|
28.10.2019 |
LT |
Europos Sąjungos oficialusis leidinys |
L 274/3 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2019/1799
2019 m. spalio 22 d.
kuriuo pagal Europos Parlamento ir Tarybos reglamentą (ES) 2019/788 dėl Europos piliečių iniciatyvos nustatomos atskirų internetinių pritarimo pareiškimų rinkimo sistemų techninės specifikacijos
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentą (ES) 2019/788 dėl Europos piliečių iniciatyvos (1), ypač į jo 11 straipsnio 5 dalį,
kadangi:
|
(1) |
Reglamente (ES) 2019/788 nustatytos patikslintos Europos piliečių iniciatyvos taisyklės ir panaikintas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 211/2011 (2); |
|
(2) |
Reglamente (ES) 2019/788 nustatyta, kad organizatoriai, internetu rinkdami pritarimo registruotoms piliečių iniciatyvoms pareiškimus, turi naudotis Komisijos įdiegta ir valdoma centrine internetine rinkimo sistema. Tačiau, siekiant sudaryti palankesnes sąlygas pereinamuoju laikotarpiu, iniciatyvų, kurios pagal Reglamentą (ES) 2019/788 užregistruotos iki 2022 m. pabaigos, atveju organizatoriai gali nuspręsti naudotis savo pačių atskira internetine rinkimo sistema; |
|
(3) |
remiantis Reglamentu (ES) 2019/788, atskiroje sistemoje, naudojamoje pritarimo pareiškimams rinkti internetu, turėtų būti įdiegtos tinkamos techninės ir saugumo priemonės, kuriomis užtikrinama, kad duomenys per visą rinkimo procedūrą būtų renkami, saugomi ir perduodami saugiai. Komisija kartu su valstybėmis narėmis turėtų nustatyti atskiroms internetinėms rinkimo sistemoms taikomų reikalavimų įgyvendinimo technines specifikacijas; |
|
(4) |
šiame reglamente nustatytos taisyklės pakeičia Komisijos įgyvendinimo reglamente (ES) Nr. 1179/2011 (3) išdėstytas taisykles, taigi jis taps nebeaktualus; |
|
(5) |
įgyvendintinomis techninėmis ir organizacinėmis priemonėmis turėtų būti siekiama užkirsti kelią bet kokiam neteisėtam asmens duomenų tvarkymui tiek sistemos kūrimo metu, tiek ir duomenų rinkimo laikotarpiu ir apsaugoti tuos duomenis nuo netyčinio ar neteisėto sunaikinimo arba netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos prie jų gavimo; |
|
(6) |
šiuo tikslu organizatoriai turėtų vykdyti tinkamus rizikos valdymo procesus, kad nustatytų su savo sistemomis susijusią riziką ir parengtų tinkamas ir proporcingas atsakomąsias priemones tai rizikai sumažinti iki priimtino lygio. Organizatoriai turėtų tinkamai dokumentuoti nustatytą saugumo ir duomenų apsaugos riziką ir priemones, kurių imtasi siekiant pašalinti tokią riziką, atsižvelgdami į tvirtinančiosios institucijos taikomas saugumo taisykles ir reikalavimus. Saugumo taisyklės ir reikalavimai turėtų būti suderinti su Reglamentu (ES) 2019/788, o tvirtinančioji institucija, gavusi prašymą, turėtų juos pateikti; |
|
(7) |
šiame reglamente nustatytų techninių specifikacijų įgyvendinimas neturėtų daryti įtakos organizatorių pareigai laikytis duomenų apsaugos reikalavimų, (įskaitant dėl galimo poreikio atlikti poveikio duomenų apsaugai vertinimą) nustatytų pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 (4); |
|
(8) |
organizatorių grupės arba tam tikrais atvejais juridinio subjekto, nurodyto to reglamento 5 straipsnio 7 dalyje, atstovai pagal Reglamentą (ES) 2016/679 laikomi duomenų valdytojais, kiek tai susiję su asmens duomenų tvarkymu atskiroje internetinėje rinkimo sistemoje; |
|
(9) |
organizatoriai, darantys atskiros internetinės rinkimo sistemos pakeitimus po to, kai ji buvo sertifikuota, turėtų nepagrįstai nedelsdami apie tai pranešti atitinkamai tvirtinančiajai institucijai, jei tie pakeitimai gali turėti įtakos vertinimui, kuriuo pagrįstas sertifikavimas. Prieš tai organizatoriai gali paprašyti tvirtinančiosios institucijos nuomonės, kad sužinotų, ar konkretūs pakeitimai gali turėti tokios įtakos ir ar apie juos turėtų būti pranešta; |
|
(10) |
pagal Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (5) 42 straipsnį buvo konsultuojamasi su Europos duomenų apsaugos pareigūnu ir jis 2019 m. rugsėjo 16 d. pateikė pastabas. Taip pat konsultuotasi su Europos tinklų ir informacijos apsaugos agentūra ir ji pastabas pateikė 2019 m. liepos 18 d.; |
|
(11) |
šiame reglamente nustatytos priemonės atitinka pagal Reglamento (ES) 2019/788 22 straipsnį įsteigto komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
Reglamento (ES) 2019/788 11 straipsnio 5 dalyje nurodytos techninės specifikacijos nustatomos šio reglamento priede.
2 straipsnis
1. Organizatoriai užtikrina, kad jų atskira internetinė rinkimo sistema per visą pritarimo pareiškimų rinkimo laikotarpį atitiktų priede nustatytas technines specifikacijas.
2. Organizatoriai nepagrįstai nedelsdami praneša Reglamento (ES) 2019/788 11 straipsnio 3 dalyje nurodytai valstybės narės kompetentingai institucijai apie sistemos arba susijusių organizacinių priemonių pakeitimus, padarytus po to, kai ta institucija sertifikavo tą sistemą, jeigu tie pakeitimai gali turėti įtakos vertinimui, kuriuo pagrįstas sertifikavimas. Prieš tai organizatoriai gali paprašyti tvirtinančiosios institucijos nuomonės dėl to, ar minėti pakeitimai gali turėti tokią įtaką.
3 straipsnis
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Jis taikomas nuo 2020 m. sausio 1 d.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2019 m. spalio 22 d.
Komisijos vardu
Pirmininkas
Jean-Claude JUNCKER
(1) OL L 130, 2019 5 17, p. 55.
(2) 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 211/2011 dėl piliečių iniciatyvos (OL L 65, 2011 3 11, p. 1).
(3) 2011 m. lapkričio 17 d. Komisijos įgyvendinimo reglamentas (ES) Nr. 1179/2011, kuriuo pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 211/2011 dėl piliečių iniciatyvos nustatomos internetinių pritarimo pareiškimų rinkimo sistemų techninės specifikacijos (OL L 301, 2011 11 18, p. 3).
(4) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
(5) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).
Priedas
1. Techninės specifikacijos, kuriomis siekiama įgyvendinti Reglamento (ES) 2019/788 11 straipsnio 4 dalies a punktą
Sistemoje turi būti įdiegtos techninės priemonės, kuriomis užtikrinama, kad pritarimo pareiškimus galėtų teikti tik fiziniai asmenys. Tomis techninėmis priemonėmis neturi būti reikalaujama, kad būtų renkama ir saugoma daugiau asmens duomenų nei tie, kurie nurodyti Reglamento (ES) 2019/788 III priede.
2. Techninės specifikacijos, kuriomis siekiama įgyvendinti Reglamento (ES) 2019/788 11 straipsnio 4 dalies b punktą
Organizatoriai turi įdiegti tinkamas ir veiksmingas technines ir organizacines priemones, kad galėtų valdyti riziką, kylančią jų veikloje naudojamų tinklų ir informacinių sistemų saugumui, siekdami užtikrinti, kad internetinėje rinkimo sistemoje pateikta informacija apie iniciatyvą ir internetu viešai pristatoma tokia informacija atitiktų Reglamento (ES) 2019/788 6 straipsnio 5 dalyje nurodytame registre paskelbtą informaciją apie iniciatyvą.
Organizatoriai turi užtikrinti:
|
a) |
kad internetinėje rinkimo sistemoje pateikta informacija apie iniciatyvą atitiktų registre paskelbtą informaciją; |
|
b) |
kad registre paskelbta informacija apie iniciatyvą sistemoje piliečiui būtų pristatoma prieš jam pateikiant pritarimo pareiškimą; |
|
c) |
kad būtų taikomos saugumo priemonės, kuriomis užtikrinama, kad pritarimo pareiškimų duomenų įvesties laukeliai būtų pateikiami kartu su informacija apie iniciatyvą, siekiant išvengti rizikos, kad pritarimo pareiškimai bus pateikti dėl kitos iniciatyvos, nes informacija apie iniciatyvą pristatyta klaidingai; |
|
d) |
kad sistema užtikrintų, jog pateikus pritarimo pareiškimus juose esantys duomenys būtų išsaugomi kartu su informacija apie iniciatyvą; |
|
e) |
kad būtų taikomos saugumo priemonės, kuriomis užkertamas kelias neteisėtiems internetinėje rinkimo sistemoje pateiktos informacijos apie iniciatyvą pakeitimams. |
3. Techninės specifikacijos, kuriomis siekiama įgyvendinti Reglamento (ES) 2019/788 11 straipsnio 4 dalies c punktą
Sistema turi užtikrinti, kad pritarimo pareiškimai būtų pateikiami pagal Reglamento (ES) 2019/788 III priede nurodytus duomenų laukelius.
Sistema turi užtikrinti, kad asmuo pritarimo pareiškimą galėtų pateikti tik patvirtinęs, kad perskaitė Reglamento (ES) 2019/788 III priede pateiktą privatumo pareiškimą.
4. Techninės specifikacijos, kuriomis siekiama įgyvendinti Reglamento (ES) 2019/788 11 straipsnio 4 dalies d punktą
4.1. Valdymas
|
4.1.1. |
Organizatorių grupė turi paskirti saugumo pareigūną, atsakingą už sistemos saugumą ir saugų surinktų pritarimo pareiškimų perdavimą atsakingos valstybės narės kompetentingai institucijai. Saugumo pareigūnas turi prižiūrėti informacijos saugumo užtikrinimo procesus ir technines bei organizacines saugumo priemones, kad užtikrintų, jog pasirašiusiųjų pateikti duomenys būtų renkami, saugomi ir perduodami saugiai. |
|
4.1.2. |
Organizatoriai gali prašyti Reglamento (ES) 2019/788 11 straipsnio 3 dalyje nurodytos nacionalinės kompetentingos institucijos pateikti atskirų internetinių rinkimo sistemų sertifikavimui taikomas saugumo taisykles ir reikalavimus. Kompetentinga institucija saugumo taisykles ir reikalavimus paprastai turi pateikti per vieną mėnesį nuo prašymo gavimo dienos. Taikomos saugumo taisyklės ir reikalavimai turi atitikti galiojančius atitinkamus nacionalinius arba tarptautinius saugumo standartus. |
|
4.1.3. |
Sistemos sertifikavimui taikomomis saugumo taisyklėmis ir reikalavimais turi būti užkertamas kelias 4.2 skirsnyje nurodytai rizikai ir atsižvelgiama į 4.3 skirsnyje pateiktas specifikacijas. |
4.2. Informacijos saugumo užtikrinimas
|
4.2.1. |
Organizatoriai turi vykdyti rizikos valdymo procesus, kad nustatytų su jų sistemų naudojimu susijusią riziką, įskaitant pasirašiusiųjų teisėms ir laisvėms kylančią riziką, ir parengtų tinkamas ir proporcingas priemones, kad būtų išvengta incidentų, galinčių pakenkti jų veikloje naudojamų tinklų ir informacinių sistemų saugumui, ir būtų sumažintas jų poveikis.
Rizikos valdymo procese daugiausia dėmesio turi būti skiriama rizikai, susijusiai su sistemoje esančios informacijos konfidencialumu ir vientisumu. Ši rizika gali kilti dėl grėsmių, įskaitant:
|
|
4.2.2. |
Organizatoriai pateikia dokumentus, kuriais įrodo, kad jie:
|
|
4.2.3. |
Incidentų, galinčių pakenkti sistemų saugumui, prevencijos ir jų poveikio mažinimo priemonės apima šias sritis:
Šių apsaugos priemonių taikymas gali apsiriboti tais organizacijos padaliniais, kurie yra susiję su internetine rinkimo sistema. Pavyzdžiui, žmogiškųjų išteklių saugumas gali būti užtikrinamas tik tų darbuotojų, kurie turi fizinę arba loginę prieigą prie internetinės rinkimo sistemos, atžvilgiu, o fizinis ir (arba) aplinkos saugumas gali apsiriboti pastatu (-ais), kuriame (-uose) suteikiama sistemos priegloba. |
|
4.2.4. |
Jei organizatoriai kreipiasi į duomenų tvarkytoją, kad šis sukurtų arba įdiegtų internetines rinkimo sistemas ar jų dalis, jie turi pateikti dokumentus, kad tvirtinančioji institucija galėtų įsitikinti, jog parengtos būtinos saugumo kontrolės priemonės. |
4.3. Duomenų šifravimas
Sistema turi sudaryti sąlygas užšifruoti duomenis tokiu būdu:
|
a) |
pagal Reglamentą (ES) 2019/788 saugomi arba valstybių narių kompetentingoms institucijoms elektronine forma perduodami asmens duomenys turi būti užšifruojami, raktai valdomi ir atsarginės jų kopijos saugomos atskirai; |
|
b) |
laikantis tarptautinių standartų (pvz., ETSI standarto) turi būti naudojami tinkami standartiniai algoritmai ir tinkami raktai. Turi būti įdiegta raktų valdymo sistema; |
|
c) |
visi raktai ir slaptažodžiai turi būti saugomi nuo neteisėtos prieigos. |