov poskytovateľmi dôveryhodných služieb a vydavateľmi elektronickej totožnosti. Je to o to dôležitejšie, že od takéhoto spracovania bude okrem iného závisieť čo najspoľahlivejšia identifikácia a overovanie fyzických (alebo právnických) osôb.

I.2.   Konzultácie s európskym dozorným úradníkom pre ochranu údajov

5.

Európsky dozorný úradník pre ochranu údajov mal pred prijatím návrhu príležitosť poskytnúť svoje neformálne pripomienky. V návrhu sa zohľadnilo mnoho z týchto pripomienok. V dôsledku toho sa v návrhu posilnili záruky ochrany údajov.

6.

Európsky dozorný úradník pre ochranu údajov víta skutočnosť, že s ním Komisia viedla konzultácie v súlade s článkom 28 ods. 2 nariadenia (ES) č. 45/2001.

I.3.   Kontext návrhu

7.

Tento návrh je založený na článku 114 Zmluvy o fungovaní Európskej únie a stanovuje podmienky a mechanizmy vzájomného uznávania a akceptovania elektronickej identifikácie a dôveryhodných služieb medzi členskými štátmi. Stanovujú sa v ňom predovšetkým zásady súvisiace s poskytovaním identifikačných a dôveryhodných elektronických služieb vrátane pravidiel vzťahujúcich sa na uznávanie a akceptovanie. Stanovujú sa ním aj požiadavky týkajúce sa vytvárania, potvrdzovania, overovania, spracovávania a uchovávania elektronických podpisov, elektronických pečatí, elektronických časových pečiatok, elektronických dokumentov, elektronických doručovacích služieb, autentifikácie webových lokalít a elektronických certifikátov.

8.

V navrhovanom nariadení sa okrem toho stanovujú pravidlá dohľadu nad poskytovaním dôveryhodných služieb a ukladá sa členským štátom povinnosť vytvoriť na tento účel orgány dohľadu. Tieto orgány budú okrem iného posudzovať súlad technických a organizačných opatrení, ktoré zavedú poskytovatelia dôveryhodných elektronických služieb.

9.

Kapitola II sa zaoberá službami elektronickej identifikácie, kapitola III je venovaná ostatným dôveryhodným elektronickým službám, ako napríklad elektronickým podpisom, pečatiam, časovým pečiatkam, dokumentom, doručovacím službám, certifikátom a autentifikácii webových lokalít. Elektronické identifikačné služby sa týkajú vnútroštátnych identifikačných preukazov a možno ich využívať na prístup k digitálnym službám a predovšetkým k službám elektronickej verejnej správy; to znamená, že subjekt vydávajúci elektronickú identifikáciu koná v mene členského štátu a dotknutý členský štát zodpovedá za správne vytvorenie korelácie medzi konkrétnym jednotlivcom a prostriedkami jeho elektronickej identifikácie. Pokiaľ ide o ostatné dôveryhodné elektronické služby, poskytovateľ/vydavateľ je fyzickou alebo právnickou osobou, ktorá zodpovedá za správne a bezpečné poskytovanie týchto služieb.

I.4.   Otázky ochrany údajov vyplývajúce z návrhu

10.

Spracovanie osobných údajov je podstatnou súčasťou využívania systémov identifikácie a do istej miery aj poskytovania ďalších dôveryhodných služieb (napríklad v prípade elektronických podpisov). Spracovanie osobných údajov sa bude vyžadovať pri vytvorení dôveryhodného prepojenia medzi prostriedkami elektronickej identifikácie a autentifikácie, ktoré využíva fyzická (alebo právnická) osoba, a dotknutou osobou s cieľom osvedčiť, že osoba za elektronickým certifikátom je skutočne tá osoba, za ktorú sa vydáva. Napríklad elektronické identifikácie alebo elektronické certifikáty sa vzťahujú na fyzické osoby a budú obsahovať súbor údajov jednoznačne reprezentujúci týchto jednotlivcov. Inými slovami, vytváranie, potvrdzovanie, overovanie a spracovávanie elektronických prostriedkov podľa článku 3 ods. 12 návrhu bude v mnohých prípadoch zahŕňať spracovanie osobných údajov, a preto je dôležitá ochrana údajov.

11.

Je teda dôležité, aby spracúvanie údajov v súvislosti s poskytovaním systémov elektronickej identifikácie alebo elektronických dôveryhodných služieb vykonávalo sa v súlade s rámcom EÚ na ochranu údajov a predovšetkým s vnútroštátnymi ustanoveniami vykonávajúcimi smernicu 95/46/ES.

12.

Analýza európskeho dozorného úradníka pre ochranu údajov sa v tomto stanovisku sústredí na tri hlavné otázky:

a)

riešenie ochrany údajov v tomto návrhu;

b)

aspekty ochrany údajov v systémoch elektronickej identifikácie, ktoré sa majú cezhranične uznávať a akceptovať;

c)

aspekty ochrany údajov v dôveryhodných elektronických službách, ktoré sa majú cezhranične uznávať a akceptovať.

III.   Závery

50.

Európsky dozorný úradník pre ochranu údajov víta tento návrh, pretože môže prispieť k vzájomnému uznávaniu (a akceptovaniu) dôveryhodných elektronických služieb a systémov identifikácie na európskej úrovni. Takisto víta stanovenie spoločného súboru požiadaviek, ktoré musia splniť vydavatelia prostriedkov elektronickej identifikácie a poskytovatelia dôveryhodných služieb. Napriek svojej celkovej podpore tohto návrhu by európsky dozorný úradník pre ochranu údajov chcel predložiť tieto všeobecné odporúčania:

ustanovenia o ochrane údajov zahrnuté do návrhu by sa nemali obmedzovať len na poskytovateľov dôveryhodných služieb, ale mali by sa uplatňovať aj na spracovanie osobných údajov v systémoch elektronickej identifikácie opísaných v kapitole II návrhu,

navrhované nariadenie by malo stanoviť spoločný súbor bezpečnostných požiadaviek vzťahujúcich sa na poskytovateľov dôveryhodných služieb a vydavateľov elektronickej identifikácie. Malo by tiež Komisii podľa potreby umožniť vymedziť prostredníctvom selektívneho využívania delegovaných aktov alebo vykonávacích opatrení kritériá, podmienky a požiadavky týkajúce sa bezpečnosti dôveryhodných elektronických služieb a systémov identifikácie,

poskytovatelia dôveryhodných elektronických služieb a vydavatelia elektronických systémov identifikácie by mali používateľom svojich služieb poskytnúť: i) primerané informácie o zhromažďovaní, poskytovaní a uchovávaní údajov používateľov, ako aj ii) prostriedky na kontrolu osobných údajov používateľov a na vykonávanie práv ochrany údajov používateľov,

európsky úradník pre ochranu údajov odporúča selektívnejšie do návrhu začleniť ustanovenia oprávňujúce Komisiu špecifikovať alebo vymedzovať konkrétne ustanovenia po prijatí navrhovaného nariadenia prostredníctvom delegovaných alebo vykonávacích aktov.

51.

Takisto by sa mali zlepšiť niektoré osobitné ustanovenia týkajúce sa vzájomného uznávania systémov elektronickej identifikácie:

v navrhovanom nariadení by sa malo spresniť, ktoré údaje alebo kategórie údajov sa budú spracovávať na cezhraničnú identifikáciu jednotlivcov. Toto spresnenie by malo obsahovať minimálne rovnakú úroveň podrobností, aká sa uvádza v prílohách týkajúcich sa ďalších dôveryhodných služieb, a malo by zohľadňovať dodržiavanie zásady proporcionality,

ochranné opatrenia požadované pri poskytovaní systémov identifikácie by mali byť minimálne v súlade s požiadavkami stanovenými pre kvalifikovaných poskytovateľov dôveryhodných služieb,

návrh by mal stanoviť vhodné mechanizmy vytvorenia rámca pre interoperabilitu vnútroštátnych systémov identifikácie.

52.

Európsky dozorný úradník pre ochranu údajov nakoniec takisto navrhuje v súvislosti s požiadavkami týkajúcimi sa poskytovania a uznávania dôveryhodných elektronických služieb tieto odporúčania:

pokiaľ ide o všetky elektronické služby, malo by sa spresniť, či sa budú spracovávať osobné údaje, a v prípade ich spracovávania uviesť údaje alebo kategórie spracovávaných údajov,

v nariadení by sa mali prijať vhodné ochranné opatrenia, aby sa predišlo prekrývaniu kompetencií dozorných orgánov nad dôveryhodnými elektronickými službami a kompetencií orgánov ochrany údajov,

povinnosti uložené poskytovateľom dôveryhodných elektronických služieb v súvislosti s narušením údajov a bezpečnostnými incidentmi by mali byť v súlade s požiadavkami stanovenými v revidovanej smernici o súkromí a elektronických komunikáciách a v navrhovanom nariadení o ochrane údajov,

malo by sa spresniť vymedzenie súkromných alebo verejných subjektov, ktoré sú ako tretie strany oprávnené vykonávať audity podľa článkov 16 a 17 alebo ktoré môžu certifikovať zariadenia na vytvorenie elektronického podpisu podľa článku 23, ako aj kritériá, podľa ktorých sa bude posudzovať nezávislosť týchto subjektov,

v nariadení by sa mala presnejšie stanoviť lehota na uchovávanie údajov uvedených v článku 19 ods. 2 a článku 19 ods. 4 (3).

V Bruseli 27. septembra 2012

Giovanni BUTTARELLI

Asistent európskeho dozorného úradníka pre ochranu údajov

(1)  COM(2012) 238 final.

(2)  KOM(2010) 245 z 19.5.2010.

(3)  Podľa článku 19 ods. 2 písm. g) musia kvalifikovaní poskytovatelia dôveryhodných služieb zaznamenávať počas vhodného obdobia všetky relevantné informácie týkajúce sa údajov, ktoré vydajú a prijmú. Podľa článku 19 ods. 4 kvalifikovaní poskytovatelia dôveryhodných služieb každej strane závislej od certifikátov poskytnú informácie o platnosti alebo zrušení štatútu kvalifikovaných certifikátov, ktoré sami vydali.