This document is an excerpt from the EUR-Lex website
Document 32019R1799
Commission Implementing Regulation (EU) 2019/1799 of 22 October 2019 laying down technical specifications for individual online collection systems pursuant to Regulation (EU) 2019/788 of the European Parliament and of the Council on the European citizens’ initiative
Izvedbena uredba Komisije (EU) 2019/1799 z dne 22. oktobra 2019 o tehničnih specifikacijah za individualne sisteme spletnega zbiranja v skladu z Uredbo (EU) 2019/788 Evropskega parlamenta in Sveta o evropski državljanski pobudi
Izvedbena uredba Komisije (EU) 2019/1799 z dne 22. oktobra 2019 o tehničnih specifikacijah za individualne sisteme spletnega zbiranja v skladu z Uredbo (EU) 2019/788 Evropskega parlamenta in Sveta o evropski državljanski pobudi
C/2019/7454
UL L 274, 28.10.2019, p. 3–8
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
28.10.2019 |
SL |
Uradni list Evropske unije |
L 274/3 |
IZVEDBENA UREDBA KOMISIJE (EU) 2019/1799
z dne 22. oktobra 2019
o tehničnih specifikacijah za individualne sisteme spletnega zbiranja v skladu z Uredbo (EU) 2019/788 Evropskega parlamenta in Sveta o evropski državljanski pobudi
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2019/788 Evropskega parlamenta in Sveta z dne 17. aprila 2019 o evropski državljanski pobudi (1) in zlasti člena 11(5) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Uredba (EU) 2019/788 določa spremenjena pravila o evropski državljanski pobudi in razveljavlja Uredbo (EU) št. 211/2011 Evropskega parlamenta in Sveta (2). |
|
(2) |
Uredba (EU) 2019/788 določa, da morajo organizatorji pri spletnem zbiranju izjav o podpori za prijavljene državljanske pobude uporabiti centralni sistem spletnega zbiranja, ki ga vzpostavi in upravlja Komisija. Vendar lahko organizatorji za lažji prehod za pobude, prijavljene v skladu z Uredbo (EU) 2019/788 do konca leta 2022, uporabijo svoj individualni sistem spletnega zbiranja. |
|
(3) |
V skladu z Uredbo (EU) 2019/788 bi moral imeti individualni sistem, ki se uporablja za spletno zbiranje izjav o podpori, ustrezne tehnične in varnostne značilnosti za zagotovitev, da se ves čas postopka zbiranja zagotovijo varno zbiranje, shranjevanje in prenos podatkov. Komisija bi morala skupaj z državami članicami opredeliti tehnične specifikacije za izvajanje zahtev za individualne sisteme spletnega zbiranja. |
|
(4) |
Pravila iz te uredbe nadomeščajo pravila iz Izvedbene uredbe Komisije (EU) št. 1179/2011 (3), ki bodo zato zastarela. |
|
(5) |
Tehnični in organizacijski ukrepi, ki bi jih bilo treba izvesti, bi morali biti namenjeni preprečevanju kakršne koli nepooblaščene obdelave osebnih podatkov v času oblikovanja sistema in skozi celotno obdobje zbiranja ter zaščiti teh podatkov pred naključnim ali nezakonitim uničenjem ali naključno izgubo, spreminjanjem, nepooblaščenim razkritjem ali dostopom. |
|
(6) |
V ta namen bi morali organizatorji uporabljati ustrezne postopke obvladovanja tveganja, da bi opredelili tveganja za svoje sisteme ter določili ustrezne in sorazmerne protiukrepe za zmanjšanje teh tveganj na sprejemljivo raven. Organizatorji bi morali ustrezno dokumentirati opredeljena tveganja za varnost in varstvo podatkov ter ukrepe, sprejete za obvladovanje teh tveganj, ob upoštevanju varnostnih pravil in zahtev, ki jih uporablja organ za potrjevanje. Varnostna pravila in zahteve bi morali biti v skladu z Uredbo (EU) 2019/788 in organ za potrjevanje bi jih morali dati na voljo na zahtevo. |
|
(7) |
Izvajanje tehničnih specifikacij iz te uredbe ne bi smelo posegati v obveznost organizatorjev, da spoštujejo zahteve glede varstva podatkov, ki izhajajo iz Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (4), vključno z morebitno potrebo po oceni učinka v zvezi z varstvom podatkov. |
|
(8) |
Predstavnik skupine organizatorjev oziroma pravna oseba iz člena 5(7) navedene uredbe velja v zvezi z obdelavo osebnih podatkov v individualnem sistemu spletnega zbiranja za upravljavca podatkov v skladu z Uredbo (EU) 2016/679. |
|
(9) |
Organizatorji, ki spremenijo svoj individualni sistem spletnega zbiranja po potrditvi sistema, bi morali o tem nemudoma uradno obvestiti ustrezni organ za potrjevanje, če bi sprememba lahko vplivala na oceno, na kateri temelji potrjevanje. Organizatorji lahko pred tem zaprosijo pristojni organ, naj preveri, ali bi sprememba lahko imela tak vpliv in bi jo bilo treba posledično uradno sporočiti. |
|
(10) |
V skladu s členom 42 Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (5) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je podal pripombe 16. septembra 2019. Posvetovanje je bilo opravljeno tudi z Agencijo EU za varnost omrežij in informacij, ki je podala pripombe 18. julija 2019. |
|
(11) |
Ukrepi iz te uredbe so v skladu z mnenjem odbora, ustanovljenega s členom 22 Uredbe (EU) 2019/788 – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Tehnične specifikacije iz člena 11(5) Uredbe (EU) 2019/788 so določene v Prilogi k tej uredbi.
Člen 2
1. Organizatorji zagotovijo, da je njihov individualni sistem spletnega zbiranja skozi celotno obdobje zbiranja v skladu s tehničnimi specifikacijami iz Priloge.
2. Organizatorji nemudoma uradno obvestijo pristojni organ države članice iz člena 11(3) Uredbe (EU) 2019/788 o spremembah sistema ali spremembah podpornih organizacijskih ukrepov po potrditvi sistema s strani navedenega organa, če te spremembe lahko vplivajo na oceno, na kateri temelji potrjevanje. Organizatorji lahko pred tem zaprosijo pristojni organ za mnenje o tem, ali bi sprememba lahko imela tak vpliv.
Člen 3
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od 1. januarja 2020.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 22. oktobra 2019
Za Komisijo
Predsednik
Jean-Claude JUNCKER
(1) UL L 130, 17.5.2019, str. 55.
(2) Uredba (EU) št. 211/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o državljanski pobudi (UL L 65, 11.3.2011, str. 1).
(3) Izvedbena uredba Komisije (EU) št. 1179/2011 z dne 17. novembra 2011 o tehničnih specifikacijah za sisteme spletnega zbiranja v skladu z Uredbo (EU) št. 211/2011 Evropskega parlamenta in Sveta o državljanski pobudi (UL L 301, 18.11.2011, str. 3).
(4) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(5) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
PRILOGA
1. Tehnične specifikacije za izvajanje člena 11(4)(a) Uredbe (EU) 2019/788
Sistem izvaja tehnične ukrepe za zagotovitev, da lahko izjave o podpori podpišejo le fizične osebe. Tehnični ukrepi ne zahtevajo, da se zbirajo in hranijo drugi osebni podatki, razen tistih iz Priloge III k Uredbi (EU) 2019/788.
2. Tehnične specifikacije za izvajanje člena 11(4)(b) Uredbe (EU) 2019/788
Organizatorji uvedejo ustrezne in učinkovite tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri svojih dejavnostih, s čimer zagotovijo, da se informacije o pobudi v sistemu spletnega zbiranja, kot so predstavljene na spletu, ujemajo z informacijami o pobudi, objavljenimi v registru iz člena 6(5) Uredbe (EU) 2019/788.
Organizatorji zagotovijo, da:
|
(a) |
se informacije o pobudi v sistemu spletnega zbiranja ujemajo z informacijami, objavljenimi v registru; |
|
(b) |
so informacije o pobudi, objavljene v registru, predstavljene v sistemu, preden državljan predloži izjavo o podpori; |
|
(c) |
so vzpostavljeni varnostni ukrepi, ki zagotavljajo, da so podatkovna polja v izjavah o podpori predstavljena skupaj z informacijami o pobudi, da se prepreči tveganje predložitve izjav o podpori za drugo pobudo zaradi napačnega prikazovanja pobude; |
|
(d) |
sistem omogoča, da se podatki iz izjav o podpori po predložitvi shranijo skupaj z informacijami o pobudi; |
|
(e) |
da so vzpostavljeni varnostni ukrepi, ki preprečujejo nepooblaščene spremembe informacij o pobudi v sistemu spletnega zbiranja. |
3. Tehnične specifikacije za izvajanje člena 11(4)(c) Uredbe (EU) 2019/788
Sistem zagotavlja, da se izjave o podpori predložijo v skladu s podatkovnimi polji iz Priloge III k Uredbi (EU) 2019/788.
Sistem zagotavlja, da lahko oseba predloži izjavo o podpori šele, ko potrdi, da je prebrala izjavo o varstvu podatkov iz Priloge III k Uredbi (EU) 2019/788.
4. Tehnične specifikacije za izvajanje člena 11(4)(d) Uredbe (EU) 2019/788
4.1 Upravljanje
|
4.1.1 |
Skupina organizatorjev imenuje varnostnega uradnika, ki je odgovoren za varnost sistema in varen prenos zbranih izjav o podpori pristojnemu organu odgovorne države članice. Varnostni uradnik nadzoruje postopke za informacijsko varnost ter tehnične in organizacijske varnostne ukrepe, da zagotovi varno zbiranje, shranjevanje in prenos podatkov, ki jih predložijo podpisniki. |
|
4.1.2 |
Organizatorji lahko zaprosijo nacionalni pristojni organ iz člena 11(3) Uredbe (EU) 2019/788, naj zagotovi veljavna varnostna pravila in zahteve za potrjevanje individualnih sistemov spletnega zbiranja. Pristojni organ praviloma zagotovi varnostna pravila in zahteve v enem mesecu po prejemu prošnje. Veljavna varnostna pravila in zahteve so v skladu z ustreznimi obstoječimi nacionalnimi ali mednarodnimi varnostnimi standardi. |
|
4.1.3 |
Varnostna pravila in zahteve glede potrjevanja sistema obravnavajo tveganja, opredeljena v oddelku 4.2, in upoštevajo specifikacije iz oddelka 4.3. |
4.2 Informacijska varnost
|
4.2.1 |
Organizatorji uporabljajo postopke obvladovanja tveganja, da bi opredelili tveganja, povezana z uporabo svojih sistemov, vključno s pravicami in svoboščinami podpisnikov, ter določijo ustrezne in sorazmerne ukrepe za preprečevanje in blažitev posledic incidentov, ki vplivajo na varnost omrežij in informacijskih sistemov, ki jih uporabljajo pri svojih dejavnostih.
Postopek obvladovanja tveganja je osredotočen zlasti na tveganja, povezana z zaupnostjo in celovitostjo informacij v sistemu. Ta tveganja so lahko posledica nevarnosti, kot so med drugim:
|
|
4.2.2 |
Organizatorji zagotovijo dokumentacijo, iz katere je razvidno, da:
|
|
4.2.3 |
Ukrepi za preprečevanje in blažitev posledic incidentov, ki vplivajo na varnost sistemov, zajemajo naslednja področja:
Uporaba teh varnostnih ukrepov je lahko omejena na dele organizacije, ki so pomembni za sistem spletnega zbiranja. Varnost človeških virov je lahko na primer omejena na osebje, ki ima fizični ali logični dostop do sistema spletnega zbiranja, fizična/okoljska varnost pa je lahko omejena na zgradbe, kjer sistem gostuje. |
|
4.2.4 |
Kadar organizatorji za razvoj ali uvedbo sistemov spletnega zbiranja ali njihovih delov uporabijo obdelovalca, zagotovijo organu za potrjevanje dokumentacijo, iz katere je razvidno, da so vzpostavili potrebni varnostni nadzor. |
4.3 Šifriranje podatkov
Sistem zagotavlja naslednje šifriranje podatkov:
|
(a) |
osebni podatki v elektronski obliki se pri hrambi ali prenosu pristojnim organom držav članic v skladu z Uredbo (EU) 2019/788 šifrirajo, pri čemer se ključi obravnavajo in shranjujejo ločeno; |
|
(b) |
ustrezni standardni algoritmi in ustrezni ključi se uporabljajo v skladu z mednarodnimi standardi (kot je standard ETSI). Vzpostavljeno je upravljanje ključev; |
|
(c) |
vsi ključi in gesla so zaščiteni pred nepooblaščenim dostopom. |