EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32019R1799
Commission Implementing Regulation (EU) 2019/1799 of 22 October 2019 laying down technical specifications for individual online collection systems pursuant to Regulation (EU) 2019/788 of the European Parliament and of the Council on the European citizens’ initiative
Kommissionens genomförandeförordning (EU) 2019/1799 av den 22 oktober 2019 om tekniska specifikationer för enskilda system för insamling via internet enligt Europaparlamentets och rådets förordning (EU) 2019/788 om det europeiska medborgarinitiativet
Kommissionens genomförandeförordning (EU) 2019/1799 av den 22 oktober 2019 om tekniska specifikationer för enskilda system för insamling via internet enligt Europaparlamentets och rådets förordning (EU) 2019/788 om det europeiska medborgarinitiativet
C/2019/7454
OJ L 274, 28.10.2019, p. 3–8
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
28.10.2019 |
SV |
Europeiska unionens officiella tidning |
L 274/3 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2019/1799
av den 22 oktober 2019
om tekniska specifikationer för enskilda system för insamling via internet enligt Europaparlamentets och rådets förordning (EU) 2019/788 om det europeiska medborgarinitiativet
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2019/788 av den 17 april 2019 om det europeiska medborgarinitiativet (1), särskilt artikel 11.5, och
av följande skäl:
|
(1) |
I förordning (EU) 2019/788 fastställs ändrade bestämmelser om det europeiska medborgarinitiativet och Europaparlamentets och rådets förordning (EU) nr 211/2011 (2) upphävs. |
|
(2) |
I förordning (EU) 2019/788 föreskrivs att vid insamling av stödförklaringar för registrerade medborgarinitiativ via internet måste organisatörer använda det centrala systemet för insamling via internet som har inrättats och drivs av kommissionen. Men för att underlätta övergången kan organisatörer, för initiativ som registrerats enligt förordning (EU) 2019/788 före utgången av 2022, välja att använda sina egna enskilda system för insamling via internet. |
|
(3) |
Enligt förordning (EU) 2019/788 bör ett enskilt system som används för insamling av stödförklaringar via internet innehålla lämpliga tekniska lösningar och säkerhetsfunktioner för att säkerställa att uppgifter samlas in, lagras och överförs på ett säkert sätt under hela insamlingsförfarandet. Kommissionen bör tillsammans med medlemsstaterna definiera de tekniska specifikationerna för att kraven på enskilda system för insamling via internet ska vara uppfyllda. |
|
(4) |
Bestämmelserna i denna förordning ersätter dem i kommissionens genomförandeförordning (EU) nr 1179/2011 (3), som därmed kommer att bli obsolet. |
|
(5) |
De tekniska och organisatoriska åtgärder som ska genomföras bör syfta till att förhindra, både vid den tidpunkt systemet utformades och under hela insamlingsperioden, obehörig behandling av personuppgifter och skydda dessa uppgifter mot oavsiktlig eller olaglig förstöring, förlust genom olyckshändelse, ändring eller obehörigt röjande av eller obehörig åtkomst till uppgifterna. |
|
(6) |
I detta syfte bör organisatörerna använda lämpliga riskhanteringsprocesser för att identifiera riskerna i systemen och för att fastställa lämpliga och proportionella motåtgärder som syftar till att minska dessa risker till godtagbara nivåer. Organisatörerna bör dokumentera de identifierade säkerhets- och dataskyddsriskerna väl liksom de åtgärder som vidtagits för att motverka dessa risker, med beaktande av de säkerhetsbestämmelser och säkerhetskrav som tillämpas av den attesterande myndigheten. Säkerhetsbestämmelserna och säkerhetskraven bör vara förenliga med förordning (EU) 2019/788 och bör göras tillgängliga av den attesterande myndigheten på begäran. |
|
(7) |
Genomförandet av de tekniska specifikationer som anges i denna förordning bör inte påverka organisatörernas skyldighet att uppfylla de krav på dataskydd som fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (4), inbegripet det eventuella behovet av en konsekvensbedömning avseende dataskydd. |
|
(8) |
Företrädaren för en grupp av organisatörer eller, i tillämpliga fall, en rättslig enhet enligt vad som avses i artikel 5.7 i förordning (EU) 2019/788 betraktas som personuppgiftsansvariga enligt förordning (EU) 2016/679 i samband med behandlingen av personuppgifter i ett enskilt system för insamling via internet. |
|
(9) |
Organisatörer som ändrar i sina enskilda system för insamling via internet efter det att ett intyg utfärdats för systemet bör utan onödigt dröjsmål anmäla detta till relevant attesterande myndighet, om ändringen kan påverka den bedömning som låg till grund för intyget. Innan organisatörerna gör detta får de rådfråga den attesterande myndigheten för att bekräfta om ändringen kan ha en sådan påverkan och därför bör anmälas. |
|
(10) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42 i Europaparlamentets och rådets förordning (EU) 2018/1725 (5) och lämnade synpunkter den 16 september 2019. Europeiska unionens byrå för nät- och informationssäkerhet har hörts och lämnade synpunkter den 18 juli 2019. |
|
(11) |
De åtgärder som fastställs i denna förordning är förenliga med yttrandet från den kommitté som inrättats enligt artikel 22 i förordning (EU) 2019/788. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
De tekniska specifikationer som avses i artikel 11.5 i förordning (EU) 2019/788 fastställs i bilagan till den här förordningen.
Artikel 2
1. Organisatörer ska säkerställa att deras enskilda system för insamling via internet uppfyller de tekniska specifikationer som anges i bilagan under hela insamlingsperioden.
2. Organisatörerna ska till behörig myndighet i den medlemsstat som avses i artikel 11.3 i förordning (EU) 2019/788 utan onödigt dröjsmål anmäla ändringar i systemet eller i kompletterande organisatoriska åtgärder efter det att myndigheten har utfärdat ett intyg för systemet, när dessa ändringar kan påverka den bedömning som låg till grund för intyget. Innan organisatörerna gör detta får de rådfråga den behöriga myndigheten om huruvida ändringen kan ha en sådan påverkan.
Artikel 3
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ska tillämpas från och med den 1 januari 2020.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 22 oktober 2019.
På kommissionens vägnar
Ordförande
Jean-Claude JUNCKER
(1) EUT L 130, 17.5.2019, s. 55.
(2) Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet (EUT L 65, 11.3.2011, s. 1).
(3) Kommissionens genomförandeförordning (EU) nr 1179/2011 av den 17 november 2011 om tekniska specifikationer för system för insamling via internet i enlighet med Europaparlamentets och rådets förordning (EU) nr 211/2011 om medborgarinitiativet (EUT L 301, 18.11.2011, s. 3).
(4) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(5) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
BILAGA
1. Tekniska specifikationer för genomförandet av artikel 11.4 a i förordning (EU) 2019/788
Tekniska åtgärder ska genomföras i systemet för att säkerställa att endast fysiska personer kan lämna stödförklaringar. Dessa tekniska åtgärder får inte kräva att fler personuppgifter samlas in och lagras än dem som förtecknas i bilaga III till förordning (EU) 2019/788.
2. Tekniska specifikationer för genomförandet av artikel 11.4 b i förordning (EU) 2019/788
Organisatörerna ska vidta lämpliga och verkningsfulla tekniska och organisatoriska åtgärder för att hantera säkerhetsriskerna i nätverks- och informationssystem som de använder i sina verksamheter, för att säkerställa att informationen om initiativet i systemet för insamling via internet och så som den läggs fram för allmänheten på internet motsvarar den offentliggjorda informationen om initiativet i det register som avses i artikel 6.5 i förordning (EU) 2019/788.
Organisatörerna ska se till att
|
a) |
informationen om initiativet i systemet för insamling via internet motsvarar den offentliggjorda informationen i registret, |
|
b) |
den offentliggjorda informationen om initiativet i registret visas i systemet innan medborgaren lämnar in stödförklaringen, |
|
c) |
det finns säkerhetsåtgärder för att säkerställa att fälten i stödförklaringarna visas tillsammans med informationen om initiativet, i syfte att förhindra risken att stödförklaringar lämnas för ett annat initiativ på grund av felaktig information om initiativet, |
|
d) |
systemet säkerställer att uppgifterna i stödförklaringarna sparas tillsammans med informationen om initiativet efter det att stödförklaringarna har lämnats in, |
|
e) |
det finns säkerhetsåtgärder för att förhindra att obehöriga ändringar kan göras av informationen som lämnas om initiativet i systemet för insamling via internet. |
3. Tekniska specifikationer för genomförandet av artikel 11.4 c i förordning (EU) 2019/788
Systemet ska säkerställa att stödförklaringar lämnas i enlighet med fälten i bilaga III till förordning (EU) 2019/788.
Systemet ska säkerställa att en person endast kan lämna en stödförklaring efter att ha bekräftat att vederbörande har läst meddelandet om behandling av personuppgifter i bilaga III till förordning (EU) 2019/788.
4. Tekniska specifikationer för genomförandet av artikel 11.4 d i förordning (EU) 2019/788:
4.1 Styrning
|
4.1.1 |
Gruppen av organisatörer ska utse en säkerhetsansvarig som ska ansvara för systemets säkerhet och säker överföring av de insamlade stödförklaringarna till behörig myndighet i ansvarig medlemsstat. Den säkerhetsansvariga ska övervaka processerna för informationssäkring samt de tekniska och organisatoriska säkerhetsåtgärderna för att säkerställa säker insamling, lagring och överföring av uppgifterna från undertecknare. |
|
4.1.2 |
Organisatörerna får begära att den nationella behöriga myndighet som avses i artikel 11.3 i förordning (EU) 2019/788 tillhandahåller de tillämpliga säkerhetsbestämmelser och säkerhetskrav som ska vara uppfyllda för ett intyg avseende enskilda system för insamling via internet. Den behöriga myndigheten ska tillhandahålla säkerhetsbestämmelserna och säkerhetskraven, normalt inom en månad efter att begäran mottagits. De tillämpliga säkerhetsbestämmelserna och säkerhetskraven ska vara förenliga med befintliga tillämpliga nationella eller internationella säkerhetsnormer. |
|
4.1.3 |
Säkerhetsbestämmelserna och säkerhetskraven för utfärdandet av ett intyg för systemet ska hantera de risker som är angivna i avsnitt 4.2 och beakta specifikationerna i avsnitt 4.3. |
4.2 Informationssäkring
|
4.2.1 |
Organisatörerna ska använda riskhanteringsprocesser för att identifiera de risker som är kopplade till användningen av deras system, däribland risker för undertecknarnas rättigheter och friheter, och fastställa lämpliga och proportionella åtgärder för att förebygga och minska effekten av händelser som påverkar säkerheten i de nätverk och informationssystem som de använder i sina verksamheter.
Riskhanteringsprocessen ska vara särskilt inriktad på risker i samband med sekretess och integritet för informationen i systemet. Dessa risker kan vara följden av hot, bland annat
|
|
4.2.2 |
Organisatörerna ska tillhandahålla dokumentation som visar att de
|
|
4.2.3 |
Åtgärderna för att förebygga och minska effekten av händelser som påverkar säkerheten i systemen ska omfatta
Tillämpningen av dessa säkerhetsåtgärder får begränsas till de delar av organisationen som berörs av systemet för insamling via internet. Personalsäkerheten får t.ex. begränsas till att endast gälla de anställda som har fysisk eller logisk tillgång till systemet för insamling via internet, och fysisk säkerhet och säkerhet i it-miljön får begränsas till de byggnader där systemet är inhyst. |
|
4.2.4 |
I de fall organisatörer använder sig av ett personuppgiftsbiträde för utveckling eller distribution av hela eller delar av systemen för insamling via internet, ska de tillhandahålla dokumentation så att den attesterande myndigheten kan kontrollera att det finns nödvändiga säkerhetskontroller. |
4.3 Kryptera uppgifter
Systemet ska tillhandahålla följande kryptering av uppgifter:
|
a) |
Personuppgifter i elektroniskt format ska vara krypterade när de lagras eller överförs till behöriga myndigheter i medlemsstaterna i enlighet med förordning (EU) 2019/788. Krypteringsnycklar ska hanteras och säkerhetskopieras separat. |
|
b) |
Lämpliga standardalgoritmer och lämpliga nycklar ska användas, i linje med internationella normer (t.ex. Etsi-standarden). Det ska finnas system för nyckelhantering. |
|
c) |
Alla krypteringsnycklar och lösenord ska vara skyddade mot obehörig åtkomst. |