Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2013.28.6

Streszczenie opinii w sprawie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie o elektronicznych usługach zaufania).

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie o elektronicznych usługach zaufania)

(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: http://www.edps.europa.eu)

(2013/C 28/04)

(Dz.U.UE C z dnia 30 stycznia 2013 r.)

I.
Wstęp
I.1.
Wniosek
1.
W dniu 4 czerwca 2012 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego dyrektywę 1999/93/WE Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym ("wniosek")(1).
2.
Wniosek stanowi część środków przedstawionych przez Komisję w celu wzmocnienia procesu wdrażania transakcji elektronicznych w Unii Europejskiej. Jest on kontynuacją działań przewidzianych w Europejskiej agendzie cyfrowej(2) w zakresie poprawy ustawodawstwa dotyczącego podpisów elektronicznych (Główne działanie 3) oraz zapewnienia spójnych ram wzajemnego uznawania elektronicznej identyfikacji i elektronicznego uwierzytelniania (Główne działanie 16).
3.
Wniosek powinien zwiększyć zaufanie do ogólnoeuropejskich transakcji elektronicznych, a także zapewnić transgraniczne uznanie prawne identyfikacji elektronicznej, uwierzytelnienia elektronicznego i podpisu elektronicznego oraz związanych z nimi usług zaufania na rynku wewnętrznym, jednocześnie gwarantując wysoki poziom ochrony danych i wzmocnienie pozycji użytkownika.
4.
Wysoki poziom ochrony danych jest warunkiem koniecznym dla funkcjonowania systemów identyfikacji elektronicznej i usług zaufania. Opracowanie i stosowanie takich środków elektronicznych musi opierać się na odpowiednim przetwarzaniu danych osobowych przez dostawców usług zaufania oraz wydawców środków identyfikacji elektronicznej. Ma to tym większe znaczenie, że takie przetwarzanie będzie stanowiło jedną z podstaw wiarygodnej identyfikacji i uwierzytelniania osób fizycznych (lub prawnych).
I.2.
Konsultacje z EIOD
5.
Przed przyjęciem wniosku EIOD miał możliwość zgłoszenia nieformalnych uwag. Wiele z nich zostało uwzględnionych we wniosku, dzięki czemu wzmocnieniu uległy zawarte w nim gwarancje ochrony danych.
6.
EIOD z zadowoleniem przyjmuje fakt, że Komisja przeprowadziła z nim również formalne konsultacje w trybie art. 28 ust. 2 rozporządzenia (WE) nr 45/2001.
I.3.
Tło wniosku
7.
Wniosek opiera się na art. 114 Traktatu o funkcjonowaniu Unii Europejskiej i określa warunki oraz mechanizmy wzajemnego uznawania i akceptowania identyfikacji elektronicznej oraz usług zaufania pomiędzy państwami członkowskimi. W szczególności ustanawia zasady świadczenia usług identyfikacji i elektronicznych usług zaufania, w tym zasady uznawania i akceptacji. Wprowadza również wymagania w zakresie tworzenia, kontroli, weryfikacji, obsługi i przechowywania podpisów elektronicznych, pieczęci elektronicznych, elektronicznych znaczników czasu, dokumentów elektronicznych, usług przekazu elektronicznego, usług uwierzytelniania witryn internetowych i certyfikatów elektronicznych.
8.
Projekt ustanawia ponadto zasady nadzoru nad świadczeniem usług zaufania oraz zobowiązuje państwa członkowskie do powołania w tym celu organów nadzorczych. Do ich zadań będzie należała między innymi ocena zgodności środków technicznych i organizacyjnych wdrożonych przez dostawców elektronicznych usług zaufania.
9.
Rozdział II dotyczy usług identyfikacji elektronicznej, natomiast rozdział III poświęcony jest innym rodzajom elektronicznych usług zaufania, takim jak podpisy elektroniczne, pieczęcie elektroniczne, elektroniczne znaczniki czasu, dokumenty elektroniczne, usługi przekazu elektronicznego, certyfikaty elektroniczne oraz uwierzytelnianie witryn internetowych. Usługi identyfikacji elektronicznej związane są z krajowymi dokumentami tożsamości i mogą być wykorzystywane w celu uzyskania dostępu do usług cyfrowych, w szczególności usług administracji elektronicznej. Oznacza to, że podmiot wydający środki identyfikacji elektronicznej działa w imieniu państwa członkowskiego, które ponosi odpowiedzialność za poprawne ustalenie korelacji pomiędzy daną osobą a dotyczącymi jej środkami identyfikacji elektronicznej. W przypadku innych elektronicznych usług zaufania dostawca/wydawca jest osobą fizyczną lub prawną, która odpowiada za prawidłowe i bezpieczne świadczenie tych usług.
I.4.
Kwestie dotyczące ochrony danych związane z wnioskiem
10.
Przetwarzanie danych osobowych jest nierozerwalnie związane ze stosowaniem systemów identyfikacji, a w pewnym stopniu również ze świadczeniem innych usług zaufania (np. podpisów elektronicznych). Przetwarzanie danych osobowych będzie wymagane w celu ustalenia wiarygodnego związku pomiędzy elektronicznymi środkami identyfikacji i uwierzytelnienia stosowanymi przez osobę fizyczną (lub prawną) a tą osobą, tak by móc zaświadczyć, że osoba posługująca się certyfikatem elektronicznym jest faktycznie tym, za kogo się podaje. Na przykład środki identyfikacji elektronicznej lub certyfikaty elektroniczne dotyczą osób fizycznych i obejmują zestaw danych jednoznacznie identyfikujących te osoby. Innymi słowy, tworzenie, kontrola, weryfikacja i obsługa środków elektronicznych, o których mowa w art. 3 ust. 12 wniosku, będzie w wielu przypadkach wiązała się z przetwarzaniem danych osobowym, a zatem ochrona danych staje się zasadną kwestią.
11.
Z tego względu należy zapewnić, by przetwarzanie danych w kontekście systemów identyfikacji elektronicznej lub elektronicznych usług zaufania odbywało się zgodnie z unijnymi zasadami ochrony danych, a w szczególności krajowymi przepisami wdrażającymi dyrektywę 95/46/WE.
12.
EIOD w niniejszej opinii skupia się na analizie trzech głównych kwestii:
a)
potraktowania kwestii ochrony danych we wniosku;
b)
ujęcia kwestii ochrony danych w systemach identyfikacji elektronicznej podlegających uznaniu i akceptacji ponad granicami;
c)
ujęcia kwestii ochrony danych w elektronicznych usługach zaufania podlegających uznaniu i akceptacji ponad granicami.
III.
Wnioski
50.
EIOD z zadowoleniem przyjmuje wniosek, jako że może on przyczynić się do wzajemnego uznawania (i akceptacji) elektronicznych usług zaufania oraz systemów identyfikacji elektronicznej na szczeblu europejskim. Z zadowoleniem odnosi się również do ustanowienia wspólnego zbioru wymagań, jakie muszą być spełnione przez wydawców środków identyfikacji elektronicznej oraz dostawców usług zaufania. Bez względu na ogólne poparcie dla wniosku EIOD pragnie przedstawić następujące ogólne zalecenia:
zawarte we wniosku przepisy dotyczące ochrony danych nie powinny ograniczać się tylko do dostawców usług zaufania, lecz objąć również przetwarzanie danych osobowych w ramach systemów identyfikacji elektronicznej opisanych w rozdziale II wniosku,
projektowane rozporządzenie powinno wprowadzić wspólny zbiór wymagań w zakresie bezpieczeństwa w odniesieniu do dostawców usług zaufania i wydawców środków identyfikacji elektronicznej lub ewentualnie powinno umożliwić Komisji określenie w miarę potrzeby - w drodze selektywnego zastosowania aktów delegowanych lub wykonawczych - kryteriów, warunków i wymagań w zakresie bezpieczeństwa elektronicznych usług zaufania i systemów identyfikacji elektronicznej,
dostawcy elektronicznych usług zaufania i wydawcy środków identyfikacji elektronicznej powinni zostać zobowiązani do zapewnienia osobom korzystającym z ich usług: (i) stosownych informacji na temat gromadzenia, przekazywania i przechowywania ich danych, jak również (ii) możliwości kontroli danych osobowych i wykonywania uprawnień w zakresie ochrony danych,
EIOD zaleca bardziej selektywne uwzględnienie we wniosku przepisów uprawniających Komisję do określenia lub uszczegółowienia konkretnych przepisów po przyjęciu projektowanego wniosku w drodze aktów delegowanych lub wykonawczych.
51.
Wskazana jest również poprawa niektórych konkretnych przepisów dotyczących wzajemnego uznawania systemów identyfikacji elektronicznej:
projektowane rozporządzenie powinno określać dane lub kategorie danych podlegających przetwarzaniu w ramach transgranicznej identyfikacji osób. Takie określenie powinno być co najmniej równie szczegółowe, jak w załącznikach dotyczących innych usług zaufania, oraz powinno uwzględniać poszanowanie zasady proporcjonalności,
zabezpieczenia wymagane w przypadku systemów identyfikacji powinny być co najmniej zgodne z wymaganiami obowiązującymi dostawców kwalifikowanych usług zaufania,
we wniosku należy przyjąć odpowiednie mechanizmy dla stworzenia ram interoperacyjności krajowych systemów identyfikacji.
52.
EIOD przedstawia wreszcie następujące zalecenia w odniesieniu do wymagań dotyczących świadczenia i uznawania elektronicznych usług zaufania:
w odniesieniu do wszystkich usług elektronicznych należy określić, czy dane osobowe będą przetwarzane, a jeśli tak, to których danych lub kategorii danych będzie dotyczyło przetwarzanie,
w rozporządzeniu należy przyjąć odpowiednie zabezpieczenia w celu uniknięcia dublowania się kompetencji organów nadzoru nad elektronicznymi usługami zaufania i organów ochrony danych,
obowiązki nałożone na dostawców elektronicznych usług zaufania w odniesieniu do naruszenia ochrony danych i incydentów związanych z bezpieczeństwem powinny być zgodne z wymaganiami ustanowionymi w zmienionej dyrektywie o prywatności elektronicznej oraz w projektowanym rozporządzeniu o ochronie danych,
doprecyzowania wymagają: definicja podmiotów prywatnych lub publicznych, które mogą występować jako strony trzecie uprawnione do prowadzenia audytów w trybie art. 16 i 17 lub mogą weryfikować urządzenia do składania kwalifikowanego podpisu elektronicznego w trybie art. 23, jak również kryteria oceny niezawisłości tych podmiotów,
w rozporządzeniu należy doprecyzować termin przechowywania danych, o których mowa w art. 19 ust. 2 i art. 19 ust. 4(3).

Sporządzono w Brukseli dnia 27 września 2012 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
______

(1) COM(2012) 238 final.

(2) COM(2010) 245 z 19.5.2010.

(3) Zgodnie z art. 19 ust. 2 lit. g) dostawcy kwalifikowanych usług zaufania rejestrują przez odpowiedni okres czasu wszelkie informacje dotyczące danych wydanych i otrzymanych przez nich. Zgodnie z art. 19 ust. 4 dostawcy kwalifikowanych usług zaufania dostarczają każdej stronie ufającej informacje o statusie ważności lub cofnięcia wydanych przez siebie kwalifikowanych certyfikatów.

Zmiany w prawie

Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką
Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 30.04.2024
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2013.28.6
Rodzaj: Informacja
Tytuł: Streszczenie opinii w sprawie wniosku Komisji dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym (rozporządzenie o elektronicznych usługach zaufania).
Data aktu: 27/09/2012
Data ogłoszenia: 30/01/2013