Специален доклад
01 2023

Инструменти за улесняване на пътуванията в рамките на ЕС по време на пандемията от COVID-19 Въздействието на предприетите инициативи варира от успех до ограничено използване

Относно настоящия доклад:Целта на одита на Европейската сметна палата (ЕСП) беше да се провери дали Комисията е разработила ефективни инструменти за улесняване на пътуванията в рамките на ЕС по време на пандемията от COVID-19. Като цяло ЕСП стига до заключението, че въпреки ограничената си компетентност по отношение на политиката в областта на общественото здраве, Комисията е реагирала бързо с предложение за подходящи технологични решения за улесняване на пътуванията. Използването на тези инструменти обаче се различава значително в отделните държави членки, поради което ефектът от тях за улесняване на пътуванията в рамките на ЕС не е бил един и същ. Отправените от ЕСП препоръки са продиктувани от необходимостта да се анализират и преодолеят причините за ниската степен на въвеждане на някои инструменти, да се усъвършенства комуникацията относно инциденти, свързани с Цифровия COVID сертификат на ЕС, и да се подготвят инструменти на ЕС, които биха били необходими за бъдещи кризи.

Специален доклад на ЕСП съгласно член 287, параграф 4, втора алинея от ДФЕС.

Настоящият документ е публикуван на 24 официални езика на ЕС и в следния посочен формат:
PDF
PDF Специален доклад относно улесняването на пътуванията по време на пандемията

Кратко изложение

I След откриването на първите случаи на COVID-19 в ЕС, през март 2020 г. държавите членки започнаха да налагат забрани за пътуване и други ограничения на свободното движение на гражданите. За да се улеснят пътуванията и да се подпомогне проследяването на случаите на COVID-19, Комисията разработи четири инструмента:

  • Портална услуга на Европейската федерация — портал за осигуряване на оперативна съвместимост в целия ЕС между националните приложения за проследяване на контакти;
  • цифров формуляр на ЕС за локализиране на пътници — инструмент, който замества хартиените формуляри, използвани за събиране на информация за проследяване на контактите по време на пътуване;
  • Цифров COVID сертификат на ЕС — сертификат, потвърждаващ ваксинация, преболедуване или отрицателен резултат от направено изследване за COVID-19;
  • платформа за обмен на формуляри за локализиране на пътници — инструмент за обмен на данни за проследяване на контакти между националните органи в различни държави членки.

II Целта на одита на Европейската сметна палата (ЕСП) беше да се провери дали Комисията е разработила ефективни инструменти за улесняване на пътуванията в рамките на ЕС по време на пандемията от COVID-19. Затова одиторите потърсиха примери за добри практики и области за подобрение относно начина, по който Комисията разработва ИТ инструменти за улесняване на свободното движение по време на здравна криза. Настоящият одит допълва специален доклад № 13/2022 на ЕСП, в който се оценява дали Комисията е предприела ефективни действия за защита на правото на хората на свободно движение по време на пандемията от COVID-19.

III Като цяло ЕСП стига до заключението, че въпреки ограничената си компетентност по отношение на политиката в областта на общественото здраве, Комисията е реагирала бързо с предложение за подходящи технологични решения за улесняване на пътуванията в рамките на ЕС по време на пандемията от COVID-19. Въпреки това има съществени разлики в използването на тези инструменти от отделните държави членки, поради което въздействието им е неравномерно.

IV Комисията е мобилизирала в кратки срокове 71 млн. евро за разработването на инструментите, като е комбинирала няколко източника на финансиране и е използвала съществуващи рамкови договори вместо процедури за възлагане на обществени поръчки. Порталът за проследяване на контакти е станал достъпен малко след началото на пандемията, а издаването на Цифров COVID сертификат на ЕС— след увеличаването на усилията за ваксиниране на целия континент. Техническата и законодателната работа по тези инструменти е извършена бързо. Няколко държави членки обаче са разработили свои собствени цифрови формуляри за локализиране на пътници преди решението на ЕС за такива формуляри да стане достъпно.

V При разработването на инструментите Комисията е взела предвид изискванията за защита на данните и добрите практики в областта на ИТ сигурността. Комисията обаче няма правомощия да проверява дали държавите, използващи инструмента за Цифров COVID сертификат на ЕС, са спазили изискванията за ИТ сигурност.

VI Инструментът за Цифров COVID сертификат на ЕС ефективно е улеснил пътуванията и е подобрил обмена на информация и координацията във връзка с ограниченията за пътуване. Държавите членки и редица държави извън ЕС са използвали масово цифровите сертификати на ЕС, като до март 2022 г. в държавите от ЕС и Европейското икономическо пространство (ЕИП) са издадени над 1,7 млрд. сертификата. Освен това в рамките на един месец след влизането в сила на Регламента за Цифровия COVID сертификат на ЕС държавите членки значително са хармонизирали ограниченията си за пътуване. ЕСП обаче установи, че механизмите, по които те се информират взаимно за инциденти, изискващи спешна реакция (напр. сертификати, издадени чрез измама), са отнемали много време поради трудности при идентифицирането на точните партньори в други държави.

VII Другите разгледани инструменти не са оказали очакваното въздействие, тъй като използването им е било ограничено. Цифровият формуляр на ЕС за локализиране на пътници е използван само от четири държави членки, докато другите държави са продължили да разчитат на национални решения. Използването на платформата за обмен на формуляри и на портала за проследяване на контакти като цяло е останало ограничено.

VIII Въз основа на тези заключения ЕСП препоръчва на Комисията:

  • да анализира и отстрани причините за слабото използване на цифровите формуляри на ЕС за локализиране на пътници;
  • да усъвършенства комуникацията относно инциденти, свързани с Цифровия COVID сертификат на ЕС;
  • да подготви подходящи инструменти на ЕС, които да бъдат използвани при бъдещи кризи.

Въведение

01 Свободното движение на хора се отнася до правото на гражданите на ЕС и членовете на техните семейства да се придвижват и пребивават свободно на територията на държавите членки. То е една от четирите основни свободи на ЕС (наред със свободното движение на стоки, услуги и капитали) и е в основата на европейския проект от самото му създаване1. Директивата за свободното движение2 определя приложимите условия и ограничения.

02 Опазването на общественото здраве е от компетентността на държавите членки3. Поради това Европейската комисия играе ограничена роля в политиката в областта на здравеопазването, като се съсредоточава главно върху координацията4. Тя може да подкрепя и допълва действията на държавите членки, които имат значителни правомощия да определят собствените си здравни политики5.

03 След откриването на първите случаи на COVID-19 през март 2020 г. държавите членки са започнали да налагат граничен контрол и ограничения върху свободното движение на гражданите в опит да ограничат разпространението на пандемията. Комисията обаче е била отговорна да наблюдава дали тези ограничения са в съответствие със законодателството на ЕС относно свободата на движение. За да ограничи въздействието на мерките, свързани с COVID-19, върху свободното движение, Комисията е предприела различни инициативи с цел да подкрепи координацията между държавите членки.

04 Комисията също така е разработила следните инструменти, за да се улеснят пътуванията и да се подпомогне проследяването на положителни случаи на COVID-19 (вж. приложение I за подробно описание на инструментите):

  • портал за проследяване на контактите — Портална услуга на Европейската федерация (EFGS);
  • цифров формуляр на ЕС за локализиране на пътници (EU dPLF);
  • Цифров COVID сертификат на ЕС;
  • платформа за обмен на формуляри за локализиране на пътници (ePLF).

05 Приложенията за проследяване на контакти, които анонимно информират потребителите, че може да са били в контакт със заразено лице, са един от първите осигурени инструменти. Комисията е разработила връзка между приложенията за проследяване на контакти на различните държави членки, с което се разширяват ползите от тях, включвайки и улесняване на пътуванията в рамките на ЕС.

06 По време на пандемията, за да се улесни проследяването на контактите по време на пътуване, от пътниците се е изисквало да предоставят данни за контакт и местоположение чрез формуляри за локализиране на пътниците, които са се изпращали на съответните национални органи. В случай на положителен резултат от направено изследване органите са използвали тези формуляри, за да се свържат с пътниците, които са седели в близост до това лице, да ги предупредят да направят изследване за COVID-19 и да вземат предпазни мерки. Комисията е разработила цифровия формуляр на ЕС за локализиране на пътници, за да опрости използването на национални формуляри по време на трансгранични здравни кризи като COVID-19. В третата здравна програма за периода 2014—2020 г. е включено съвместно действие, известно като EU Healthy Gateways, което още преди избухването на пандемията от COVID-19 е започнало да разработва хартиени формуляри за морския и наземния транспорт, използвайки международни образци. По-късно съвместното действие EU Healthy Gateways е използвано в подкрепа на цифровизацията на формулярите за локализиране на пътници.

07 Комисията също така е разработила Цифров COVID сертификат на ЕС, който да предоставя проверимo и взаимно прието доказателство, че притежателят е бил ваксиниран, наскоро тестван с отрицателен резултат или преболедувал COVID-19. По време на пандемията държавите членки са били задължени да приемат тези удостоверения, когато решат да изискат от пътуващите да представят доказателство за ваксинация, отрицателен резултат от тест или възстановяване.

08 Последният инструмент, разработен от Комисията, е платформа за обмен на формуляри за локализиране на пътници между държавите членки. Платформата дава възможност на екипите за проследяване на контакти да обменят формуляри по електронен път директно помежду си, като по този начин се намалява времето, необходимо за информиране на пътниците, изложени на риск.

09 В разработването на инструментите са взели участие няколко отдела на Комисията. Генерална дирекция „Здравеопазване и безопасност на храните“ съвместно с генерална дирекция „Съобщителни мрежи, съдържание и технологии“ са разработчици на системата на портала за проследяване на контакти. Тези две генерални дирекции са ръководили и разработването на Цифровия COVID сертификат на ЕС заедно с генерална дирекция „Правосъдие и потребители“ и генерална дирекция „Миграция и вътрешни работи“. Освен това генерална дирекция „Информатика“ е осигурила необходимата ИТ инфраструктура.

10 Държавите членки са участвали в разработването на тези инструменти главно чрез мрежата за електронно здравеопазване (вж. каре 1). Агенции на ЕС като Европейският център за профилактика и контрол върху заболяванията или Европейската агенция по лекарствата също са дали своя принос. Разработването на инструментите за локализиране на пътници е било координирано от държавите членки като съвместно действие, финансирано от третата здравна програма на ЕС, Агенцията за авиационна безопасност на Европейския съюз и генерална дирекция „Мобилност и транспорт“.

Каре 1

Мрежа за електронно здравеопазване

С Директивата за упражняване на правата на пациентите при трансгранично здравно обслужване от 2011 г.6 се въвежда концепцията за мрежа за електронно здравеопазване —„доброволна мрежа, свързваща определените от държавите членки национални органи, отговарящи за електронното здравеопазване“. Мрежата за електронно здравеопазване извършва своята дейност чрез специализирани работни и други групи. Комисията е съпредседател на заседанията и осигурява секретарски услуги на мрежата. Тя е изиграла решаваща роля при разработването на инструментите на ЕС за улесняване на пътуванията и е осигурила форум за събиране на информация директно от държавите членки. До юни 2020 г. мрежата за електронно здравеопазване е провела повече от 30 заседания, свързани с пандемията от COVID-19. Мрежата за електронно здравеопазване е провела 96 срещи през 2020 г. и 285 през 2021 г.

11 Тези инструменти на ЕС са били с единствено по рода си предназначение, което означава, че към момента на разработването им не е имало други съществуващи системи, подходящи за сравнение. За да могат описаните по-горе инструменти на ЕС да улесняват възможно най-ефективно пътуванията по време на пандемията от COVID-19, било е важно те да бъдат възприети от всички държави членки, така че използването на здравни данни за управление на пътуванията в ЕС да бъде последователно и ограниченията за пътуване да бъдат координирани.

12 В допълнение към осигурените 71 млн. евро в подкрепа на разработването на ИТ инструментите, Комисията е предоставила 100 млн. евро на държавите членки, за да им помогне да поемат финансовата тежест във връзка с тестването за COVID-19. Засиленото тестване и ваксиниране на свой ред е увеличило броя на издадените Цифрови COVID сертификати на ЕС. Трансграничното пътуване в рамките на ЕС може да включва някои или всички инструменти, както е описано във фигура 1.

Фигура 1 — Използване на инструментите на ЕС при пътуване със самолет между държавите членки

Източник: ЕСП.

Обхват и подход на одита

13 Настоящият одит допълва предишния специален доклад на ЕСП7, в който се оценява дали Комисията е предприела ефективни действия за защита на правото на свободно движение на хора по време на пандемията от COVID-19. Първият доклад обхвана проверката от страна на Комисията на контрола по вътрешните шенгенски граници, съответните ограничения за пътуване и усилията за координация на равнище ЕС.

14 Целта на втория одит беше да се оцени дали Комисията е разработила ефективни инструменти за улесняване на пътуванията в рамките на ЕС по време на кризата, свързана с COVID-19. Чрез този одит ЕСП си поставя за цел да идентифицира примери на добри практики и области за подобрение в начина, по който Комисията разработва ИТ инструменти за улесняване на свободното движение по време на здравни кризи. За да отговори на основния одитен въпрос, ЕСП разгледа следните два подвъпроса:

  • Подходящи инструменти на ЕС ли е разработила Комисията за улесняване на пътуванията?
  • Използвали ли са държавите членки активно инструментите на ЕС и довело ли е това до по-добра координация и обмен на информация относно техните ограничения за пътуване?

15 Настоящият одит обхваща периода между октомври 2020 г. и юни 2022 г. и се съсредоточава върху четирите инструмента на ЕС, изброени в точка 04, включително свързаното с тях финансиране от ЕС. Той не обхваща финансирането от ЕС за ваксинация срещу COVID-19, което вече беше оценено в специалния доклад на ЕСП относно обществените поръчки за ваксини срещу COVID-19 в ЕС8.

16 ЕСП извърши одита чрез документни проверки, писмени въпросници и събеседвания със съответни заинтересовани страни. ЕСП направи преглед и анализ на:

  • съответното законодателство на ЕС, за да се определят основните регулаторни изисквания и отговорностите на различните участници;
  • вътрешни документи на Комисията, свързани с техническото разработване и правното приемане на Цифровия COVID сертификат на ЕС, Порталната услуга на Европейската федерация, цифровия формуляр на ЕС за локализиране на пътници (EU dPLF) и платформата за обмен на формуляри за локализиране на пътници (ePLF);
  • публикации на Комисията, свързани с пътуването в контекста на пандемията от COVID-19, като насоки, съобщения, предложения за препоръки или предложения за законодателни актове;
  • техническите спецификации на инструментите, оценки на сигурността и риска, доклади от изпитване на проникването и планове за ИТ сигурност, за да могат ИТ експертите на ЕСП да проверят дали инструментите отговарят на изискванията за сигурност.

17 За да получат доказателства, да потвърдят фактите и да проверят данните, събрани от други източници, одиторите на ЕСП проведоха одитни интервюта с:

  • генералните дирекции на Комисията за „Правосъдие и потребители“, „Мобилност и транспорт“, „Здравеопазване и безопасност на храните“ и „Съобщителни мрежи, съдържание и технологии“;
  • Европейския център за профилактика и контрол върху заболяванията, чиито отговорности включват карти на рисковете и насоки по отношение на COVID-19;
  • здравните органи в държавите членки и страни извън ЕС;
  • представители на авиокомпании, туристическата индустрия и асоциации на потребителите.

18 Одиторите на ЕСП също така проведоха проучване, за да съберат обратна връзка относно използването на такива инструменти във всяка държава членка. От 27-те делегати на държавите членки, участващи в състава на механизма на Съвета за интегрирана реакция на политическо равнище при кризи, 13 отговориха на проучването на ЕСП. Това представлява 48 % от запитаните. Одиторите на ЕСП използваха това проучване в подкрепа на анализа и за потвърждение на наблюденията си.

Констатации и оценки

Комисията е разработила подходящи технологични решения, но не всички държави членки са ги въвели

19 В този раздел се разглежда дали Комисията е разработила правилно инструментите за улесняване на пътуванията по време на пандемията от COVID-19, и по-специално дали:

  1. е мобилизирала средства на ЕС веднага след началото на пандемията;
  2. е предоставила инструментите своевременно;
  3. е взела предвид нуждите на държавите членки и готовността им да използват инструментите; и
  4. е взела предвид въпросите, свързани с ИТ сигурността и неприкосновеността на личния живот по отношение на чувствителните здравни данни.

20 ЕСП провери дали изборът на Комисията на източници на финансиране и доставчици на услуги ѝ е позволил да започне работа по разработване на инструментите веднага след началото на пандемията. ЕСП разгледа също и процеса на консултации, за да прецени дали инструментите са били съобразени с приоритетите на държавите членки. И накрая, ЕСП оцени дали инструментите са съобразени с най-добрите практики по отношение на защитата на личните данни и ИТ сигурността.

Комисията е мобилизирала в кратки срокове средства на ЕС за инструментите

21 Комисията е мобилизирала финансиране на ЕС от различни източници, като например Инструмента за спешна подкрепа и програма „Цифрова Европа“. ЕС е отпуснал 71 млн. евро за разработване на инструментите. На фигура 2 е представено нагледно финансирането от Съюза за отделните инструменти.

Таблица 2 — Преглед на финансирането от Съюза по инструменти

Източник: ЕСП.

22 Финансирането от Съюза за Цифровия COVID сертификат на ЕС възлиза на 50 млн. евро (43 млн. евро от Инструмента за спешна подкрепа и допълнително 7 млн. евро от програма „Цифрова Европа“). Към март 2022 г. 77 % от този бюджет е бил разпределен за разработване и адаптиране на национални решения и свързването им с портала за Цифровия COVID сертификат на ЕС: 21,9 млн. евро са предоставени на частен изпълнител, а 16,7 млн. евро са били изплатени под формата на безвъзмездна финансова помощ на държавите членки.

23 Финансирането от Съюза за портала за проследяване на контакти възлиза на приблизително 16,8 млн. евро (от които 13 млн. евро от Инструмента за спешна подкрепа). Комисията обоснова това финансиране с необходимостта „да се улесни обменът на данни между държавите, като се даде възможност на националните приложения да уведомяват потребители, които са били изложени на контакт с потребител, използващ друго национално приложение, и който е дал положителен резултат от направено изследване за COVID-19“.

24 За платформата за обмен на формуляри за локализиране на пътници и цифровия формуляр за пътници на ЕС е било необходимо много по-малко финансиране от ЕС: за платформата за обмен са отпуснати около 2,9 млн. евро (предимно от Инструмента за спешна помощ), а за цифровите формуляри — 1,3 млн. евро (с финансиране от здравните програми на ЕС). Финансирането, отпуснато за платформата за обмен, е използвано за финансиране на пилотен проект за проверка на осъществимостта на платформата и за разширяване на мащаба ѝ, за да обхване повече държави членки и видове транспорт. Финансирането на цифровата версия на формулярите за локализиране на пътници е използвано за разработване, облачен хостинг и прехвърляне на инструмента в ИТ средата на Европейската комисия.

25 Освен това след въвеждането на Цифровия COVID сертификат на ЕС Съюзът е предоставил 100 млн. евро за подпомагане на тестването за COVID-19 в държавите членки9. Това финансиране е следствие на политическото споразумение от 20 май 2021 г. между Европейския парламент и Съвета относно Регламента за Цифров COVID сертификат на ЕС. Държавите членки са използвали по-голямата част (90 %) от тези отпуснати средства, което е направило възможно издаването на допълнителни сертификати въз основа на направени изследвания, за да се улеснят пътуванията.

26 ЕСП установи, че Комисията е мобилизирала бързо това финансиране и е възприела прагматичен подход към разработването на инструментите, който отразява необходимостта от бързото им предоставяне. Инструментите са разработени при времеви ограничения, без да се изискват оферти от различни изпълнители. Вместо да използва конкурентни тръжни процедури за осигуряване на лицензи и разработване на портала за проследяване на контакти, Цифровия COVID сертификат на ЕС и платформата за обмен на формуляри за локализиране на пътници, Комисията е използвала рамкови договори, които вече е била подписала с доставчик на ИТ услуги на 30 октомври 2019 г. и на 24 февруари 2020 г. Рамковите договори установяват общите условия на търговските взаимоотношения и предоставят основа за подписване на конкретни договори за отделни доставки. Първото финансиране за цифровите формуляри на ЕС за локализиране на пътници е мобилизирано през юли 2020 г. в рамките на съвместното действие EU Healthy Gateways чрез преразпределяне на средства от дейности, които не са били възможни поради пандемията.

27 В случая с Цифровия COVID сертификат на ЕС Комисията е избрала доставчик, като е използвала рамков договор, възложен чрез процедура на договаряне, стартирана през 2019 г., без да се публикува обявление за поръчка. Според Комисията избраният доставчик е имал опит в разработването на портал за проследяване на контакти и е бил единственият, който е разполагал с необходимите експертни умения в областта на софтуера, използван за Цифровия COVID сертификат на ЕС.

Комисията е разработила своевременно портала за проследяване на контакти и системата за Цифровия COVID сертификат на ЕС, но по отношение на формулярите за локализиране на пътници, национални решения са били разработени по-рано от тези на ЕС

28 Когато през март 2020 г. Световната здравна организация обявява COVID-19 за пандемия, държавите членки са започнали да налагат ограничения на свободното движение10, а Комисията — да издава насоки, за да улесни координацията между тях11. Порталът за проследяване на контакти е започнал да функционира седем месеца след обявяването на пандемията, а Цифровият сертификат на ЕС и формулярът за локализиране на пътници са започнали да се прилагат 15 месеца след тази дата. На фигура 3 е представен графикът за разработване и въвеждане на инструментите. Като се вземат предвид правните и техническите изисквания за инструментите, описани по-долу, ЕСП счита, че порталът за проследяване на контакти и Цифровият COVID сертификат на ЕС са разработени своевременно, но не и инструментите, свързани с формулярите за локализиране на пътници.

Фигура 3 — График за разработване и въвеждане на инструментите на ЕС

Източник: ЕСП.

29 Първият разработен инструмент е порталът за проследяване на контакти — общоевропейска система за осигуряване на оперативна съвместимост между националните приложения за проследяване на контакти. На 13 май 2020 г. Комисията е издала набор от насоки и препоръки, които да помогнат за постепенното премахване на ограниченията за пътуване12, наложени от държавите членки. В насоките се насърчава използването на технологии за тази цел. Порталът започва да функционира през октомври 2020 г., пет месеца след публикуването на насоките от Комисията.

30 В края на април 2020 г., само един месец след налагането на първите ограничения, съвместното действие EU Healthy Gateways е отправило предложение до Комисията за цифровизиране на формулярите за локализиране на пътници. Обсъжданията между Комисията и държавите членки обаче са отнели няколко месеца и предложението е прието през август 2020 г. През октомври 2020 г. Съветът е препоръчал13 разработването на общ цифров формуляр на ЕС за локализиране на пътници. По това време няколко държави членки вече са били в напреднал стадий на разработване на собствени национални решения (вж. таблица 1).

31 Вследствие на препоръката на Съвета през ноември 2020 г. Комисията е започнала работа по платформата за обмен на формуляри за локализиране на пътници. Решението за изпълнение на Комисията14, уреждащо обмена на формуляри, обаче е прието едва на 27 май 2021 г. Държавите членки са започнали реално да обменят цифрови формуляри в платформата едва през юли 2021 г.

Таблица 1 — Примери за електронните формуляри за локализиране на пътници, използвани в държавите членки

Държава Дата на въвеждане
Национално решение — Испания юли 2020 г.
Национално решение — Гърция юли 2020 г.
Национално решение — Ирландия август 2020 г.
Инструмент на ЕС — Италия май 2021 г.
Инструмент на ЕС — Малта юли 2021 г.
Инструмент на ЕС — Словения август 2021 г.
Инструмент на ЕС — Франция декември 2021 г.

Забележка: Държавите, приели решенията на ЕС за цифров формуляр за локализиране на пътници, са отбелязани с удебелен шрифт.

Източник: ЕСП.

32 Цифровият COVID сертификат на ЕС е четвъртият инструмент, разработен от Комисията. Работата по него е започнала по-късно, отколкото по другите инструменти, тъй като е била тясно свързана с процеса на ваксиниране в ЕС. Дискусиите относно сертификат за ваксинация срещу COVID-19 са се водили между Комисията и държавите членки от ноември 2020 г. в мрежата за електронно здравеопазване15 (вж. каре 1), където Естония е представила първия пилотен проект за сертификат за ваксинация с възможност за цифрова проверка.

33 На 21 декември 2020 г. Европейската агенция по лекарствата е препоръчва първата ваксина за разрешаване, а няколко дни по-късно започват първите ваксинации в целия ЕС. Един месец по-късно, на 28 януари 2021 г., държавите от ЕС са приели основни насоки за оперативно съвместимо доказателство за ваксинация за медицински цели16, уникален идентификатор на сертификата и принципи на рамката за доверие.

34 В политическото споразумение от 20 май 2021 г. между Европейския парламент и Съвета относно Регламента за Цифровия COVID сертификат на ЕС като краен срок за прилагане на схемата е определен краят на юни. Поради това Комисията е трябвало да работи по техническата разработка успоредно със законодателната работа по регламента17.При разработването на техническата архитектура тя е взела предвид предишния опит с портала за проследяване на контакти, което ѝ е позволило да ускори разработването на инструмента. На 17 март 2021 г. Комисията е завършила законодателното си предложение18. Седем държави са започнали да използват Цифровия COVID сертификат на ЕС на 1 юни 2021 г., един месец преди влизането в сила на регламента, позволяващ сертификатите на гражданите и жителите на ЕС да се издават, проверяват и приемат в целия ЕС. До 1 юли всички държави — членки на ЕС/ЕИП (с изключение на Ирландия, която се е присъединила на 14 юли 2021 г., след като през май 2021 г. е претърпяла кибератака срещу националната си здравна служба), са били свързани към портала за Цифровия COVID сертификат на ЕС.

35 Европейският парламент и Съветът са приели регламента на 14 юни 2021 г., по-малко от три месеца след първоначалното предложение19. Това е много кратък срок, като се има предвид, че средната продължителност на законодателната процедура за приемане на закони на ЕС на първо четене, е малко под 18 месеца20. Това означава, че Цифровият COVID сертификат на ЕС е бил пуснат в действие точно в началото на периода на летните отпуски и при засилването на усилията за ваксиниране на целия континент: на 10 юли 2021 г. ЕС е получил достатъчно ваксини за ваксиниране на 71 % от възрастното население на Съюза.

При разработването на някои от инструментите Комисията не е успяла да преодолее резервите на някои държави членки

36 Необходимостта в кратки срокове да бъдат предоставени инструментите и да се улеснят пътуванията по време на пандемията от COVID-19 са подтикнали Комисията да започне разработването им1 без да извърши предварителна оценка на въздействието. Такива оценки се използват, за да се определят вероятните последици от публичните политики и необходимостта от действия на равнището на ЕС. В насоките на ЕС за по-добро регулиране21 от Комисията се изисква, при нормални обстоятелства, преди всеки нов регламент да извърши оценка на въздействието на политиката. В тях обаче също се признава, че при извънредни обстоятелства, като например извънредна ситуация, изискваща бърза реакция, може да не е възможно или подходящо да се следват всички предписани от тях стъпки.

37 Въпреки че не е извършила оценка на въздействието, Комисията се е консултирала с държавите членки относно портала за проследяване на контакти и цифровите сертификати чрез работни групи. Още през декември 2020 г. в рамките на мрежата за електронно здравеопазване една техническа подгрупа е анализирала възможностите за поддържане на цифрови сертификати за ваксинация и за улесняване на обмена на тази информация между държавите членки. Комисията не е провела такива подробни консултации преди да пристъпи към разработване на другите инструменти. Проучването на ЕСП потвърди, че не всички държави членки са били заинтересовани да използват всички вече разгледани инструменти на ЕС.

38 Според проучването на ЕСП почти половината от 11-те държави членки, които съобщават, че не са използвали инструментите за формуляр за локализиране на пътници, не са били склонни да го направят заради защитата на данните и други правни съображения. Три държави членки са посочили, че вече са разработили свои собствени национални формуляри за локализиране на пътници, съобразени с индивидуалните им нужди, и не са счели, че ще имат полза от преминаване към разработените от ЕС решения.

39 Освен това при консултациите в рамките на Healthy Gateways, проведени през октомври 2021 г. и март 2022 г., мненията на държавите членки относно полезността на инструментите за формуляра за локализиране на пътници са се различавали. Пет държави — членки на ЕС са използвали поне един от инструментите, десет са изразили интерес към използването им, а дванадесет страни са заявили, че е малко вероятно да започнат да ги използват, включително две държави (Дания и Швеция) са заявили, че не се интересуват от използването им.

40 По отношение на портала за проследяване на контакти, не всички държави членки са се присъединили, когато през септември 2020 г. решението е станало достъпно. Държавите членки са се присъединили постепенно, по свое желание и в зависимост от готовността на своите приложения. До средата на ноември 2020 г. шест държави членки са свързали своите приложения. Другите са ги последвали постепенно до юли 2021 г., когато са свързани 19 държави членки.

Комисията е взела предвид опасенията, свързани със защитата на данните, и е приложила добри практики за ИТ сигурност

41 Два важни риска, на които следва да се обърне внимание при разработването на инструменти за управление на здравни данни22, са:

  1. защита на данните: здравните данни са изключително чувствителни елементи и съгласно Общия регламент относно защитата на данните са признати като специална категория данни23. Поради това инструментите, използвани за управление на такива данни, следва да включват специални предпазни мерки и контрол за защита на съхраняваната и изпращаната информация. ЕСП разгледа оценките на въздействието върху защитата на данните във връзка с инструментите и дали въведените процеси свеждат до минимум обработката на лични данни.
  2. ИТ сигурност: цифровизацията на здравните услуги и достъпът до електронни здравни досиета увеличават риска от инциденти, свързани с киберсигурността, тъй като предоставят нови потенциални точки за достъп за киберпрестъпниците. Поради това ЕСП оцени дали инструментите са разработени и се използват в съответствие с добрите практики за сигурност24.

42 От гледна точка на защитата на данните участващите в схемата държави членки са „съвместни администратори на данни“ (по смисъла на Общия регламент относно защитата на данните) за приложенията, които се прилагат в целия ЕС, като напр. портала за проследяване на контакти и някои специфични функции на Цифровия COVID сертификат на ЕС. Те споделят отговорността за вземане на решение за това как и за какви цели се обработват личните данни, както и за въвеждането на подходящ контрол. Всяка държава следва да изготви оценка на въздействието върху защитата на данните, за да идентифицира и намали рисковете, произтичащи от използването на такива приложения за обработване на лични данни. Комисията, която функционира като „обработващ лични данни“ от тяхно име, е подпомогнала държавите членки при изготвянето на техните оценки на въздействието върху защитата на данните по отношение на инструментите на ЕС, обхванати от настоящия доклад, като е предоставила помощна документация и образци25. Използването на тези образци е доброволно и Комисията не е била отговорна да наблюдава дали държавите членки са ги използвали или не.

43 Цифровият COVID сертификат на ЕС и порталът за проследяване на контакти са възприели техническа архитектура, която свежда до минимум събирането на лични данни чрез централните портали на ЕС. При Цифровия COVID сертификат на ЕС личните данни на гражданите на ЕС остават в националните системи, под отговорността на съответните държави членки. Централният портал е получавал само криптографската информация (а по-късно и списъци на отменените сертификати), необходима на националните органи за проверка на валидността на сертификатите. Порталът за проследяване на контакти е обработвал само псевдонимни лични данни под формата на случайни идентификатори, известни като „ключове“, генерирани от приложенията за проследяване на контакти. Този подход е намалил значително рисковете по отношение на защитата на данните.

44 Регламентът за Цифровия COVID сертификат на ЕС не предписва стандартен процес за отнемане на сертификати, ако например се установи, че те са издадени чрез измама. Участващите държави са имали свобода да прилагат избрано от тях техническо решение. Комисията не е отговаряла за оценката на надеждността на тези решения от гледна точка на защитата на данните.

45 За да се гарантира, че отменен сертификат може да бъде идентифициран в други държави, държавите членки е трябвало да обменят двустранно информация под формата на списъци на отменени сертификати. Едно от опасенията, изразено по време на одита на ЕСП, е че такъв двустранен обмен, включващ различни участници и решения за отмяна, е неефективен, особено с оглед на нарастващия брой нови сертификати.

46 За да се преодолеят тези опасения, на 30 март 2022 г., осем месеца след въвеждането на Цифровия COVID сертификат на ЕС, Комисията публикува технически спецификации и правила за установяване на по-ефективен механизъм за обмен на списъци на отменените сертификати чрез централния портал. В спецификациите също се препоръчват три технологии за разпространение на списъците на отменените сертификати от националните бази данни до приложенията, използвани за проверка на сертификатите. Ако се прилагат правилно, може да се счита, че предложените решения запазват поверителността, въпреки че едно от тях (bloom filters) отчита съображенията за неприкосновеност на личния живот много по-добре от другите две26. Въпреки това използването на тези решения е било доброволно и Комисията не е имала правомощия да следи дали държавите членки ги прилагат.

47 Рисковете, свързани с ИТ сигурността, могат да бъдат преодолени и намалени със структурирана рамка за ИТ сигурност27. Обикновено тя се състои от няколко елемента, като например правила за управление, политики за сигурност, изисквания и стандарти. Тя включва и добри практики като активно търсене на слаби места („проверки на уязвимостта“) и активно тестване на защитите („изпитвания за проникване“).

48 Комисията разполага със собствена рамка за ИТ сигурност28, която се прилага за всички информационни системи, хоствани в нейни центрове за данни, включително порталите за Цифровия COVID сертификат на ЕС. Рамката е съобразена с международните стандарти29. Според нея Комисията следва да извършва оценка на риска за всяка ИТ система, да противодейства на съответните рискове посредством план за ИТ сигурност и да прилага набор от официални политики и стандарти за сигурност.

49 Комисията е предприела разумни мерки за осигуряване на ИТ сигурност по отношение на портала за проследяване на контакти. При влизане на системата в действие (октомври 2020 г.) специализирано дружество е извършило оценка на сигурността на дизайна и на изходния код на портала и не е открило никакви съществени недостатъци. Проведени са три проверки чрез етично хакерство, за да се съберат допълнителни гаранции за сигурността на портала.

50 Комисията също е определила минимални изисквания за сигурност за националните приложения за проследяване на контакти, които се свързват с платформата за обмен на портала за проследяване на контакти. Анализът на ЕСП на тази архитектура за сигурност и на отговорите от проучванията на държавите членки установи, че техническият процес на свързване на националните системи с портала на ЕС („присъединяване“) е бил структуриран и е взел предвид аспектите на ИТ сигурността.

51 Що се отнася до Цифровия COVID сертификат на ЕС, ГД „Информатика“ е извършила оценки на уязвимостта на портала, а независим изпълнител е извършил допълнителни изпитвания за проникване. Тестовете са потвърдили, че централният портал е проектиран по начин, който гарантира високо ниво на сигурност. Повечето от установените проблеми се отнасят по-скоро до инфраструктурата, отколкото до изходния код. Във връзка с установените уязвимости са предприети последващи действия. Консултантите, изпълнили изпитванията за проникване в портала, са препоръчали извършването на цялостен одит на повече компоненти, включително на тези, които могат да се използват на национално равнище, като например услугата за издаване на сертификати или мобилните приложения. Този допълнителен одит е приключил през април 2022 г., като архитектурата за сигурност на инструмента не е била поставена под съмнение.

52 Държавите членки и държавите извън ЕС, участващи в схемата за рамката на Цифровия COVID сертификат на ЕС, са генерирали сертификатите в своите национални системи. В случай на компрометиране на националните системи и получаване на достъп от неоторизирани лица, злонамерени потребители биха могли да издават валидни сертификати чрез измама. Широкото разпространение на такива сертификати би могло да окаже влияние върху свободата на движение, като подкопае доверието в Цифровия COVID сертификат на ЕС и по този начин увеличи риска държавите членки да въведат отново допълнителни ограничения. Поради това е било важно да се гарантира, че националните системи включват подходящи механизми за контрол на сигурността.

53 По отношение на проверките на сигурността в системите на участващите държави Комисията е разчитала и на въпросници за самооценка, попълнени от държавите, но не е имала правомощия да проверява действителното им съответствие (например чрез преглед на доклади от проверки на уязвимостта, одитни доклади, планове за действие или международни сертификати). Това ограничава увереността по отношение на сигурността на националните системи.

54 Събеседванията, проведени от ЕСП, потвърдиха, че в държава извън ЕС е възникнал инцидент, свързан с ИТ сигурността. Националното приложение на тази държава е било уязвимо, което е позволило на неоторизирани потребители да получат достъп до приложението и да създават незаконни сертификати на национално равнище, докато инцидентът е бил открит и отстранен. Според доклада за инцидентите, изготвен от засегнатата държава, това е засегнало само ограничен брой сертификати.

55 Не съществуват технически решения, които да могат да намалят всички рискове. Дори най-съвременните средства за контрол на сигурността не могат да попречат на оторизирани служители със законен достъп до националните системи да злоупотребят с правомощията си и да генерират сертификати чрез измама.

56 Ето защо докладването и справянето с инциденти като издаване на сертификати чрез измама изисква бърз обмен на информация между компетентните органи. Държавите членки и държавите извън ЕС, с които ЕСП се консултира, споделиха, че докладването на такива проблеми е отнемало време поради трудности при идентифицирането на точните партньори в други държави.

57 По отношение на цифровите формуляри на ЕС за локализиране на пътници и платформата за обмен са приложени следните препоръчани практики за ИТ сигурност30: двуфакторно удостоверяване, сигурни комуникационни протоколи, защитни стени за уеб приложения и контрол на сигурността при физически достъп. Също така изпълнителят е извършил оценка на ИТ риска и е въвел структурирана процедура за присъединяване на държавите към системата.

58 Въпреки това първото изпитване за проникване на тази система е проведено едва през март 2022 г., една година след свързването на първата държава. След изпитването външният доставчик на услуги е разработил план за изпълнение, за да се предприемат мерки във връзка с констатациите. Това означава, че системата е функционирала в продължение на една година с неустановени уязвимости.

Неравномерно въздействие на инструментите на ЕС за улесняване на пътуванията по време на пандемията от COVID-19

59 В този раздел се разглежда дали инструментите на ЕС са улеснили пътуванията в ЕС през първите години на пандемията от COVID-19. По-специално ЕСП разгледа дали инструментите:

  1. са използвани масово от държавите членки, тъй като това е необходимо, за да бъдат ефективни; и
  2. са подобрили координацията и обмена на информация между държавите членки във връзка с налаганите от тях ограничения за пътуване, като по този начин са били решени два проблема, за които по-рано е установено, че засягат пътуванията в рамките на ЕС31.

60 Европейската сметна палата събра и анализира данните за използването на инструментите от държавите членки. Бяха сравнени и ограниченията за пътуване, наложени от държавите членки преди и след въвеждането на Цифровия COVID сертификат на ЕС.

Инструментите на формуляра на ЕС за локализиране на пътници и порталът за проследяване на контакти не са оказали очакваното въздействие поради ограниченото им използване в държавите членки

61 За да постигнат планираното въздействие, инструментите на ЕС е трябвало да се използват масово. В таблица 2 е обобщено използването на инструментите от всяка държава членка. Тя показва, че Цифровият COVID сертификат на ЕС е единственият инструмент, използван във всички държави членки.

Таблица 2 — Използване на инструментите на ЕС, разработени в подкрепа на свободното движение, в държавите членки

  Портал за проследяване на контакти Цифров формуляр на ЕС за локализиране на пътници Цифров COVID сертификат на ЕС Обмен на формуляри за локализиране на пътници
Белгия        
България        
Чехия        
Дания        
Германия        
Естония        
Ирландия        
Гърция        
Испания        
Франция        
Хърватия        
Италия        
Кипър        
Латвия        
Литва        
Люксембург        
Унгария        
Малта        
Нидерландия        
Австрия        
Полша        
Португалия        
Румъния        
Словения        
Словакия        
Финландия        
Швеция        

Източник: ЕСП.

62 Цифровите формуляри на ЕС за локализиране на пътници и платформата за обмен не са използвани в достатъчна степен от държавите членки, за да окажат значимо въздействие за ограничаване на разпространението на COVID-19 и за улесняване на безопасното пътуване.

63 Цифровият формуляр на32 ЕС за локализиране на пътници е използван само от четири държави членки, а 17 други държави членки са продължили да разчитат на национални решения. От почти 27-те млн. формуляра, издадени до февруари 2022 г., 91,6 % (24,7 млн.) са били от Италия.

64 По същия начин използването на платформата за обмен е било много ограничено. Макар че на теория инструментът може да се използва за обмен на информация от всяка национална платформа, той е бил възприет предимно от онези държави, които са използвали и формулярите на ЕС. Като цяло използването на платформата е останало незначително, като през 2021 г. са обменени само три формуляра, а през първите два месеца на 2022 г. — 253. Всички тези 256 формуляра, с изключение на един, са от Испания.

65 Въвеждането на приложения за проследяване на контактите се различава значително между държавите членки. Някои държави членки изобщо не са въвели приложение за проследяване на контакти. В тези, които са го направили, действителното използване сред населението е било ограничено. Всички приложения за проследяване на контакти са изтеглени общо 74 млн. пъти от граждани на ЕС (към октомври 2021 г.). Въпреки това няма статистически данни на ниво ЕС за това колко хора са ги използвали в действителност.

66 До 22 май 2022 г. общият брой на потвърдените случаи на COVID-19 е бил над 522 млн.33, като до тази дата са били качени 55 млн. криптографски ключа. Данните от портала за проследяване на контакти показват неравномерно използване на инструментите за проследяване на контакти сред държавите членки, като 83 % от криптографските ключове са били качени само от потребители от Германия (вж. приложение II).

67 Като цяло разгледаните инструменти са разработени в отговор на възникващи нужди, което е затруднило последователното създаване на полезни взаимодействия между тях. Например, въпреки че са неразривно свързани, цифровият формуляр на ЕС за локализиране на пътници и платформата за обмен на такива формуляри са разработени поотделно (съответно от съвместното действие EU Healthy Gateways и Агенцията за авиационна безопасност на Европейския съюз). Аналогично, насоките за комбиниране на Цифровия COVID сертификат на ЕС и формулярите за локализиране на пътниците са били предоставени на ниво ЕС след съответното въвеждане на двата инструмента и до момента не са приложени.

68 Тъй като инструментите са създадени да работят в краткосрочен план, няма въведени гъвкави процедури за използването им в по-дългосрочен план или за бързото им повторно активиране, в случай че са необходими в бъдеще. Например настоящото правно основание за Цифровия COVID сертификат на ЕС е валидно до юни 2023 г. и ще трябва да се подновява всяка година от Европейския парламент и Съвета въз основа на предложение на Комисията. По време на одита на ЕСП Комисията изтъкна, че би било изключително трудно, както от правна, така и от техническа гледна точка, да се възобнови издаването на сертификати в кратък срок.

Държавите членки са използвали масово Цифровия COVID сертификат на ЕС, което е улеснило пътуванията

69 Порталът на ЕС за Цифровия сертификат на ЕС започва да функционира на 1 юни 2021 г., като към него са свързани седем държави членки. В рамките на месец и половина се свързват всичките 27 държави — членки на ЕС. Решението, предложено от Комисията, привлича голям интерес и извън ЕС. Към юли 2022 г. 45 държави и територии извън ЕС са приели рамката на ЕС за Цифровия COVID сертификат на ЕС.

70 До 13 октомври 2021 г. държавите членки са издали 585 млн. сертификата. Пет месеца по-късно са издадени 1,7 млрд. сертификата, повечето от които (1,1 млрд.) въз основа на ваксинация. Този брой е по-голям от броя на населението на ЕС, тъй като едно лице може да има няколко сертификата (например може да получи два сертификата за тестване, преди да бъде ваксинирано). След всяка доза ваксина, преболедуване или направено изследване е бил създаван един Цифров COVID сертификат на ЕС. Освен за улесняване на пътуванията Цифровият COVID сертификат е бил използван в държавите членки и за контрол на достъпа до обществени места като ресторанти или театри. Разбивка по държави членки на тези 1,7 млрд. Цифрови COVID сертификата на ЕС е представена във фигура 4.

Фигура 4 — Общ брой Цифрови COVID сертификати на ЕС, генерирани от държавите членки (към март 2022 г.)

Източник: ЕСП, въз основа на данни от Комисията.

71 Инструментите, обхванати от настоящия доклад, са насочени към улесняване на безопасното пътуване. Поради пандемията много държави членки са решили да въведат различни ограничения за пътуване. В специалния доклад на Европейската сметна палата относно свободното движение в ЕС по време на пандемията от COVID-1934 се стига до заключението, че към юни 2021 г. държавите членки все още са прилагали редица некоординирани ограничения за пътуване, включително PCR тестове, изисквания за поставяне под карантина и забрани за влизане.

72 В действителност до влизането в сила на Цифровия COVID сертификат на ЕС ограниченията за влизане на пътници са се основавали на здравния риск в географския район, от който пътуват. Това се променя през юли 2021 г. с въвеждането на Регламента за Цифровия COVID сертификат на ЕС, като скоро след това ограниченията постепенно са започнали да се прилагат за отделни лица, а не за географски райони, и са се основавали предимно на притежаването на валиден сертификат.

73 В допълнение към тази промяна в естеството на ограниченията за пътуване с Регламента за Цифровия COVID сертификат на ЕС е бил въведен и нов официален механизъм за подобряване на обмена на информация относно такива ограничения. След влизането в сила на регламента държавите членки е трябвало да информират Комисията и другите държави членки, ако възнамеряват да въведат нови ограничения. Уведомленията е следвало да включват причините за допълнителните ограничения, както и техния обхват и продължителност. До март 2022 г. 13 държави членки са предоставили информация в съответствие с тази разпоредба.

74 През юли 2021 г. консултация на Комисията относно ограниченията за пътуване е показала, че всички държави членки (с изключение на Гърция, Унгария и Италия, които са отговорили по-късно) са отменили ограниченията си за притежателите на Цифровия COVID сертификат на ЕС. На фигура 5 са показани разликите в ограниченията за пътуване преди и непосредствено след въвеждането на системата на сертификати (юни и юли 2021 г.). Дванадесет от 13-те респонденти в проучването на ЕСП са съгласни, че Цифровият COVID сертификат на ЕС е спомогнал за координирането на ограниченията за пътуване между държавите членки.

Фигура 5 — Опростено представяне на ограниченията за влизане, прилагани от 27-те държави — членки на ЕС

Източник: ЕСП, въз основа на информация от Комисията.

Заключения и препоръки

75 ЕСП стига до заключението, че въпреки ограничената си компетентност по отношение на политиката в областта на общественото здраве, Комисията е реагирала бързо и е предложила подходящи технологични решения за улесняване на пътуванията в рамките на ЕС по време на пандемията от COVID-19. Въздействието на някои от тези инструменти обаче зависи от готовността на държавите членки да ги използват. Докато Цифровият COVID сертификат на ЕС е получил силна подкрепа и ефективно е улеснил пътуванията, въздействието на другите инструменти е било слабо поради ограниченото им използване.

76 Комисията е мобилизирала в кратки срокове 71 млн. евро за разработването на инструментите, като е комбинирала няколко източника на финансиране и е използвала съществуващи рамкови договори вместо процедури за възлагане на обществени поръчки. Инструментите са били с единствено по рода си предназначение, което означава, че не е имало други съществуващи системи, подходящи за сравнение (точки 2127).

77 Комисията е разработила своевременно портала за проследяване на контакти и цифровите сертификати на ЕС. Порталът за проследяване на контакти, предназначен да осигури оперативна съвместимост между приложенията за проследяване на контакти, е влязъл в действие през октомври 2020 г., седем месеца след като Световната здравна организация обяви пандемичен мащаб на COVID-19. Техническото разработване на Цифровия COVID сертификат на ЕС се основава на предишния опит с портала за проследяване на контакти и е било завършено преди държавите членки да приключат с изпълнението на своите планове за ваксинация. Законодателният процес за приемане на Цифровия COVID сертификат на ЕС също е бил много по-бърз от обичайното (точки 2835).

78 Комисията не е успяла да преодолее резервите на някои държави членки относно използването на решенията на ЕС за формулярите за локализиране на пътници, които са били предоставени след като няколко държави членки вече са били разработили свои собствени инструменти. В резултат на това инструментите на ЕС са използвани само от пет държави членки (точки 3640).

Препоръка 1 — Да се разгледат причините за слабото използване на цифровите формуляри на ЕС за локализиране на пътници

Комисията следва да разгледа причините за слабото използване на цифровия формуляр на ЕС за локализиране на пътници и платформата за обмен и да насърчи по-широкото възприемане на тези инструменти от държавите членки по време на бъдещи фази на пандемията от COVID-19.

Целеви срок за изпълнение — декември 2023 г.

79 Като цяло при разработването на инструментите Комисията е взела предвид изискванията за защита на данните и добрите практики в областта на ИТ сигурността. Инструментите на ЕС свеждат до минимум използването на лични данни (точки 4243). В повечето случаи оценки на рисковете за сигурността и изпитвания за проникване са извършвани систематично — единственото изключение са някои забавени изпитвания на сигурността във връзка с цифровия формуляр на ЕС за локализиране на пътници, което означава, че инструментът е функционирал в продължение на една година с неустановени уязвимости (точки 4751 и 5758).

80 По отношение на Цифровия COVID сертификат на ЕС, участващите държави е трябвало да обменят двустранно списъци с издадени чрез измама сертификати, използвайки различни комуникационни канали. Този подход прави блокирането на сертификати, издадени чрез измама, по-малко ефективно. До март 2022 г. Комисията е предложила осъществими решения за справяне с този проблем, но те са доброволни (точки 4446). Освен това механизмите, по които държавите се информират взаимно за инциденти, изискващи спешна реакция (напр. сертификати, издадени чрез измама), отнемат много време (точки 5556).

Препоръка 2 — Да се усъвършенства комуникацията относно инциденти, свързани с Цифровия COVID сертификат на ЕС

Комисията следва да създаде условия за пряка комуникация между официалните лица за контакт на всяка държава, участваща в схемата за Цифровия COVID сертификат на ЕС, с оглед да се рационализира комуникацията в случай на извънредни ситуации, свързани със сертификатите.

Целеви срок за изпълнение — юни 2023 г.

81 Тъй като кодовете, използвани в Цифровия COVID сертификат на ЕС, са били генерирани от националните системи на участващите държави, било е важно тези системи да включват адекватни механизми за контрол на сигурността. Комисията е разчитала на самооценките на ИТ сигурността, извършени от участващите държави, тъй като тя няма правомощия да проверява действителното им съответствие с изискванията за сигурност. Това ограничава увереността по отношение на състоянието на сигурността на националните системи (точки 5254).

82 Формулярите на ЕС за локализиране на пътници и порталът за проследяване на контакти не са имали очакваното въздействие, тъй като използването им е било ограничено. Цифровият формуляр на ЕС за локализиране на пътници е използван само от четири държави членки, докато другите държави са продължили да разчитат на национални решения. Цялостното използване на платформата за обмен на формуляри за локализиране на пътници е останало незначително, като през 2021 г. са обменени само три формуляра, а през първите два месеца на 2022 г. — 253. Използването на портала за проследяване на контакти е било възпрепятствано поради ограниченото въвеждане на приложения за проследяване на контакти от страна на държавите членки, а по-голямата част от трафика е бил генериран само от една държава (точки 6167).

83 Инструментите, разгледани от ЕСП, са разработени в отговор на възникващи нужди и работят независимо един от друг. Това, в съчетание с разнообразието от национални решения за формуляри за локализиране на пътници, е затруднило допълнително осигуряването на равномерно приемане на инструментите на ЕС. Инструментите също така са били създадени да действат в краткосрочен план в отговор на здравната криза. Не са въведени конкретни процедури за използването им в по-дългосрочен план или за бързото им повторно активиране, в случай че са необходими в бъдеще. Настоящото правно основание за Цифровия COVID сертификат на ЕС е валидно до юни 2023 г. и ще трябва да се подновява всяка година чрез стандартната законодателна процедура на ЕС (точка 68).

84 ЕСП установи, че Цифровият COVID сертификати на ЕС ефективно е улеснил пътуванията по време на пандемията от COVID-19. Държавите членки и няколко държави извън ЕС са използвали масово сертификатите, като до март 2022 г. в държавите от ЕС/ЕИП са издадени повече от 1,7 млрд. Цифрови COVID сертификата на ЕС. Освен това Европейската сметна палата установи, че в рамките на един месец след влизането в сила на Регламента за Цифровия COVID сертификат на ЕС държавите членки значително са хармонизирали ограниченията си за пътуване. По-конкретно, всички държави членки са премахнали ограниченията за пътуване за граждани на ЕС, притежаващи Цифровия COVID сертификат на ЕС, по силата на това, че са напълно ваксинирани, наскоро са получили отрицателен резултат от направено изследване или са преболедували COVID-19.

85 Освен това Цифровият сертификат на ЕС е допринесъл за по-добър обмен на информация и координация във връзка с ограниченията за пътуване, тъй като съгласно приложимия регламент държавите членки следва да докладват и обосновават въвеждането на ограничения за пътуване (точки 6974).

Препоръка 3 — Да се подготвят подходящи инструменти на ЕС, които да бъдат използвани при бъдещи кризи

Комисията следва:

  1. да определи онези инструменти на ЕС, създадени по време на пандемията от COVID-19, които са били най-полезни на гражданите и държавите членки, и да подготви процедури за бързото им повторно активиране в случай на бъдещи извънредни ситуации;
  2. чрез полезни взаимодействия или опростяване да улесни достъпа на гражданите на ЕС до инструментите на ЕС, използвани за улесняване на трансграничното проследяване на контактите по време на кризи;
  3. съвместно с държавите членки да анализира необходимостта от допълнителни инструменти за справяне с потенциални бъдещи кризи.

Целеви срок за изпълнение — септември 2023 г. за препоръки а) и в) и септември 2024 г. за препоръка б)

Настоящият доклад беше приет от Одитен състав III с ръководител Bettina Jakobsen — член на Европейската сметна палата, в Люксембург на 22 ноември 2022 г.

 

За Европейската сметна палата

Tony Murphy
Председател

Приложения

Приложение I— Описание на инструментите на ЕС, улесняващи безопасното пътуване по време на пандемията от COVID-19

Портална услуга на Европейската федерация

Порталната услуга на Европейската федерация е система, която позволява оперативна съвместимост между националните приложения за проследяване на контакти. Националните приложения за проследяване на контакти са разработени, за да информират гражданите за потенциални рискови контакти и да спомагат за прекъсване на веригите на предаване на COVID-19.

Приложението за проследяване на контакти постоянно записва контактите с намиращи се в близост потребители на приложенията за проследяване на контакти. На всеки 15 минути то генерира „ключ“ (идентификатор) за своя потребител с цел защита на правото на неприкосновеност на личния живот. Приложението използва Bluetooth, за да открива други намиращи се в близост смартфони и да обменя ключове. При всяка среща с друг потребител се обменят ключове между потребителите. Тези ключове се съхраняват в телефоните и на двамата потребители.

Когато даден потребител даде положителен резултат от направено изследване за COVID-19, той го обявява в приложението, което изпраща всички негови ключове от последните 14 дни до националния централен сървър в неговата държава. Сървърът изпраща ключовете на заразения потребител до приложенията на всички други потребители, където те се сравняват с ключовете, съхранявани в телефона. Ако има съвпадение, потребителят е бил в близост до заразеното лице и следователно бива предупреден.

По-голямата част от държавите членки са възприели този децентрализиран подход, при който комбинацията от ключовете на заразените лица се изпраща до приложенията на потребителите и сравнението се извършва на телефона на потребителя. Няколко държави членки са избрали по-централизиран подход, при който сравняването на ключовете и съпоставянето им с устройствата на потребителите се извършва в централните национални сървъри.

Националните платформи за проследяване на контакти, възприели децентрализирания подход и съвместимите технологични градивни елементи, могат да обменят помежду си анонимизирани ключове на заразени лица чрез портала на ЕС за проследяване на контакти. Следователно порталът за проследяване на контакти позволява на всеки пътуващ да използва своето национално приложение за проследяване на контакти по време на пътуванията си в други държави, свързани с портала на ЕС.

Цифров формуляр за локализиране на пътници

Органите за обществено здраве използват формуляри за локализиране на пътници, за да улеснят проследяването на контакти, когато пътуващите са изложени на инфекциозно заболяване по време на пътуването си със самолет, влак, кораб или автобус. Световната здравна организация и Международна организация за гражданско въздухоплаване са започнали да разработват тези формуляри още по време на предишни епидемични взривове (по-специално ебола).

Традиционно държавите, изискващи попълването на формуляри за локализиране на пътници, често използват формуляри на хартиен носител. Хартиените формуляри обаче имат значителни ограничения — те трудно се разчитат, а съдържащите се в тях данни трябва да се въвеждат ръчно в компютърни системи за автоматизирана обработка. Тези ограничения накараха много държави да разработят електронни версии. Цифровият формуляр на ЕС за локализиране на пътници е уеб приложение, разработено, за да се опрости използването на формуляри за локализиране на пътници по време на трансгранични здравни заплахи като COVID-19.

Пътникът попълва онлайн формуляра с данните за своето пътуване и получава уникален код за бърз отговор (QR). Този код може да бъде сканиран от компетентните органи в страните на местоназначение, за да се провери дали пътниците са предоставили необходимата информация. Целта на цифровия формат на формуляра е да улесни и ускори събирането и обмена на данни между заинтересованите страни и проследяването на контакти да стане по-ефикасно и ефективно.

Обмен на формуляри за локализиране на пътници

Когато даден пътник поучи положителен резултат от направено изследване за COVID-19, може да се наложи данните от формуляра за локализиране на пътници, събрани от една държава, да бъдат предоставени по сигурен начин на други засегнати държави единствено с цел проследяване на контактите с COVID-19. Поради ограниченията на съществуващата европейска система за обмен на здравна информация (системата за ранно предупреждение и реагиране) Комисията е решила да разработи специална платформа за обмен на данни от формулярите за локализиране на пътници между различните национални системи.

Платформата за обмен на формуляри за локализиране на пътници позволява сигурно криптирано предаване на данни между компетентните национални органи и не съхранява никакви данни. Органите на държавите членки могат да се свържат или чрез системата на ЕС, или чрез националните системи за цифрови формуляри за локализиране на пътници.

Цифров COVID сертификат на ЕС

Цифровият COVID сертификат на ЕС е доказателство, че дадено лице е било ваксинирано срещу, има отрицателен резултат от направено изследване за или е преболедувало COVID-19. Тези сертификати се издават от компетентните национални органи.

Сертификатите могат да бъдат предоставени както на хартиен носител, така и в електронен формат. И в двата случая те съдържат QR код, който ги предпазва от фалшифициране. Сигурността на решението се основава на използването на публични и частни криптографски ключове. Съществуват два вида ключове — частни, които се използват за цифрово подписване на QR кода, и публични, които позволяват да бъде проверен цифровият подпис.

Всеки орган, издаващ ключове, има собствен частен ключ и съответен публичен ключ. Частните ключове се съхраняват по сигурен начин, а публичните ключове се споделят в централната национална база данни. Органът предоставя своята система за издаване на ключове на съответните участници от сектора на здравеопазването (напр. болници и центрове за тестове), като им дава възможност да подписват по цифров път сертификатите.

Приложенията, които се използват за проверка на автентичността на Цифровия COVID сертификати на ЕС, получават публичните ключове от националните бази данни. Националните бази данни обменят публични ключове с други държави чрез портала за Цифровия COVID сертификат на ЕС. Следователно порталът позволява взаимна проверка на сертификатите в различни държави.

Приложение II—Въвеждане на приложенията за проследяване на контакти в ЕС

Въвеждането на приложения за проследяване на контакти не е равномерно в целия ЕС. Само в две държави членки броят на изтеглените приложения за проследяване на контакти е бил над 50 % от броя на населението. Фигурата по-долу показва разликите в положението в държавите членки, които са използвали децентрализирани приложения за проследяване на контакти.

Брой изтегляния на приложенията за проследяване на контакти като процент от населението

Източник: ЕСП въз основа на публично достъпни данни от Комисията и избрани държави членки.

Изтеглянето на приложението не означава, че проследяването на контакти действително се използва, тъй като е необходимо приложенията да бъдат активни и гражданите доброволно да декларират положителните резултати от направените им изследвания за COVID-19. Всеки път, когато потребителите декларират, че са получили положителен резултат, съответните ключове се качват в портала за проследяване на контакти. Данните от портала показват, че използването на проследяването на контакти е различно в различните държави членки. Броят на качените на портала ключове показва, че преобладаващата част от тях идват от една държава.

Дял на общия брой ключове, качени на портала за проследяване на контакти в ЕС

Източник: ЕСП, въз основа на публично достъпни данни от Порталната услуга на Европейската федерация (октомври 2020 – май 2022 г.).

Речник на термините

Администратор на данни: По смисъла на Общия регламент на ЕС относно защитата на данните, лице или организация, която определя как и за какви цели следва да се обработват личните данни.

Граничен контрол: Проверки и наблюдение, извършвани спрямо лица, които преминават или възнамеряват да преминат граница.

Изпитване за проникване: Метод за оценка на сигурността на дадена ИТ система, при който се правят опити за пробив в нейните механизми за защита чрез инструменти и техники, които обикновено се използват от враждебно настроени лица.

Проверки на уязвимостта: Процес на проверка на мрежови устройства, компютърни системи и приложения с цел идентифициране на евентуални проблеми и слаби места.

Шенгенско пространство: Група от 26 европейски държави, които са премахнали паспортния и имиграционния контрол по общите си граници.

Отговори на Европейската комисия

https://www.eca.europa.eu/bg/Pages/DocItem.aspx?did=62947

Одитен екип

Специалните доклади на ЕСП представят резултатите от нейните одити на политики и програми на ЕС или теми, свързани с управлението, в конкретни бюджетни области. ЕСП подбира и разработва одитните си задачи така, че те да окажат максимално въздействие, като отчита рисковете за изпълнението или съответствието, проверявания обем приходи или разходи, предстоящите промени, както и политическия и обществения интерес.

Настоящият одит на изпълнението беше извършен от Одитен състав III „Външни действия, сигурност и правосъдие“, с ръководител Bettina Jakobsen — член на ЕСП. Одитът беше осъществен под ръководството на члена на Европейската сметна палата Baudilio Tomé Muguruza, с подкрепата на Daniel Costa de Magalhães — началник на кабинета, и Ignacio García de Parada Miranda — аташе в кабинета, Alejandro Ballester Gallardo — главен ръководител; Piotr Senator — ръководител на задача; João Coelho, Mirko Iaconisi, Ioanna Topa и Andrej Minarovic — одитори. Michael Pyper предостави езикова подкрепа.

От ляво надясно: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi и Michael Pyper.

Бележки

1 Член 20, параграф 2, буква а) и член 21, параграф 1 от Договора за функционирането на ЕС.

2 Директива 2004/38/ЕО.

3 Член 168, параграф 7 от Договора за функционирането на ЕС.

4 Член 17 от Договора за Европейския Съюз (ДЕС).

5 член 4, параграф 2, буква к), член 6, буква а) и член 168 от ДФЕС.

6 Директива 2011/24/ЕС за упражняване на правата на пациентите при трансгранично здравно обслужване.

7 Специален доклад № 13/2022 на ЕСП.

8 Специален доклад № 19/2022 на ЕСП.

9 Изявление на Комисията от 15 юни 2021 г.

10 Фигура 4 от Специален доклад №13/2022.

11 Насоки за мерки за управление на границите с цел опазване на здравето и гарантиране на наличността на стоки и основни услуги, C(2020) 1753 final, ОВ C 86I, 16.3.2020 г.

12 Съобщения на Комисията C(2020) 3250, C(2020) 3251 и C(2020) 3139.

13 Препоръка (ЕС) 2020/1475 на Съвета.

14 Решение за изпълнение (ЕС) 2021/858 на Комисията.

15 Електронно здравеопазване и COVID-19, уебсайт на Европейската комисия.

16 Мрежа за електронно здравеопазване, „Насоки относно подлежащите на проверка сертификати за ваксиниране — основни елементи на оперативната съвместимост“, 12.3.2021 г.

17 Регламент (ЕС) 2021/953.

18 Предложение за регламент COM(2021) 130.

19 Процедура 2021/0068/COD.

20 Доклад за дейността „Развитие и тенденции на обикновената законодателна процедура“, Европейски парламент.

21 Насоки за по-добро регулиране, SWD(2017) 350, 7 юли 2017 г.

22 ENISA, Грижа за здравните данни.

23 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета.

24 ISACA, Ръководство за преглед на сертифицирани одитори на информационни системи, 2019 г.; Международна организация по стандартизация / Стандарти 27001 на Международната електротехническа комисия.

25 Проект на оценка на риска по отношение на защитата на данните (DPRA-DRAFT).

26 Мрежа за електронно здравеопазване, „Отмяна на Цифров COVID сертификат на ЕС — B2A комуникация между бек-енда и проложенията“, раздел 4.6.3.

27 ISACA, Наръчник за преглед на сертифициран одитор на информационни системи, 2019 г.

28 Решение 2017/46 относно сигурността на комуникационните и информационните системи в Европейската комисия и правила за прилагане C(2017) 8841 final.

29 Международна организация по стандартизация / Стандарти 27001, 27002, 27005 и 27035 на Международната електротехническа комисия.

30 Международна организация по стандартизация / Стандарти 27001 на Международната електротехническа комисия.

31 Специален доклад № 13/2022, точки 69—75.

32 Цифров формуляр на ЕС за локализиране на пътници.

33 Седмична епидемиологична информация за COVID-19 — 25 май 2022 г., Световна здравна организация.

34 Специален доклад № 13/2022 на ЕСП.

За контакти

ЕВРОПЕЙСКА СМЕТНА ПАЛАТА
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Тел. +352 4398-1
За запитвания: eca.europa.eu/bg/Pages/ContactForm.aspx
Уебсайт: eca.europa.eu
Туитър: @EUAuditors

Допълнителна информация за Европейския съюз можете да намерите в интернет (https://europa.eu).

Люксембург: Служба за публикации на Европейския съюз, 2023 г.

PDF ISBN 978-92-847-9241-2 ISSN 1977-5814 doi:10.2865/960428 QJ-AB-22-027-BG-N
HTML ISBN 978-92-847-9201-6 ISSN 1977-5814 doi:10.2865/571656 QJ-AB-22-027-BG-Q

АВТОРСКИ ПРАВА

© Европейски съюз, 2023 г.

Политиката на ЕСП относно повторната употреба е определена в Решение № 6-2019 на Европейската сметна палата относно политиката за свободно достъпни данни и повторната употреба на документи.

Освен ако не е посочено друго (напр. в отделни известия за авторските права), създаденото от ЕСП съдържание, притежавано от ЕС, е лицензирано по Creative Commons Attribution 4.0 International (CC BY 4.0). Това означава, че като правило повторната употреба е позволена, при условие че са посочени първоначалните източници и всички извършени промени. Лицето, което използва информацията на ЕСП повторно, следва да не изменя първоначалния смисъл или послание на документите. ЕСП не носи отговорност за последствия, възникнали в резултат на повторното използване.

Необходимо е да се получи допълнително разрешение в случаите, когато дадено съдържание изобразява разпознаваеми частни лица, например на снимки на персонала на ЕСП, или когато е включено съдържание на трети страни.

В случаите, когато е получено такова разрешение, то отменя и заменя горепосоченото общо разрешение и ясно посочва всички ограничения при използването.

За използването или възпроизвеждането на съдържание, което не е собственост на ЕС, може да е необходимо да се потърси разрешение директно от носителите на авторските права.

Софтуер или документи, обхванати от правата на индустриална собственост, като патенти, търговски марки, регистрирани дизайни, лого и наименования, са изключени от политиката на ЕСП за повторно използване.

Уебсайтовете на всички институции на Европейския съюз, включени в домейна europa.eu, съдържат препратки към сайтове на трети страни. Тъй като ЕСП не контролира съдържанието им, моля, запознайте се с тяхната политика за поверителност на данните и с политиката за авторските права.

Използване на логото на ЕСП

Логото на ЕСП не може да бъде използвано без предварително разрешение.

ЗА КОНТАКТ С ПРЕДСТАВИТЕЛИ НА ЕС

Лично
В целия Европейския съюз съществуват стотици центрове Europe Direct. Адреса на най-близкия до Вас център ще намерите онлайн (european-union.europa.eu/contact-eu/meet-us_bg).

По телефона или като ни пишете
Europe Direct е служба, която отговаря на въпросите Ви за Европейския съюз. Можете да се свържете с нея:

  • чрез безплатния телефонен номер 00 800 6 7 8 9 10 11 (някои оператори могат да таксуват обаждането),
  • на стационарен телефонен номер +32 22999696,
  • чрез следния формуляр european-union.europa.eu/contact-eu/write-us_bg.

ЗА ДА НАМЕРИТЕ ИНФОРМАЦИЯ ЗА ЕС

Онлайн
Информация за Европейския съюз на всички официални езици на ЕС е на разположение на сайта Europa (european-union.europa.eu).

Публикации на ЕС
Можете да разгледате или да поръчате публикации на op.europa.eu/bg/publications. Редица безплатни публикации могат да бъдат получени от Europe Direct или от местния център за документация (european-union.europa.eu/contact-eu/meet-us_bg).

Право на ЕС и документи по темата
За достъп до правна информация от ЕС, включително цялото право на ЕС от 1951 г. насам на всички официални езици, посетете EUR-Lex (eur-lex.europa.eu).

Отворени данни на ЕС
Порталът data.europa.eu предоставя достъп до отворени набори от данни от институциите, органите и агенциите на ЕС. Данните могат да бъдат изтеглени и използвани повторно безплатно, както за търговски, така и за нетърговски цели. Порталът предоставя достъп и до множество набори от данни от европейските държави.