30.1.2013 |
SL |
Uradni list Evropske unije |
C 28/6 |
Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu Komisije za uredbo Evropskega parlamenta in Sveta o zaupanju v elektronske transakcije na notranjem trgu (uredba o elektronskih skrbniških storitvah)
(Celotno besedilo tega mnenja je na voljo v angleškem, francoskem in nemškem jeziku na spletni strani ENVP na naslovu http://www.edps.europa.eu)
2013/C 28/04
I. Uvod
I.1 Predlog
1. |
Komisija je 4. junija 2012 sprejela predlog uredbe Evropskega parlamenta in Sveta o spremembi Direktive 1999/93/ES Evropskega parlamenta in Sveta v zvezi z elektronsko identifikacijo in skrbniškimi storitvami za elektronske transakcije na notranjem trgu (v nadaljnjem besedilu: predlog) (1). |
2. |
Predlog je del ukrepov, ki jih je Komisija predlagala za okrepitev uporabe elektronskih transakcij v Evropski uniji. To je nadgradnja ukrepov iz Evropske digitalne agende (2), ki se nanašajo na izboljšanje zakonodaje o elektronskih podpisih (ključni ukrep št. 3) in zagotovitev usklajenega okvira za medsebojno priznavanje e-identifikacije in e-avtentikacije (ključni ukrep št. 16). |
3. |
Predlog naj bi okrepil zaupanje v vseevropske elektronske transakcije ter zagotovil čezmejno pravno priznavanje elektronske identifikacije, avtentikacije, podpisa in povezanih skrbniških storitev na notranjem trgu, pa tudi visoko raven varstva podatkov in okrepitev položaja uporabnikov. |
4. |
Visoka raven varstva podatkov je nujna za uporabo shem elektronske identifikacije in skrbniških storitev. Za razvoj in uporabo takih elektronskih sredstev morajo ponudniki skrbniških storitev in izdajatelji elektronske identitete zagotavljati ustrezno obdelavo osebnih podatkov. To je še toliko bolj pomembno, ker bo taka obdelava med drugim podlaga za najzanesljivejšo identifikacijo in avtentikacijo fizičnih (ali pravnih) oseb. |
I.2 Posvetovanje z ENVP
5. |
ENVP je imel pred sprejetjem predloga možnost predložiti neformalne pripombe. Številne od teh pripomb so bile v predlogu upoštevane. Rezultat tega je, da so bili zaščitni ukrepi za varstvo podatkov v predlogu okrepljeni. |
6. |
ENVP pozdravlja dejstvo, da ga je Komisija tudi uradno zaprosila za mnenje v skladu s členom 28(2) Uredbe (ES) št. 45/2001. |
I.3 Ozadje predloga
7. |
Predlog temelji na členu 114 Pogodbe o delovanju Evropske unije ter določa pogoje in mehanizme za medsebojno priznavanje in sprejemanje elektronske identifikacije in skrbniških storitev med državami članicami. Zlasti določa načela v zvezi z zagotavljanjem identifikacije in zanesljivih elektronskih storitev, vključno s pravili o priznavanju in sprejemanju. Določa tudi zahteve za ustvarjanje, preverjanje in potrjevanje elektronskih podpisov, elektronskih žigov, elektronskih časovnih žigov, elektronskih dokumentov, storitev elektronske dostave, avtentikacije spletnih strani in elektronskih certifikatov ter za ravnanje z njimi in njihovo hrambo. |
8. |
Predlog uredbe poleg tega določa pravila za nadzor nad zagotavljanjem skrbniških storitev in državam članicam nalaga, naj zato ustanovijo nadzorne organe. Ti organi bodo med drugim preverjali skladnost tehničnih in organizacijskih ukrepov, ki jih izvajajo ponudniki elektronskih skrbniških storitev. |
9. |
Poglavje II obravnava storitve elektronske identifikacije, poglavje III pa je posvečeno drugim elektronskim skrbniškim storitvam, kot so elektronski podpisi, žigi, časovni žigi, dokumenti, storitve dostave, certifikati in avtentikacija spletnih strani. Storitve elektronske identifikacije so povezane z nacionalnimi identifikacijskimi karticami in se lahko uporabijo pri dostopu do digitalnih storitev ter zlasti do storitev e-uprave; to pomeni, da subjekt, ki izda elektronsko identifikacijo, deluje v imenu države članice in da je ta država članica odgovorna za pravilno vzpostavitev povezave med zadevnim posameznikom in njegovim sredstvom elektronske identifikacije. V zvezi z drugimi elektronskimi skrbniškimi storitvami je ponudnik/izdajatelj fizična ali pravna oseba, ki je odgovorna za pravilno in varno zagotavljanje teh storitev. |
I.4 Vprašanja varstva podatkov, ki jih sproža predlog
10. |
Obdelava osebnih podatkov je neločljivo povezana z uporabo identifikacijskih shem in v določenem obsegu tudi z zagotavljanjem drugih skrbniških storitev (na primer elektronskih podpisov). Obdelava osebnih podatkov bo potrebna za vzpostavitev zaupanja vredne povezave med sredstvom elektronske identifikacije in avtentikacije, ki ga uporablja fizična (ali pravna) oseba, in navedeno osebo, saj se tako potrdi, da je oseba za elektronskim certifikatom dejansko oseba, za katero se predstavlja. Na primer, elektronske identifikacije ali elektronski certifikati se nanašajo na fizične osebe in bodo vključevali niz podatkov, ki nedvoumno predstavljajo navedene posameznike. Z drugimi besedami, ustvarjanje, preverjanje, potrjevanje elektronskih sredstev in ravnanje z njimi, kot je navedeno v členu 3(12) predloga, bo v mnogo primerih vključevalo obdelavo osebnih podatkov, zato je varstvo podatkov pomembno. |
11. |
Bistveno je torej, da obdelava podatkov v okviru zagotavljanja shem elektronske identifikacije ali elektronskih skrbniških storitev poteka v skladu z okvirom EU za varstvo podatkov, zlasti nacionalnimi določbami, s katerimi je bila prenesena Direktiva 95/46/ES. |
12. |
ENVP bo analizo v tem mnenju osredotočil na tri glavna vprašanja:
|
III. Sklepne ugotovitve
50. |
ENVP pozdravlja predlog, saj lahko prispeva k medsebojnemu priznavanju (in sprejemanju) elektronskih skrbniških storitev in identifikacijskih shem na evropski ravni. Pozdravlja tudi določitev skupnega niza zahtev, ki jih morajo izpolnjevati izdajatelji elektronskih identifikacijskih sredstev in ponudniki skrbniških storitev. ENVP pa želi kljub tej splošni podpori predlogu navesti naslednja splošna priporočila:
|
51. |
Izboljšati bi bilo treba tudi nekatere posebne določbe o medsebojnem priznavanju shem elektronske identifikacije:
|
52. |
Nazadnje, ENVP v zvezi z zahtevami za zagotavljanje in priznavanje elektronskih skrbniških storitev priporoča naslednje:
|
V Bruslju, 27. septembra 2012
Giovanni BUTTARELLI
Pomočnik Evropskega nadzornika za varstvo podatkov
(1) COM(2012) 238 konč.
(2) COM(2010) 245 z dne 19.5.2010.
(3) Na podlagi člena 19(2)(g) morajo ponudniki kvalificiranih skrbniških storitev v ustreznem časovnem obdobju beležiti vse pomembne informacije o podatkih, ki so jih izdali in prejeli. Na podlagi člena 19(4) morajo ponudniki kvalificiranih skrbniških storitev vsaki stranki, ki se opira na certifikate, zagotoviti informacije o veljavnosti ali preklicu kvalificiranih certifikatov, ki so jih izdali.