Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32019R1799

A Bizottság (EU) 2019/1799 végrehajtási rendelete (2019. október 22.) az egyedi online gyűjtési rendszerekre vonatkozó technikai előírásoknak az európai polgári kezdeményezésről szóló (EU) 2019/788 európai parlamenti és tanácsi rendelet értelmében történő megállapításáról

C/2019/7454

HL L 274., 2019.10.28, p. 3–8 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2019/1799/oj

28.10.2019   

HU

Az Európai Unió Hivatalos Lapja

L 274/3

A BIZOTTSÁG (EU) 2019/1799 VÉGREHAJTÁSI RENDELETE

(2019. október 22.)

az egyedi online gyűjtési rendszerekre vonatkozó technikai előírásoknak az európai polgári kezdeményezésről szóló (EU) 2019/788 európai parlamenti és tanácsi rendelet értelmében történő megállapításáról

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel az európai polgári kezdeményezésről szóló, 2019. április 17-i (EU) 2019/788 európai parlamenti és tanácsi rendeletre (1) és különösen annak 11. cikke (5) bekezdésére,

mivel:

(1)

Az (EU) 2019/788 rendelet felülvizsgált szabályokat állapít meg az európai polgári kezdeményezésre vonatkozóan, és hatályon kívül helyezi a 211/2011/EU európai parlamenti és tanácsi rendeletet (2).

(2)

Az (EU) 2019/788 rendelet értelmében a szervezők a nyilvántartásba vett polgári kezdeményezések támogató nyilatkozatainak online gyűjtéséhez kötelesek igénybe venni a Bizottság által létrehozott és működtetett központi online gyűjtési rendszert. Az átmenet megkönnyítése érdekében azonban a szervezők az (EU) 2019/788 rendeletnek megfelelően 2022 vége előtt nyilvántartásba vett kezdeményezések esetében dönthetnek úgy, hogy saját egyedi online gyűjtési rendszerüket használják.

(3)

Az (EU) 2019/788 rendelet értelmében a támogató nyilatkozatok online gyűjtésére használt egyedi rendszernek megfelelő technikai és biztonsági jellemzőkkel kell rendelkeznie annak biztosítása érdekében, hogy az adatokat a gyűjtési eljárás teljes időtartama alatt biztonságos módon gyűjtsék, tárolják és továbbítsák. A Bizottságnak a tagállamokkal együtt meg kell határoznia az egyedi online gyűjtési rendszerekre vonatkozó követelmények végrehajtásához szükséges technikai előírásokat.

(4)

Az e rendeletben megállapított szabályok az 1179/2011/EU bizottsági végrehajtási rendeletben (3) meghatározott szabályok helyébe lépnek, amelyek ezért elavulttá válnak.

(5)

A végrehajtandó technikai és szervezeti intézkedések célja, hogy mind a rendszer kialakításának időpontjában, mind a gyűjtési időszak teljes időtartama alatt megakadályozzák a személyes adatok jogosulatlan kezelését, és védelmet nyújtsanak a véletlen vagy jogellenes megsemmisítés, továbbá a véletlen elvesztés, megváltoztatás, jogosulatlan nyilvánosságra hozatal vagy hozzáférés ellen.

(6)

A szervezőknek e célból megfelelő kockázatkezelési eljárásokat kell alkalmazniuk a rendszerükkel kapcsolatos kockázatok azonosítása, valamint az ilyen kockázatok elfogadható szintre történő csökkentésére szolgáló megfelelő és arányos ellenintézkedések meghatározása érdekében. A szervezőknek az igazoló hatóság által alkalmazott biztonsági szabályok és követelmények figyelembevételével megfelelő módon dokumentálniuk kell az azonosított biztonsági és adatvédelmi kockázatokat, valamint a kockázatok elhárítása érdekében hozott intézkedéseket. A biztonsági szabályoknak és követelményeknek összhangban kell lenniük az (EU) 2019/788 rendelettel, és azokat az igazoló hatóságnak kérésre rendelkezésére kell bocsátania.

(7)

Az e rendeletben meghatározott technikai előírások végrehajtása nem érinti a szervezők azon kötelezettségét, hogy megfeleljenek az (EU) 2016/679 európai parlamenti és tanácsi rendeletben (4) foglalt adatvédelmi követelményeknek, beleértve az adatvédelmi hatásvizsgálat esetleges szükségességét is.

(8)

A szervezői csoport képviselője, illetve adott esetben az említett rendelet 5. cikkének (7) bekezdésében említett jogi személy a személyes adatok egyedi online gyűjtési rendszerben történő kezelése tekintetében az (EU) 2016/679 rendelet szerinti adatkezelőnek minősül.

(9)

Azok a szervezők, amelyek a rendszer megfelelőségét tanúsító igazolás kibocsátását követően módosítják egyedi online gyűjtési rendszerüket, indokolatlan késedelem nélkül értesítik az érintett igazoló hatóságot a módosításról, ha az hatással lehet az igazolás alapjául szolgáló értékelésre. A szervezők ezt megelőzően felkérhetik az igazoló hatóságot annak ellenőrzésére, hogy a módosításnak lehet-e ilyen hatása, vagyis értesíteni kell-e az igazoló hatóságot.

(10)

A Bizottság az (EU) 2018/1725 rendelet (5) 42. cikkével összhangban konzultált az európai adatvédelmi biztossal, aki 2019. szeptember 16-án megtette hivatalos észrevételeit. A Bizottság konzultált az Európai Hálózat- és Információbiztonsági Ügynökséggel is, amely 2019. július 18-án nyújtotta be észrevételeit.

(11)

Az e rendeletben előírt intézkedések összhangban vannak az (EU) 2019/788 rendelet 22. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A RENDELETET:

1. cikk

Az (EU) 2019/788 rendelet 11. cikkének (5) bekezdésében említett technikai előírásokat e rendelet melléklete határozza meg.

2. cikk

(1)   A szervezők biztosítják, hogy egyedi online gyűjtési rendszerük a gyűjtési időszak teljes időtartama alatt megfeleljen a mellékletben meghatározott technikai előírásoknak.

(2)   A szervezők indokolatlan késedelem nélkül értesítik az (EU) 2019/788 rendelet 11. cikkének (3) bekezdésében említett tagállam hatáskörrel rendelkező hatóságát a rendszerben vagy a támogató szervezeti intézkedésekben a rendszer megfelelőségének az említett hatóság általi igazolását követően tett módosításról, ha az hatással lehet az igazolás alapjául szolgáló értékelésre. A szervezők ezt megelőzően felkérhetik az illetékes hatóságot annak megállapítására, hogy a módosításnak lehet-e ilyen hatása.

3. cikk

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2020. január 1-jétől kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2019. október 22-én.

a Bizottság részéről

az elnök

Jean-Claude JUNCKER

(1)  HL L 130., 2019.5.17., 55. o.

(2)  Az Európai Parlament és a Tanács 211/2011/EU rendelete (2011. február 16.) a polgári kezdeményezésről (HL L 65., 2011.3.11., 1. o.).

(3)  A Bizottság 1179/2011/EU végrehajtási rendelete (2011. november 17.) az online gyűjtési rendszerekre vonatkozó technikai előírásoknak a polgári kezdeményezésről szóló 211/2011/EU európai parlamenti és tanácsi rendelet értelmében történő megállapításáról (HL L 301., 2011.11.18., 3. o.).

(4)  Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(5)  Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.).

Melléklet

1.   Az (EU) 2019/788 rendelet 11. Cikke (4) bekezdése a) pontjának végrehajtását célzó technikai előírások

A rendszernek technikai intézkedések végrehajtásával biztosítania kell, hogy kizárólag természetes személyek nyújthassanak be támogató nyilatkozatokat. A technikai intézkedések csak az (EU) 2019/788 rendelet III. mellékletében felsorolt személyes adatok gyűjtését és tárolását írhatják elő.

2.   Az (EU) 2019/788 rendelet 11. Cikke (4) bekezdése b) pontjának végrehajtását célzó technikai előírások

A szervezőknek megfelelő és eredményes technikai és szervezeti intézkedéseket kell bevezetniük a tevékenységükhöz használt hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében, ezzel biztosítva, hogy a kezdeményezésről az online gyűjtési rendszerben megadott és a nyilvánosság számára online bemutatott információk megfeleljenek a kezdeményezésről az (EU) 2019/788 rendelet 6. cikkének (5) bekezdésében említett nyilvántartásban közzétett információknak.

A szervezőknek gondoskodniuk kell arról, hogy:

a)

a kezdeményezésről az online gyűjtési rendszerben megadott információk megfeleljenek a nyilvántartásban közzétett információknak;

b)

a rendszer még azelőtt bemutassa a kezdeményezésről a nyilvántartásban közzétett információkat, mielőtt a polgár benyújtaná a támogató nyilatkozatot;

c)

biztonsági intézkedések legyenek érvényben annak biztosítására, hogy a támogató nyilatkozatok adatbeviteli mezőit a kezdeményezésre vonatkozó információkkal együtt mutassák, ezzel megelőzve annak kockázatát, hogy a kezdeményezés megtévesztő bemutatásával más kezdeményezéshez adott támogató nyilatkozatokat nyújtsanak be;

d)

a rendszer biztosítsa, hogy a támogató nyilatkozatok adatait a benyújtás után a kezdeményezésre vonatkozó információkkal együtt mentsék el;

e)

biztonsági intézkedések legyenek érvényben annak biztosítására, hogy a kezdeményezésről az online gyűjtési rendszerben megadott információkat ne lehessen jogosulatlanul módosítani.

3.   Az (EU) 2019/788 rendelet 11. Cikke (4) bekezdése c) pontjának végrehajtását célzó technikai előírások

A rendszernek biztosítania kell, hogy a támogató nyilatkozatokat az (EU) 2019/788 rendelet III. mellékletében szereplő adatmezőknek megfelelően nyújtsák be.

A rendszernek biztosítania kell, hogy támogató nyilatkozatot csak akkor lehessen benyújtani, ha benyújtója megerősítette, hogy elolvasta az (EU) 2019/788 rendelet III. mellékletében található adatvédelmi nyilatkozatot.

4.   Az (EU) 2019/788 rendelet 11. Cikke (4) bekezdése d) pontjának végrehajtását célzó technikai előírások

4.1.   Irányítás

4.1.1.

 A szervezői csoportnak ki kell neveznie egy biztonsági tisztviselőt, aki egyfelől a rendszer biztonságáért, másfelől a begyűjtött támogató nyilatkozatoknak a felelős tagállam hatáskörrel rendelkező hatósága felé való biztonságos továbbításáért felel. A biztonsági tisztviselőnek felügyelnie kell az információvédelmi folyamatokat, valamint az aláírók által szolgáltatott adatok biztonságos gyűjtésére, tárolására és továbbítására szolgáló technikai és szervezeti biztonsági intézkedéseket.

4.1.2.

 A szervezők kérhetik az (EU) 2019/788 rendelet 11. cikkének (3) bekezdésében említett hatáskörrel rendelkező nemzeti hatóságtól, hogy adja meg az egyedi online gyűjtési rendszerek megfelelőségének igazolása tekintetében alkalmazandó biztonsági szabályokat és követelményeket. A hatáskörrel rendelkező hatóság főszabály szerint a kérelem kézhezvételétől számított egy hónapon belül rendelkezésre bocsátja a biztonsági szabályokat és követelményeket. Az alkalmazandó biztonsági szabályoknak és követelményeknek összhangban kell lenniük a hatályos megfelelő nemzeti vagy nemzetközi biztonsági előírásokkal.

4.1.3.

 A rendszer megfelelőségének igazolására vonatkozó biztonsági szabályoknak és követelményeknek foglalkozniuk kell a 4.2. szakaszban meghatározott kockázatokkal, és figyelembe kell venniük a 4.3. szakaszban szereplő előírásokat.

4.2.   Információvédelem

4.2.1.

 A szervezőknek kockázatkezelési eljárást kell alkalmazniuk a rendszereik használatához kapcsolódó – többek között az aláírók jogait és szabadságait érintő – kockázatok azonosítására, továbbá azon megfelelő és arányos intézkedések meghatározására, amelyek a tevékenységükhez használt hálózati és információs rendszerek biztonságát érintő események megelőzésére és az ilyen események hatásának mérséklésére szolgálnak.

A kockázatkezelési eljárásnak különösen a rendszerben lévő információk bizalmas jellegével és sértetlenségével kapcsolatos kockázatokra kell összpontosítania. Ezek a kockázatok például a következő fenyegetések eredményei lehetnek:

a)

felhasználói hibák;

b)

rendszeradminisztrátorok/biztonsági adminisztrátorok által elkövetett hibák;

c)

konfigurációs hibák;

d)

rosszindulatú szoftverrel való fertőzöttség;

e)

az információk véletlen megváltoztatása;

f)

az információk nyilvánosságra hozatala vagy kiszivárogtatása;

g)

szoftverek sebezhetőségei;

h)

jogosulatlan hozzáférés;

i)

az adatforgalom kifürkészése vagy lehallgatása;

j)

adatvédelmi kockázatok.

4.2.2.

 A szervezőknek dokumentumok benyújtásával igazolniuk kell, hogy:

a)

értékelték a rendszer kockázatait;

b)

megfelelő intézkedéseket határoztak meg a rendszer biztonságát érintő események megelőzése és az ilyen események hatásának mérséklése érdekében;

c)

azonosították a fennmaradó kockázatokat;

d)

végrehajtották az intézkedéseket, és ellenőrizték azok végrehajtását;

e)

szervezeti eszközökkel biztosították az új fenyegetésekkel és biztonsági fejlesztésekkel kapcsolatos információk fogadását;

f)

a gyűjtési folyamat teljes időtartama alatt megfelelnek a megfelelőség igazolásával kapcsolatban az (EU) 2019/788 rendelet 11. cikkének (4) bekezdésében meghatározott követelményeknek, beleértve az ennek biztosításához szükséges eljárások meglétét is.

4.2.3.

 A rendszerek biztonságát érintő események megelőzésére és az ilyen események hatásának mérséklésére szolgáló intézkedések a következő területeket érintik:

a)

humánerőforrás-biztonság;

b)

a hozzáférés szabályozása;

c)

kriptográfiai ellenőrzések;

d)

fizikai és környezeti biztonság;

e)

a műveletek biztonsága;

f)

kommunikációs biztonság;

g)

rendszerek beszerzése, fejlesztése és karbantartása;

h)

információbiztonsági incidensek kezelése;

i)

szabályszerűség.

E biztonsági intézkedések alkalmazását elegendő csak a szervezet online gyűjtés szempontjából releváns részei számára előírni. Például a humánerőforrás-biztonság a személyzet azon részére korlátozható, amelynek fizikai vagy logikai hozzáférése van az online gyűjtési rendszerhez, a fizikai/környezeti biztonság pedig a rendszernek otthont adó épület(ek)re korlátozható.

4.2.4.

 Ha a szervezők az online gyűjtési rendszer vagy annak egy része fejlesztéséhez vagy telepítéséhez adatfeldolgozót vesznek igénybe, akkor be kell nyújtaniuk azokat a dokumentumokat, amelyek révén az igazoló hatóság megbizonyosodhat a szükséges biztonsági ellenőrzések meglétéről.

4.3.   Az adatok titkosítása

A rendszernek az alábbi adattitkosítást kell biztosítania:

a)

az elektronikus formátumú személyes adatokat akkor kell titkosítani, amikor azokat az (EU) 2019/788 rendeletnek megfelelően tárolják vagy a tagállamok hatáskörrel rendelkező hatóságainak átadják; a kulcsok kezelését és biztonsági mentését egymástól elválasztva kell végezni;

b)

megfelelő szabványos algoritmusokat és megfelelő kulcsokat kell használni, a nemzetközi szabványokkal (például az ETSI szabványával) összhangban. Kulcskezelést kell végezni;

c)

minden kulcsot és jelszót védeni kell a jogosulatlan hozzáféréstől.
Top