Nástroje usnadňující cestování v rámci EU během pandemie COVID-19 Iniciativy byly relevantní, ale jejich dopad sahal od úspěchu až po omezené využití

Shrnutí

I Poté, co byly zjištěny první případy onemocnění COVID-19 v EU, začaly členské státy v březnu 2020 zakazovat cestování a ukládat další omezení volného pohybu občanů. S cílem usnadnit cestování a napomoci při trasování případů onemocnění COVID-19 vytvořila Komise čtyři nástroje:

• evropskou službu federační brány – bránu pro zajištění interoperability mezi vnitrostátními aplikacemi pro trasování kontaktů v celé EU;
• unijní digitální formulář pro trasování cestujících – nástroj nahrazující papírové formuláře používané ke shromažďování informací o trasování kontaktů během cesty;
• digitální certifikát EU COVID – certifikát potvrzující očkování proti onemocnění COVID-19, zotavení nebo negativní test;
• platformu pro výměnu formulářů pro trasování cestujících – řešení pro vnitrostátní orgány v různých členských státech pro výměnu údajů o trasování kontaktů.

II Cílem našeho auditu bylo posoudit, zda Komise vyvinula účinné nástroje k usnadnění cestování v rámci EU během pandemie COVID-19. Snažili jsme se proto zjistit příklady osvědčených postupů i oblasti pro zlepšení u způsobu, jakým Komise vyvíjí nástroje IT pro usnadnění volného pohybu během zdravotní krize. Audit doplňuje naši zvláštní zprávu 13/2022, která posuzovala, zda Komise přijala účinná opatření na ochranu práva občanů na volný pohyb během pandemie COVID-19.

III Celkově jsme dospěli k závěru, že navzdory své omezené pravomoci v oblasti politiky veřejného zdraví Komise rychle navrhla vhodná technologická řešení pro usnadnění cestování v rámci EU během pandemie COVID-19. Využívání těchto nástrojů členskými státy se však značně lišilo, takže dopad nástrojů na usnadnění cestování byl nerovnoměrný.

IV Komise rychle uvolnila 71 milionů EUR na vývoj nástrojů tím, že spojila několik zdrojů financování a namísto veřejných nabídkových řízení využívala stávající rámcové smlouvy. Brána pro trasování kontaktů byla k dispozici krátce po vypuknutí pandemie a digitální certifikát EU COVID v době, když se na celém kontinentu zintenzivnilo úsilí o očkování. Technická a legislativní práce na těchto nástrojích byla rychlá. Několik členských států však již vyvinulo vlastní digitální formuláře pro trasování cestujících před tím, než bylo k dispozici řešení EU pro formuláře pro trasování cestujících.

V Komise při navrhování nástrojů zohlednila požadavky na ochranu údajů a osvědčené postupy v oblasti bezpečnosti IT. Komise však nemá pravomoc ověřovat, zda země používající digitální certifikát EU COVID splňují požadavky na bezpečnost informačních technologií.

VI Digitální certifikát EU COVID účinně usnadnil cestování a zlepšil sdílení informací i koordinaci v souvislosti s cestovními omezeními. Členské státy i mnoho zemí mimo EU používaly systém digitálního certifikátu EU COVID ve velké míře, přičemž do března 2022 bylo ve státech EU a Evropského hospodářského prostoru (EHP) vydáno více než 1,7 miliardy těchto certifikátů. Do jednoho měsíce od vstupu nařízení o digitálním certifikátu EU COVID v platnost členské státy také výrazně harmonizovaly svá cestovní omezení. Zjistili jsme však, že opatření umožňující zemím vzájemně se informovat o incidentech vyžadujících naléhavou reakci (např. podvodné certifikáty) byla časově náročná vzhledem k obtížím při určování příslušných partnerů v jiných zemích.

VII Ostatní nástroje, které jsme prověřovali, neměly zamýšlený dopad, protože jejich použití bylo omezené. Unijní digitální formulář pro trasování cestujících používaly pouze čtyři členské státy, ostatní země nadále spoléhaly na vnitrostátní řešení. Celkové využívání platformy pro výměnu formulářů a brány pro trasování kontaktů zůstalo omezené.

VIII Na základě těchto závěrů Komisi doporučujeme:

• analyzovat a řešit příčiny nízkého využívání unijních digitálních formulářů pro trasování cestujících;
• zefektivnit komunikaci v případě incidentů souvisejících s digitálním certifikátem EU COVID;
• připravit příslušné nástroje EU pro budoucí krize.

Úvod

01 Volným pohybem osob se rozumí právo občanů EU a jejich rodinných příslušníků svobodně se pohybovat a pobývat na území členských států. Je jednou ze čtyř základních svobod EU (spolu s volným pohybem zboží, služeb a kapitálu) a je rovněž ústředním prvkem evropského projektu od samotného jeho vzniku¹. Směrnice o volném pohybu² stanoví příslušné podmínky a omezení.

02 Ochrana veřejného zdraví spadá do pravomoci členských států³. Evropská komise proto hraje ve zdravotní politice omezenou úlohu a zaměřuje se především na koordinaci⁴. Může podporovat a doplňovat opatření členských států, ty mají podstatné pravomoci určovat svou vlastní zdravotní politiku⁵.

03 Po odhalení prvních případů onemocnění COVID-19 začaly členské státy v březnu 2020 ve snaze omezit šíření pandemie zavádět hraniční kontroly a omezení volného pohybu občanů. Komise však byla odpovědná za sledování toho, zda jsou tato omezení v souladu s právními předpisy EU týkajícími se volného pohybu. Aby se omezil dopad opatření souvisejících s onemocněním COVID-19 na volný pohyb, podnikla Komise různé iniciativy s cílem podpořit koordinaci mezi členskými státy.

04 Komise rovněž vyvinula následující nástroje, které mají usnadnit cestování a pomoci při sledování pozitivních případů onemocnění COVID-19 (podrobný popis nástrojů viz příloha I):

• bránu pro trasování kontaktů: evropskou službu federační brány (EFGS);
• digitální formulář pro trasování cestujících (EU dPLF);
• digitální certifikát EU COVID (EU DCC);
• platformu pro výměnu formulářů pro trasování cestujících (ePLF).

05 Jedním z prvních dostupných nástrojů byly aplikace pro trasování kontaktů, které uživatele anonymně informují o tom, že byli v kontaktu s nakaženou osobou. Komise vytvořila vazbu mezi aplikacemi pro trasování kontaktů v různých členských státech, čímž jejich přínosy rozšířila o usnadnění cestování v rámci celé EU.

06 Během pandemie byli cestující v zájmu snazšího vysledování kontaktů během cesty požádáni, aby poskytli kontaktní a lokalizační údaje prostřednictvím formulářů pro trasování cestujících, které byly zaslány příslušným vnitrostátním orgánům. V případě pozitivního testu orgány tyto formuláře použily k tomu, aby kontaktovaly cestující, kteří byli v dopravním prostředku usazeni v blízkosti této osoby, a vyzvaly je, aby se nechali otestovat na COVID-19 a přijali preventivní opatření. Komise vytvořila unijní digitální formulář pro trasování cestujících s cílem zjednodušit používání vnitrostátních formulářů během přeshraničních zdravotních krizí, jako je COVID-19. Třetí program EU v oblasti zdraví (2014–2020) zahrnoval společné opatření známé jako „EU Healthy Gateways“, v jehož rámci se již před vypuknutím pandemie COVID-19 začaly připravovat papírové formuláře pro námořní a pozemní dopravu používající mezinárodní šablony. Společné opatření „EU Healthy Gateways“ bylo později využito na podporu digitalizace formulářů pro trasování cestujících.

07 Komise rovněž vypracovala digitální certifikát EU COVID, který poskytl ověřitelný a vzájemně akceptovaný důkaz o tom, že jeho držitel byl očkován proti onemocnění COVID-19, byl na onemocnění COVID-19 nedávno testován s negativním výsledkem nebo se z něho zotavil. Členské státy jsou povinny uznávat tyto certifikáty v případě, že se během pandemie COVID-19 rozhodnou, že cestující jsou povinni překládat osvědčení o očkování, negativním výsledku testu nebo zotavení.

08 Nejnovější nástroj vyvinutý Komisí byla platforma pro výměnu formulářů pro trasování cestujících mezi členskými státy. Platforma umožnila týmům pro trasování kontaktů přímou vzájemnou výměnu elektronických formulářů, čímž se zkrátila doba potřebná k informování ohrožených cestujících.

09 Do vývoje nástrojů bylo zapojeno několik útvarů Komise. Vlastníky systému brány pro trasování kontaktů bylo Generální ředitelství pro zdraví a bezpečnost potravin společně s Generálním ředitelstvím pro komunikační sítě, obsah a technologie. Tato dvě generální ředitelství rovněž spolu s Generálním ředitelstvím pro spravedlnost a spotřebitele a Generálním ředitelstvím pro migraci a vnitřní věci vedla vývoj digitálního certifikátu EU COVID. Generální ředitelství pro informatiku dále poskytlo nezbytnou IT infrastrukturu.

10 Členské státy se podílely na vývoji těchto nástrojů zejména prostřednictvím sítě pro elektronické zdravotnictví (viz rámeček 1). Přispěly rovněž agentury EU, jako je Evropské středisko pro prevenci a kontrolu nemocí nebo Evropská agentura pro léčivé přípravky. Vývoj nástrojů pro lokalizaci cestujících koordinovaly členské státy v rámci společné akce financované v rámci třetího programu EU v oblasti zdraví, Agentury Evropské unie pro bezpečnost letectví a Generálního ředitelství pro mobilitu a dopravu.

11 Účel nástrojů EU byl jedinečný, což znamená, že v době, kdy se pracovalo na jejich vývoji, neexistovaly žádné jiné stávající systémy vhodné pro srovnání. Aby výše popsané nástroje EU co nejúčinněji usnadnily cestování během pandemie COVID-19, bylo důležité, aby je přijaly všechny členské státy a jejich využívání zdravotních údajů k řízení cestování v EU bylo konzistentní a aby cestovní omezení států byla koordinována.

12 Nad rámec 71 milionů EUR na podporu vývoje nástrojů IT dala Komise členským státům k dispozici 100 milionů EUR, aby jim pomohla nést finanční zátěž spojenou s testováním na COVID-19. Nárůst testování a očkování následně zvýšil počet vydaných digitálních certifikátů EU COVID. Přeshraniční cestování v rámci EU může zahrnovat použití některých nebo všech těchto nástrojů, jak je popsáno na obrázku 1.

Rozsah a koncepce auditu

13 Tento audit doplňuje naši předchozí zvláštní zprávu⁷, která posuzovala, zda Komise přijala účinná opatření na ochranu práva na volný pohyb osob během pandemie COVID-19. Uvedená první zpráva se týkala prověřování kontrol na vnitřních schengenských hranicích ze strany Komise, souvisejících cestovních omezení a koordinačního úsilí na úrovni EU.

14 Cílem tohoto druhého auditu bylo posoudit, zda Komise vyvinula účinné nástroje k usnadnění cestování v rámci EU během krize COVID-19. V rámci tohoto auditu jsme se snažili nalézt příklady osvědčených postupů a oblasti, v nichž je třeba zlepšit způsob, jakým Komise nástroje IT pro usnadnění volného pohybu během zdravotních krizí vyvíjí. Abychom mohli odpovědět na hlavní otázku auditu, zabývali jsme se níže uvedenými dvěma dílčími otázkami:

• Vyvinula Komise řádně nástroje EU pro usnadnění cestování?
• Využívaly členské státy nástroje EU ve významné míře a vedlo to k lepší koordinaci a sdílení informací o jejich cestovních omezeních?

15 Audit se týká období od října 2020 do června 2022 a zaměřuje se na čtyři nástroje EU uvedené v bodě 04, včetně souvisejícího financování EU. Nevztahuje se na financování EU na očkování proti COVID-19, které jsme posuzovali dříve ve své zvláštní zprávě o zadávání veřejných zakázek na očkovací látky proti COVID-19 v EU⁸.

16 Audit jsme prováděli prostřednictvím dokumentárních přezkumů, písemných dotazníků a rozhovorů s příslušnými zúčastněnými stranami. Přezkoumali jsme a analyzovali:

• příslušné právní předpisy EU, abychom určili hlavní regulační požadavky a povinnosti jednotlivých subjektů;
• interní dokumenty Komise týkající se technického vývoje a právního schválení digitálního certifikátu EU COVID, evropské služby federační brány, digitálního formuláře pro trasování cestujících a platformy pro výměnu formulářů pro vyhledávání cestujících;
• publikace Komise týkající se cestování v souvislosti s pandemií COVID-19, jako jsou pokyny, sdělení, návrhy doporučení nebo návrhy legislativních aktů,
• technické specifikace nástrojů, posouzení bezpečnosti a rizik, protokoly o penetračních testech a plány bezpečnosti IT, aby naši odborníci v oblasti IT mohli ověřit, zda nástroje splňují bezpečnostní požadavky.

17 Abychom získali důkazní informace, potvrdili fakta a odsouhlasili údaje shromážděné z jiných zdrojů, provedli jsme auditní rozhovory s:

• Generálním ředitelství Komise pro spravedlnost a spotřebitele, mobilitu a dopravu, zdraví a bezpečnost potravin a komunikační sítě, obsah a technologie;
• Evropským střediskem pro prevenci a kontrolu nemocí, jehož povinnosti zahrnují přípravu map rizik a pokynů týkající se onemocnění COVID-19;
• zdravotnickými orgány v členských státech i zemích mimo EU;
• zástupci leteckých společností, odvětví cestovního ruchu a sdružení spotřebitelů.

18 Provedli jsme rovněž průzkum s cílem získat zpětnou vazbu ohledně používání těchto nástrojů v každém členském státě. Na náš průzkum odpovědělo 13 z 27 delegátů členských států, kteří tvoří integrovaný mechanismus Rady pro politickou reakci na krize. To představuje 48 % míru odpovědí. Tento průzkum jsme využili k podpoře naší analýzy a k potvrzení našich připomínek.

Připomínky

Komise vyvinula vhodná technologická řešení, ale členské státy je ne vždy využily

19 Tento oddíl zkoumá, zda Komise řádně vyvinula nástroje k usnadnění cestování během pandemie COVID-19, a zejména zda:

1. po vypuknutí pandemie rychle mobilizovala finanční prostředky EU;
2. příslušné nástroje zajistila včas;
3. zvážila potřeby a ochotu členských států tyto nástroje využívat;
4. vzala v úvahu otázky bezpečnosti IT a ochrany osobních informací v souvislosti s citlivými zdravotními údaji.

20 Zkoumali jsme, zda zdroje financování a poskytovatelé služeb, které Komise zvolila, jí umožnily zahájit práci na vývoji nástrojů bezprostředně po vypuknutí pandemie. Prověřovali jsme rovněž konzultační proces, abychom posoudili, zda nástroje byly v souladu s prioritami členských států. V neposlední řadě jsme posuzovali, zda se nástroje řídily osvědčenými postupy v oblasti ochrany osobních údajů a bezpečnosti IT.

Komise na tyto nástroje rychle uvolnila finanční prostředky EU

21 Komise mobilizovala finanční prostředky EU z různých zdrojů, jako je nástroj pro mimořádnou podporu a program Digitální Evropa. Na vývoj nástrojů vyčlenila EU 71 milionů EUR. Na obrázku 2 je vizuální přehled finančních prostředků EU určených na tyto nástroje.

22 Finanční prostředky EU digitální certifikát EU COVID činily celkem 50 milionů EUR (z toho 43 milionů EUR z nástroje pro mimořádnou podporu a dalších 7 milionů EUR z programu Digitální Evropa). Do března 2022 bylo 77 % tohoto rozpočtu přiděleno na vývoj a přizpůsobení vnitrostátních řešení a jejich propojení s bránou pro digitální certifikát EU COVID: 21,9 milionu EUR bylo vyčleněno pro soukromého dodavatele a 16,7 milionu EUR bylo vyplaceno ve formě grantů členským státům.

23 Finanční prostředky EU na bránu pro trasování kontaktů činily přibližně 16,8 milionu EUR (z toho 13 milionů EUR z nástroje pro mimořádnou podporu). Komise toto financování odůvodnila potřebou „usnadnit výměnu údajů mezi zeměmi a umožnit vnitrostátním aplikacím informovat uživatele, kteří byli v kontaktu s uživatelem používajícím jinou vnitrostátní aplikaci, jenž byl pozitivně testován na COVID-19“.

24 Platforma pro výměnu formulářů pro trasování cestujících a unijní digitální formulář pro trasování cestujících si vyžádaly daleko menší objem financování EU: na platformu pro výměnu formulářů pro trasování cestujících bylo přiděleno asi 2,9 milionu EUR (většinou z nástroje pro mimořádnou podporu) a na digitální formuláře pak 1,3 milionu EUR (z finančních prostředků z programů EU v oblasti zdraví). Finanční prostředky přidělené na platformu pro výměnu formulářů byly použity k financování pilotního projektu, jehož cílem bylo vyzkoušet proveditelnost platformy a rozšířit ji tak, aby zahrnovala více členských států a druhů dopravy. Financování digitální verze formulářů pro trasování cestujících bylo využito k vývoji, cloudovému hostingu a přenosu nástroje do prostředí IT Evropské komise.

25 Kromě toho po spuštění digitálního certifikátu EU COVID uvolnila EU 100 milionů EUR na podporu testování na COVID-19 v členských státech⁹. Toto financování následovalo po politické dohodě mezi Evropským parlamentem a Radou ze dne 20. května 2021 o nařízení o digitálním certifikátu EU COVID. Členské státy využily převážnou většinu (90 %) tohoto přídělu, což umožnilo vystavovat dodatečné certifikáty na základě testování za účelem usnadnění cestování.

26 Zjistili jsme, že Komise tyto finanční prostředky rychle mobilizovala a zaujala pragmatický přístup k vývoji nástrojů, který odrážel potřebu rychle tyto nástroje poskytnout. Nástroje byly vyvinuty v časové tísni, aniž by byly požadovány nabídky od různých dodavatelů. Místo využití konkurenčních zadávacích řízení k pořizování licencí a vývoji brány pro trasování kontaktů, digitálního certifikátu EU COVID a platformy pro výměnu formulářů pro trasování cestujících použila Komise rámcové smlouvy, které již podepsala s poskytovatelem IT služeb dne 30. října 2019 a 24. února 2020. Rámcové smlouvy stanoví obecné podmínky obchodního vztahu a poskytují základ pro podpis zvláštních smluv na jednotlivé dodávky. Pokud jde o unijní digitální formuláře pro trasování cestujících, první finanční prostředky byly uvolněny v červenci 2020 v rámci společné akce „EU Healthy Gateways“, a to přerozdělením finančních prostředků z činností, které nebyly v důsledku pandemie možné.

27 V případě digitálního certifikátu EU COVID vybrala Komise dodavatele na základě rámcové smlouvy uzavřené prostřednictvím jednacího řízení, které bylo zahájeno v roce 2019 bez zveřejnění oznámení o zahájení zadávacího řízení. Podle Komise měl vybraný dodavatel zkušenosti s vývojem brány pro trasování kontaktů a byl jediným dodavatelem s potřebnými odbornými znalostmi v oblasti softwaru, který měl být používán pro digitální certifikát EU COVID.

Komise včas vyvinula bránu pro trasování kontaktů a systém digitálního certifikátu EU COVID, avšak vnitrostátní řešení pro formuláře pro lokalizaci cestujících byly k dispozici dříve než v EU

28 Když Světová zdravotnická organizace v březnu 2020 prohlásila COVID-19 za pandemii, začaly členské státy zavádět omezení volného pohybu¹⁰ a Komise začala vydávat pokyny k usnadnění vzájemné koordinace¹¹. Brána pro trasování kontaktů zahájila své fungování sedm měsíců po vyhlášení pandemie a digitální certifikát EU COVID a formulář pro trasování cestujících se začaly používat 15 měsíců tohoto data. Na obrázku 3 je uveden harmonogram koncipování a zavedení nástrojů. S ohledem na právní a technické požadavky těchto nástrojů popsané níže se domníváme, že brána pro trasování kontaktů a digitální certifikát EU COVID byly vyvinuty včas, což však neplatí pro nástroje týkající se formulářů pro trasování cestujících.

29 Prvním vytvořeným nástrojem byla brána pro trasování kontaktů – tedy celounijní systém pro zajištění interoperability mezi vnitrostátními aplikacemi pro trasování kontaktů. Dne 13. května 2020 vydala Komise soubor pokynů a doporučení, které mají pomoci postupně zrušit cestovní omezení¹² uložená členskými státy. Pokyny za tímto účelem podporovaly používání technologií. Brána začala fungovat v říjnu 2020, pět měsíců poté, co Komise vydala pokyny.

30 Na konci dubna 2020, pouhý měsíc po zavedení prvních omezení, byl v rámci společného opatření „EU Healthy Gateways“ předložen Komisi návrh na digitalizaci formulářů pro trasování cestujících. Jednání mezi Komisí a členskými státy však trvala několik měsíců a návrh byl přijat v srpnu 2020. Rada v říjnu 2020 doporučila¹³ vytvořit společný unijní digitální formulář pro trasování cestujících. V té době bylo několik členských států již v pokročilé fázi vývoje svých vlastních vnitrostátních řešení (viz tabulka 1).

31 V návaznosti na doporučení Rady zahájila Komise v listopadu 2020 práci na platformě pro výměnu formulářů pro vyhledávání cestujících. Prováděcí rozhodnutí Komise¹⁴ upravující výměnu formulářů však bylo přijato až 27. května 2021. Členské státy mohly začít se skutečnou výměnou digitálních formulářů na platformě až v červenci 2021.

32 Digitální certifikát EU COVID byl čtvrtým nástrojem vyvinutým Komisí. Práce na něm byla zahájena později, než tomu bylo v případě ostatních nástrojů, neboť úzce souvisela s procesem očkování v EU. Od listopadu 2020 probíhaly mezi Komisí a členskými státy diskuse o certifikátu o očkování proti onemocnění COVID-19 v rámci sítě pro elektronické zdravotnictví¹⁵ (viz rámeček 1), kde Estonsko předložilo první pilotní projekt digitálně ověřitelného certifikátu o očkování.

33 Dne 21. prosince 2020 doporučila Evropská agentura pro léčivé přípravky první vakcínu k registraci a o několik dní později bylo zahájeno první očkování v celé EU. O měsíc později, 28. ledna 2021, přijaly země EU základní pokyny pro interoperabilní potvrzení o očkování pro lékařské účely¹⁶, jedinečný identifikátor certifikátu a zásady rámce pro důvěryhodnost.

34 Politická dohoda mezi Evropským parlamentem a Radou ze dne 20. května 2021 o nařízení o digitálním certifikátu EU COVID stanovila jako lhůtu pro zavedení systému konec června. Komise proto musela pracovat na technickém vývoji souběžně s legislativními pracemi na nařízení¹⁷. Při navrhování technické architektury zhodnotila předchozí zkušenosti s branou pro trasování kontaktů, která jí umožnila urychlit vývoj nástroje. Dne 17. března 2021 Komise svůj legislativní návrh¹⁸ dokončila. Sedm zemí začalo používat digitální certifikát EU COVID dne 1. června 2021, tedy měsíc před vstupem nařízení v platnost, což občanům a obyvatelům EU umožnilo, aby jejich certifikáty byly vydávány, ověřovány a přijímány v celé EU. Do 1. července byly všechny členské státy EU/EHP připojeny k bráně pro digitální certifikát EU COVID (s výjimkou Irska, které se připojilo dne 14. července 2021 poté, co v květnu 2021 bylo předmětem kybernetického útoku na svou národní zdravotní službu).

35 Evropský parlament a Rada přijaly nařízení dne 14. června 2021, tedy méně než tři měsíce po původním návrhu¹⁹. Šlo o nebývale rychlý postup vzhledem k tomu, že průměrná délka legislativního postupu pro právní předpisy EU přijaté v prvním čtení se pohybuje těsně pod 18 měsíci²⁰. To znamená, že digitální certifikát EU COVID mohl být uveden do provozu souběžně se začátkem letní sezóny dovolených, kdy se také zintenzivňovalo úsilí o očkování na celém kontinentu: do 10. července 2021 obdržela EU dostatek očkovacích látek k očkování 71 % své dospělé populace.

Při vývoji některých nástrojů se Komisi nepodařilo překonat výhrady určitých členských států

36 Potřeba rychle poskytnout nástroje a usnadnit cestování během pandemie COVID-19 přiměla Komisi k tomu, aby nástroje začala vyvíjet, aniž by předem provedla posouzení dopadů. Tato posouzení slouží k určení pravděpodobných účinků určité veřejné politiky a toho, zda je třeba přijmout opatření na úrovni EU. Pokyny EU pro zlepšování právní úpravy²¹ vyžadují, aby Komise za normálních okolností provedla posouzení dopadů politik před jakýmkoli novým nařízením. Uznávají však také, že za mimořádných okolností, jako je mimořádná situace vyžadující rychlou reakci, nemusí být možné nebo vhodné dodržet všechny kroky, které pokyny stanoví.

37 Přestože Komise neprovedla posouzení dopadů, konzultovala členské státy ohledně brány pro trasování kontaktů a digitální certifikace, a to prostřednictvím pracovních skupin. Již v prosinci 2020 analyzovala technická podskupina fungující v rámci sítě pro elektronické zdravotnictví možnosti podpory digitálních certifikátů o očkování a usnadnit sdílení těchto informací mezi členskými státy. Komise takové podrobné konzultace před zahájením vývoje jiných nástrojů neuskutečnila. Náš průzkum potvrdil, že ne všechny členské státy měly zájem o využití všech nástrojů EU, které jsme prověřovali.

38 Podle našeho průzkumu se téměř polovina z 11 členských států, které uvedly, že nepoužily nástroje pro vyhledávání cestujících, zdráhala tak učinit z důvodu ochrany údajů a jiných právních obav. Tři členské státy poukázaly na to, že již vyvinuly vlastní vnitrostátní formuláře pro lokalizaci cestujících, které jsou přizpůsobeny jejich individuálním potřebám, a nevidí žádný přínos, pokud jde o přechod na řešení na úrovni EU.

39 V rámci konzultací „Healthy Gateways“, které se konaly v říjnu 2021 a březnu 2022, byly názory členských států na užitečnost nástrojů pro vyhledávání cestujících rozdělené. Pět členských států EU využilo alespoň jeden z těchto nástrojů a deset členských států o to projevilo zájem, 12 však uvedlo, že je nepravděpodobné, že tak učiní, včetně dvou (Dánsko a Švédsko), které uvedly, že nemají zájem je používat.

40 Pokud jde o bránu pro trasování kontaktů, ne všechny členské státy se připojily, když bylo řešení v září 2020 k dispozici. Členské státy se k němu připojovaly postupně v závislosti na tom, zda si to přály a zda byly jejich žádosti připraveny. Do poloviny listopadu 2020 propojilo své aplikace šest členských států. Jiné postupně následovaly až do července 2021, kdy bylo propojeno 19 členských států.

Komise řešila obavy týkající se ochrany údajů a uplatňovala osvědčené postupy v oblasti bezpečnosti IT

41 Při vývoji nástrojů pro správu údajů o zdravotním stavu je třeba řešit dvě významná²² rizika:

1. údaje o zdravotním stavu jsou vysoce citlivé a podle obecného nařízení EU o ochraně údajů jsou považovány za zvláštní kategorii údajů²³. Nástroje používané ke správě těchto údajů proto musí zahrnovat zvláštní záruky a kontroly na ochranu uchovávaných a zasílaných informací. Zkoumali jsme posouzení dopadu nástrojů na ochranu údajů a to, zda zavedené postupy minimalizovaly nakládání s osobními údaji.
2. bezpečnost IT: digitalizace zdravotnických služeb a přístup k digitálním zdravotním záznamům zvyšují riziko kybernetických bezpečnostních incidentů, neboť poskytuje potenciální nové přístupové body pro kybernetické zločince. Posuzovali jsme proto, zda byly nástroje vyvinuty a provozovány v souladu s osvědčenými bezpečnostními postupy²⁴.

42 Z hlediska ochrany údajů jsou zúčastněné členské státy „společnými správci údajů“ (ve smyslu obecného nařízení o ochraně osobních údajů) pro celounijní aplikace, jako je brána pro trasování kontaktů a některé specifické prvky digitálního certifikátu EU COVID. Sdílejí odpovědnost za rozhodování o tom, jak a za jakým účelem se osobní údaje zpracovávají, a za zavedení vhodných kontrol. Každý z nich musí vypracovat posouzení dopadu na ochranu údajů s cílem určit a zmírnit rizika vyplývající z používání těchto aplikací ke zpracování osobních údajů. Komise, která jejich jménem jedná jako „zpracovatel údajů“, pomáhala členským státům při přípravě jejich posouzení dopadu na ochranu údajů pro nástroje EU, jichž se tato zpráva týká, tím, že poskytla podpůrnou dokumentaci a šablony²⁵. Používání těchto šablon bylo dobrovolné a Komise nebyla odpovědná za sledování toho, zda je členské státy používají, či nikoli.

43 Digitální certifikát EU COVID i brána pro trasování kontaktů přijaly technickou architekturu, která minimalizovala shromažďování osobních údajů prostřednictvím centrálních bran EU. V případě digitálního certifikátu EU COVID EU zůstaly osobní údaje občanů EU ve vnitrostátních systémech, za což odpovídají příslušné členské státy. Ústřední brána obdržela pouze kryptografické informace (a později seznamy zneplatněných certifikátů), které vnitrostátní orgány potřebují k ověření platnosti certifikátů. V případě brány pro trasování kontaktů zpracovávala pouze pseudonymní osobní údaje ve formě náhodných identifikátorů, tzv. „klíčů“, generovaných aplikacemi pro trasování kontaktů. Tento přístup značně snížil rizika v oblasti ochrany údajů.

44 Nařízení o digitálním certifikátu EU COVID nestanovilo standardní postup pro rušení certifikátů, například pokud bylo zjištěno, že jsou podvodné. Zúčastněné země měly možnost provést technické řešení dle svého výběru. Komise nebyla odpovědná za posouzení spolehlivosti těchto řešení z hlediska ochrany údajů.

45 Aby bylo možné identifikovat zneplatněný certifikát v jiných zemích, musely si členské státy vzájemně vyměňovat informace ve formě seznamů zneplatněných certifikátů. Jedním z obav vyjádřených během našeho auditu byla skutečnost, že tato dvoustranná výměna, do níž byli zapojeni různí aktéři, a řešení pro odebrání certifikátů byla neúčinná, zejména s ohledem na rostoucí počet nových certifikátů.

46 Za účelem řešení těchto obav zveřejnila Komise dne 30. března 2022 – osm měsíců po zavedení digitálního certifikátu EU COVID – technické specifikace a pravidla s cílem zavést účinnější mechanismus pro výměnu seznamů zneplatněných certifikátů prostřednictvím ústřední brány. Specifikace rovněž doporučovaly tři technologie pro distribuci seznamů zneplatněných certifikátů z vnitrostátních databází do aplikací používaných k ověřování certifikátů. Pokud jsou tato navrhovaná řešení správně uplatňována, lze mít za to, že chrání soukromí, i když jedno z nich (tzv. Bloomovy filtry) zohledňovalo zájmy ochrany soukromí mnohem lépe než zbývající dvě²⁶. Využití těchto řešení však bylo dobrovolné a Komise neměla pravomoc monitorovat, zda je členské státy uplatňují.

47 Bezpečnostní rizika v oblasti IT lze řešit a zmírnit strukturovaným rámcem pro bezpečnost IT²⁷. To obvykle zahrnuje několik prvků, jako jsou systémy správy, bezpečnostní politiky, požadavky a normy. Zahrnuje rovněž osvědčené postupy, jako je aktivní vyhledávání slabin („skenování zranitelnosti“) a aktivní testování obrany („penetrační testování“).

48 Komise má svůj vlastní rámec pro bezpečnost IT²⁸, který se vztahuje na všechny informační systémy umístěné v jejích datových centrech, včetně trasování kontaktů a brány pro digitální certifikát COVID EU. Rámec se řídí mezinárodními normami²⁹. Vyžaduje, aby Komise provedla posouzení rizik pro každý informační systém, řešila příslušná rizika pomocí plánu bezpečnosti IT a uplatňovala soubor formálních bezpečnostních politik a norem.

49 Komise podnikla přiměřené kroky k zajištění bezpečnosti IT v souvislosti s bránou pro trasování kontaktů. Při spuštění systému (říjen 2020) provedla specializovaná společnost bezpečnostní hodnocení koncepce a zdrojového kódu brány a nezjistila žádné relevantní nedostatky. Byly provedeny tři etické hackerské útoky s cílem získat další jistotu ohledně bezpečnosti brány.

50 Komise rovněž definovala minimální bezpečnostní požadavky na vnitrostátní aplikace pro trasování kontaktů, které se připojují k platformě pro výměnu informací v rámci brány pro trasování kontaktů. Z naší analýzy této bezpečnostní architektury a odpovědí členských států na průzkum vyplynulo, že technický proces propojení vnitrostátních systémů s bránou EU („onboarding“) byl strukturován a zabýval se aspekty bezpečnosti IT.

51 Pokud jde o digitální certifikát EU COVID, Generální ředitelství pro informatiku provedlo posouzení zranitelnosti brány a nezávislý dodavatel provedl další penetrační testy. Testy potvrdily, že centrální brána byla navržena tak, aby zaručovala vysokou úroveň bezpečnosti. Většina zjištěných problémů se týkala spíše infrastruktury než zdrojového kódu. Zjištěné slabiny byly sledovány. Konzultanti provádějící penetrační testy na bráně doporučili provést úplný audit více složek, včetně těch, které lze použít na vnitrostátní úrovni, jako je služba vydávání certifikátů nebo mobilní aplikace. Tento dodatečný audit byl uzavřen v dubnu 2022 a bezpečnostní architekturu nástroje nezpochybnil.

52 Členské státy a země mimo EU, které se účastní systému digitálního certifikátu EU COVID, generovaly certifikáty ve svých vnitrostátních systémech. Pokud by vnitrostátní systémy byly ohroženy a neoprávněné strany by k nim získaly přístup, mohli by zlovolní uživatelé vydat platné, ale podvodné certifikáty. Rozšířený oběh těchto certifikátů by mohl mít dopad na volný pohyb tím, že by podkopal důvěru v digitální certifikát EU COVID, čímž by se zvýšilo riziko, že členské státy znovu zavedou další omezení. Proto bylo důležité zajistit, aby vnitrostátní systémy zahrnovaly odpovídající bezpečnostní kontroly.

53 U bezpečnostních kontrol v systémech zúčastněných států se Komise spoléhala rovněž na dotazníky pro sebehodnocení vyplněné těmito státy, ale neměla pravomoc ověřovat jejich skutečné dodržování (například přezkumem zpráv o sledování zranitelnosti, auditních zpráv, akčních plánů nebo mezinárodních osvědčení). To omezilo jistotu, pokud jde o stav kybernetické bezpečnosti vnitrostátních systémů.

54 Naše pohovory potvrdily, že v jedné zemi mimo EU došlo k jednomu incidentu v oblasti kybernetické bezpečnosti. Vnitrostátní řešení dané země mělo zranitelné místo, což umožňovalo neoprávněným uživatelům přístup k aplikaci a generování nezákonných certifikátů na vnitrostátní úrovni, dokud nebyl incident odhalen a vyřešen. Podle zprávy o incidentu z příslušné země se to týkalo pouze několika málo certifikátů.

55 Neexistují žádná technická řešení, která by mohla zmírnit všechna rizika, a například ani nejmodernější bezpečnostní kontroly nemohou bránit oprávněným pracovníkům s oprávněným přístupem k vnitrostátním systémům, aby zneužívali své pravomoci k vytváření podvodných certifikátů.

56 Hlášení a řešení incidentů, jako jsou podvodné certifikáty, proto vyžaduje rychlé sdílení informací mezi příslušnými orgány. Členské státy a země mimo EU, které jsme konzultovali, nám sdělily, že podávání zpráv o těchto otázkách vyžaduje čas kvůli obtížím při určování správných protějšků v jiných zemích.

57 Pro unijní digitální formuláře pro trasování cestujících a platformu pro výměnu informací byly použity tyto doporučené postupy v oblasti bezpečnosti IT³⁰: dvoufaktorová autentizace, zabezpečené komunikační protokoly, firewally pro internetové aplikace a bezpečnostní kontroly fyzického přístupu. Dodavatel rovněž provedl posouzení rizik v oblasti IT a zavedl strukturovaný postup pro země zapojené do systému.

58 První penetrační test tohoto systému se však uskutečnil až v březnu 2022, tedy rok po připojení první země. Po provedení testu externí poskytovatel služeb vypracoval prováděcí plán k řešení zjištěných nedostatků. To znamená, že systém fungoval po dobu jednoho roku s nezjištěnými slabými místy.

Dopad nástrojů EU na usnadnění cestování během pandemie COVID-19 byl nerovnoměrný

59 Tento oddíl zkoumá, zda nástroje EU usnadnily cestování po EU během prvních let pandemie COVID-19. Zejména jsme posuzovali, zda nástroje:

1. byly členskými státy široce využívány, neboť to je nezbytné k tomu, aby byly účinné;
2. vedly k lepší koordinaci a sdílení informací mezi členskými státy v souvislosti s ukládáním cestovních omezení, čímž se řeší dva dříve zjištěné problémy limitující cestování v rámci EU³¹.

60 Shromáždili jsme a analyzovali údaje o používání nástrojů členskými státy. Porovnali jsme rovněž cestovní omezení uložená členskými státy před zavedením digitálního certifikátu COVID EU a po jeho zavedení.

Nástroje EU pro vyhledávání cestujících a brána pro trasování kontaktů neměly zamýšlený dopad vzhledem k jejich omezenému používání v členských státech

61 Nástroje EU musí být široce využívány, mají-li dosáhnout zamýšleného dopadu. Používání nástrojů jednotlivými členskými státy účely shrnuje Tabulka 2. Ukazuje, že digitální certifikát EU COVID byl jediným nástrojem používaným ve všech členských státech.

62 Unijní digitální formuláře pro trasování cestujících a platforma pro výměnu informací o cestujících nebyly členskými státy využívány natolik, aby měly smysluplný dopad na omezení šíření onemocnění COVID-19 a usnadnění bezpečného cestování.

63 Unijní digitální formulář pro trasování cestujících³² použily pouze čtyři členské státy, zatímco 17 dalších členských států se i nadále spoléhalo na vnitrostátní řešení. Z téměř 27 milionů formulářů vydaných do února 2022 bylo 91,6 % (24,7 milionu) italských.

64 Využívání platformy pro výměnu informací bylo podobně velmi omezené. I když teoreticky mohl být nástroj použit k výměně informací z jakékoli vnitrostátní platformy, většinou jej přijaly země, které rovněž používaly unijní formuláře. Celkové využívání platformy zůstalo nevýznamné: v roce 2021 byly vyměněny pouze tři formuláře a v prvních dvou měsících roku 2022 jich bylo vyměněno 253. Z těchto celkových 256 byly všechny s výjimkou dvou ze Španělska.

65 Využívání aplikací pro trasování kontaktů se v členských státech významně lišilo. Některé členské státy nezavedly žádnou aplikaci na trasování kontaktů. Ve státech, které ji zavedly, byla skutečná míra využití mezi obyvatelstvem omezená. Počet stažení všech aplikací pro trasování kontaktů ze strany občanů EU činil celkem 74 milionů (k říjnu 2021). Na úrovni EU však neexistují žádné statistiky o tom, kolik lidí je skutečně využívá.

66 Do 22. května 2022 činil celkový počet potvrzených případů onemocnění COVID-19 více než 522 milionů³³, přičemž do tohoto data bylo nahráno 55 milionů klíčů. Údaje z brány pro trasování kontaktů ukazují nerovnoměrné využívání nástrojů pro sledování kontaktů mezi členskými státy, přičemž 83 % klíčů bylo nahráno pouze uživateli z Německa (viz příloha II).

67 Celkově byly zkoumané nástroje vyvinuty s cílem řešit nově vznikající potřeby, což znesnadnilo konzistentní vytváření synergií mezi nimi. Například unijní digitální formulář pro trasování cestujících a platforma pro výměnu těchto formulářů byly vyvinuty odděleně (prostřednictvím společného „EU Healthy Gateways“ v prvním a Agentury Evropské unie pro bezpečnost letectví v druhém případě), přestože jsou neoddělitelně propojeny.Podobně pokyny pro kombinování digitálního certifikátu EU COVID a formulářů pro trasování cestujících byly dány na úrovni EU k dispozici až po začátku fungování certifikátu/formulářů a doposud nebyly realizovány.

68 Vzhledem k tomu, že nástroje byly navrženy tak, aby fungovaly v krátkodobém horizontu, neexistují žádné flexibilní postupy, které by určovaly jejich použití v dlouhodobějším horizontu, nebo je v případě potřeby v budoucnu rychle aktivovaly. Například platnost stávajícího právní základu pro digitální certifikát EU COVID EU skončí v červnu 2023 a bude muset být obnovena Evropským parlamentem a Radou na základě návrhu Komise. Během našeho auditu Komise poukázala na to, že by bylo z právního i technického hlediska velmi obtížné obnovit certifikaci v krátké lhůtě.

Členské státy využívaly digitální certifikát EU COVID ve velké míře, což usnadnilo cestování

69 Brána pro digitální certifikát EU byla uvedena do provozu dne 1. června 2021 a propojeno bylo sedm členských států. Během jednoho a půl měsíce bylo propojeno všech 27 členských států EU. Řešení navržené Komisí vzbudilo velký zájem i mimo EU. Do července 2022 přijalo rámec EU digitální certifikát EU COVID 45 zemí a území mimo EU.

70 Členské státy vydaly do 13. října 2021 585 milionů certifikátů. O pět měsíců později bylo vydáno 1,7 miliardy certifikátů, z nichž většina (1,1 miliardy) byla vydána na základě očkování. Tento počet je vyšší než počet obyvatel EU, protože jedna osoba by mohla mít více certifikátů (např. před očkováním může někdo získat dva certifikáty o testu). Po každé dávce očkovací látky, zotavení nebo testu byl vystaven jeden digitální certifikát EU COVID. Kromě usnadnění cestování byl digitální certifikát EU COVID v členských státech používán ke kontrole přístupu do veřejných prostor, jako jsou restaurace nebo divadla. Rozdělení těchto 1,7 miliardy digitálních certifikátů EU COVID podle jednotlivých členských států je uveden na obrázku 4.

71 Nástroje, jimiž se tato zpráva zabývá, byly zaměřeny na usnadnění bezpečného cestování. Mnoho členských států se z důvodu pandemie rozhodlo zavést řadu cestovních omezení. Ve zvláštní zprávě o volném pohybu v EU během pandemie COVID-19³⁴ jsme dospěli k závěru, že od června 2021 stále platí mnoho nekoordinovaných cestovních omezení, včetně testování PCR, karanténních požadavků a zákazů vstupu.

72 Až do vstupu digitálního certifikátu EU COVID v platnost byla vstupní omezení pro cestující založena na zdravotních rizicích v zeměpisné oblasti, z níž cestovali. To se v červenci 2021 změnilo zavedením nařízení o digitálním certifikátu EU COVID, po němž se omezení brzy začala vztahovat spíše na jednotlivce než na zeměpisné oblasti a byla založena převážně na držení platného certifikátu.

73 Kromě tohoto posunu v povaze cestovních omezení zavedlo nařízení EU o digitálním certifikátu EU COVID rovněž nový formální mechanismus, který má zlepšit sdílení informací o těchto omezeních. Od vstupu nařízení v platnost musely členské státy informovat Komisi a ostatní členské státy, pokud mají v úmyslu zavést nová omezení. Tato oznámení musí obsahovat důvody, rozsah a dobu trvání dalších omezení. Do března 2022 předložilo informace podle tohoto ustanovení 13 členských států.

74 V červenci 2021 konzultace Komise o cestovních omezeních vedly k tomu, že všechny členské státy (s výjimkou Řecka, Maďarska a Itálie, které odpověděly až později) zrušily svá omezení pro držitele digitálního certifikátu EU COVID. Obrázek 5 znázorňuje rozdíly v cestovních omezeních před zavedením certifikačního systému a bezprostředně po něm (červen a červenec 2021). Dvanáct ze 13 respondentů našeho průzkumu souhlasilo s tím, že digitální certifikát EU COVID pomohl koordinovat cestovní omezení mezi členskými státy.

Závěry a doporučení

75 Dospěli jsme k závěru, že navzdory své omezené pravomoci v oblasti politiky veřejného zdraví Komise rychle navrhla vhodná technologická řešení pro usnadnění cestování v rámci Evropské unie během pandemie COVID-19. Dopad některých těchto nástrojů však závisí na ochotě členských států je využívat. Zatímco digitální certifikát EU COVID získal silnou podporu a účinně usnadňoval cestování, dopad ostatních nástrojů byl vzhledem k jejich omezenému použití skromný.

76 Komise rychle uvolnila 71 milionů EUR na vývoj nástrojů tím, že kombinovala několik zdrojů financování a namísto zadávacích řízení využívala stávající rámcové smlouvy. Účel nástrojů byl jedinečný, což znamená, že neexistují žádné jiné existující systémy vhodné pro srovnání (body 21–27).

77 Komise včas zajistila bránu pro trasování kontaktů a digitální certifikát EU COVID. Brána pro trasování kontaktů, která má zajistit interoperabilitu mezi aplikacemi pro sledování kontaktů, byla spuštěna v říjnu 2020, sedm měsíců poté, co Světová zdravotnická organizace prohlásila onemocnění COVID-19 za pandemii. Technický vývoj digitálního certifikátu COVID EU vycházel z předchozích zkušeností s bránou pro trasování kontaktů a byl dokončen před tím, než členské státy dokončily provádění svých očkovacích plánů. Legislativní proces přijímání digitálního certifikátu EU COVID byl rovněž mnohem rychlejší než obvykle (body 28–35).

78 Komisi se nepodařilo překonat výhrady některých členských států týkající se používání řešení EU pro formuláře pro trasování cestujících, které byly zavedeny poté, co několik členských států již vyvinulo své vlastní nástroje. To vedlo k tomu, že řešení EU využívalo pouze pět členských států (body 36–40).

Doporučení 1 – Zabývat se příčinami nízkého využívání unijních digitálních formulářů pro trasování cestujících

Komise by se měla zabývat příčinami nízkého využívání unijního digitálního formuláře pro trasování cestujících a platformy pro výměnu informací a podporovat větší využívání těchto nástrojů členskými státy v budoucích fázích pandemie COVID-19.

Cílové datum provedení: prosinec 2023

79 Při navrhování nástrojů Komise celkově zohlednila požadavky na ochranu údajů a osvědčené postupy v oblasti bezpečnosti IT. Nástroje EU minimalizují používání osobních údajů (body 42–43). Posouzení bezpečnostních rizik a penetrační testy byly obecně prováděny systematicky – jedinou výjimkou byly některé zpožděné bezpečnostní testy unijního digitálního formuláře pro trasování cestujících, což znamenalo, že nástroj fungoval po dobu jednoho roku s nezjištěnými slabými místy (body 47–51 a 57–58).

80 Pokud jde o digitální certifikát EU COVID, zúčastněné země si musely vzájemně vyměňovat seznamy podvodných certifikátů pomocí různých komunikačních kanálů. Tento přístup snižuje efektivnost blokování podvodných certifikátů. Do března 2022 navrhla Komise schůdná řešení tohoto problému, která jsou však dobrovolná (body 44–46). Kromě toho jsou opatření, která zemím umožňují vzájemně se informovat o incidentech vyžadujících naléhavou reakci (např. podvodná osvědčení), časově náročná (body 55–56).

Doporučení 2 – Zefektivnit komunikaci v případě incidentů souvisejících s digitálním certifikátem EU COVID

Komise by měla usnadnit přímou komunikaci mezi oficiálními kontaktními osobami pro každou zemi, která se účastní systému digitálního certifikátu EU, aby se tak zefektivnila komunikace v případě mimořádných událostí spojených s certifikáty.

Cílové datum provedení: červen 2023

81 Vzhledem k tomu, že kódy používané v digitálním certifikátu EU COVID byly generovány vnitrostátními systémy zúčastněných zemí, bylo důležité, aby tyto systémy zahrnovaly odpovídající bezpečnostní kontroly. Komise se spoléhala na sebehodnocení bezpečnosti IT ze strany zúčastněných zemí, neboť nemá pravomoc ověřovat skutečné dodržování bezpečnostních požadavků. To omezuje jistotu, pokud jde o stav kybernetické bezpečnosti vnitrostátních systémů (body 52–54).

82 Formuláře EU pro trasování cestujících a brána pro trasování kontaktů neměly zamýšlený dopad, protože jejich používání bylo omezené. Unijní digitální formulář pro trasování cestujících využily pouze čtyři členské státy, zatímco ostatní země se nadále spoléhaly na vnitrostátní řešení. Celkové využívání platformy pro výměnu formulářů pro trasování cestujících zůstalo nevýznamné, v roce 2021 byly vyměněny pouze tři formuláře a v prvních dvou měsících roku 2022 jich bylo 253. Využívání brány pro trasování kontaktů bylo limitováno omezeným využíváním aplikací pro trasování kontaktů ze strany členských států; naprostá většina provozu byla generována pouze jednou zemí (body 61–67).

83 Nástroje, které jsme prověřovali, byly vyvinuty s cílem řešit vznikající potřeby a pracovat nezávisle na sobě. V kombinaci s různými vnitrostátními řešeními pro trasování cestujících bylo proto obtížnější zajistit rovnoměrné přijetí nástrojů EU. Nástroje byly rovněž navrženy tak, aby fungovaly v krátkodobém horizontu v reakci na zdravotní krizi. Nejsou zavedené žádné konkrétní postupy pro dlouhodobé využití těchto nástrojů nebo pro jejich rychlou aktivaci v případě, že budou v budoucnu zapotřebí. Platnost stávajícího právního základu pro digitální certifikát EU COVID EU skončí v červnu 2023 a bude muset být obnoven standardním legislativním postupem EU (bod 68).

84 Zjistili jsme, že digitální certifikát EU COVID účinně usnadnil cestování během pandemie COVID-19. Členské státy a několik zemí mimo EU tyto certifikáty ve velké míře využívaly, přičemž do března 2022 bylo v zemích EU/EHP vydáno více než 1,7 miliardy digitálních certifikátů EU COVID. Dále jsme zjistili, že do jednoho měsíce od vstupu nařízení o digitálním certifikátu EU COVID v platnost členské státy výrazně harmonizovaly svá cestovní omezení. Konkrétněji řečeno, všechny členské státy zrušily cestovní omezení pro občany EU, kteří jsou držiteli digitálního certifikátu EU COVID, byli-li plně očkováni nebo nedávno testováni na COVID-19 s negativním výsledkem nebo se z onemocnění COVID-19 zotavili.

85 Digitální certifikát COVID EU navíc zlepšil sdílení informací a koordinaci v souvislosti s cestovními omezeními, neboť platné nařízení vyžaduje, aby členské státy zavedení cestovních omezení oznamovaly a odůvodňovaly (body 69–74).

Doporučení 3 – Připravit příslušné nástroje EU pro budoucí krize

Komise by měla:

1. identifikovat nástroje EU vytvořené během pandemie COVID-19, které byly pro občany a členské státy nejužitečnější, a připravit postupy pro jejich rychlou reaktivaci v případě budoucích mimořádných událostí;
2. prostřednictvím synergií a zjednodušení usnadnit pro občany přístup k používání nástrojů EU pro trasování přeshraničních kontaktů během krizí;
3. společně s členskými státy analyzovat potřebu jakýchkoli dalších nástrojů k řešení případných budoucích krizí.

Cílové datum provedení: pro doporučení a) a c) září 2023 a pro doporučení b) září 2024

Tuto zprávu přijal senát III, jemuž předsedá Bettina Jakobsenová, členka Účetního dvora, v Lucemburku dne 22. listopadu 2022.

Přílohy

Příloha I – Popis nástrojů EU usnadňujících bezpečné cestování během pandemie COVID-19

Evropská služba federační brány

Evropská služba federační brány je systém, který umožňuje interoperabilitu mezi vnitrostátními aplikacemi pro trasování kontaktů. Vnitrostátní aplikace pro trasování kontaktů byly vyvinuty s cílem informovat občany o potenciálních rizikových kontaktech a pomoci narušit přenosové řetězce onemocnění COVID-19.

Aplikace pro trasování kontaktů průběžně zaznamenává kontakty s blízkými uživateli aplikací pro vysledování kontaktů. Každých 15 minut generuje pro svého uživatele klíč (identifikátor) za účelem ochrany soukromí. Aplikace používá systém Bluetooth k detekci dalších chytrých telefonů v blízkosti a k výměně klíčů. Každý kontakt s jiným uživatelem vede k výměně klíčů mezi uživateli. Tyto klíče jsou uchovávané v telefonech obou uživatelů.

Pokud uživatel má pozitivní test na COVID-19, oznámí to v aplikaci, která zašle všechny klíče uživatele z posledních 14 dnů do národního backend serveru uživatelovy země. Server zašle klíče nakaženého uživatele aplikacím všech ostatních uživatelů, kde jsou porovnávány s klíči uloženými na telefonu. V případě shody se uživatel nacházel v blízkosti nakažené osoby, a proto je varován.

Většina členských států přijala tento decentralizovaný přístup, kdy je kombinace klíčů nakažených osob zasílána do aplikací uživatelů a srovnání se provádí prostřednictvím telefonu uživatelů. Několik členských států zvolilo centralizovanější přístup, kdy se srovnávání klíčů a přiřazování k zařízením uživatelů provádí na centrálních vnitrostátních serverech.

Vnitrostátní platformy pro trasování kontaktů, které uplatňují decentralizovaný přístup a kompatibilní technologické prvky, si mohou vzájemně vyměňovat anonymizované klíče nakažených osob prostřednictvím brány EU pro trasování kontaktů. Brána pro trasování kontaktů proto cestujícímu umožňuje používat jeho vnitrostátní aplikaci pro trasování kontaktů během cest do jiných zemí připojených k bráně EU.

Digitální formulář pro trasování cestujících

Orgány veřejného zdraví používají formuláře pro trasování cestujících k usnadnění trasování kontaktů, pokud jsou cestující během cesty letadlem, vlakem, lodí nebo autobusem vystaveni infekční chorobě. Světová zdravotnická organizace a Mezinárodní organizace pro civilní letectví již začaly tyto formy vyvíjet během předchozích propuknutí epidemií (zejména viru Ebola).

Země, které vyžadují vyplnění formuláře pro trasování cestujících, tradičně používají papírové formuláře. Papírové formuláře však mají značná omezení – mohou být obtížně čitelné a údaje, které obsahují, musí být vloženy ručně do počítačových systémů pro automatizované zpracování. Tato omezení přiměla mnoho zemí k vývoji elektronických verzí. Unijní digitální formulář pro trasování cestujících je internetová aplikace, která byla vyvinuta s cílem zjednodušit používání formulářů pro vyhledávání cestujících v době přeshraničních zdravotních hrozeb, jako je COVID-19.

Cestující vyplní formulář v souladu s podrobnostmi o své cestě a obdrží jedinečný kód QR. Tento kód mohou příslušné orgány v cílových zemích naskenovat, aby ověřily, že cestující poskytli požadované informace. Jeho digitální formát má za cíl usnadnit a urychlit sběr a výměnu údajů mezi zúčastněnými stranami s cílem zvýšit efektivnost a účinnost trasování kontaktů.

Výměna formulářů pro trasování cestujících

Pokud je cestující testován pozitivně na COVID-19, může být nutné údaje uvedené v PLF shromážděné jednou zemí bezpečně poskytnout jiným postiženým zemím výhradně za účelem trasování kontaktů v souvislosti s onemocněním COVID-19. Vzhledem k omezení stávajícího evropského systému pro výměnu zdravotních informací (systém včasného varování a reakce) se Komise rozhodla vytvořit specializovanou platformu pro výměnu údajů uvedených ve formuláři pro trasování cestujících mezi různými vnitrostátními systémy.

Platforma pro výměnu formulářů pro trasování cestujících umožňuje bezpečně šifrované předávání údajů mezi příslušnými vnitrostátními orgány a neuchovává žádné údaje. Orgány členských států se mohou připojit buď prostřednictvím unijních nebo národních systémů digitálních formulářů pro trasování cestujících.

Digitální certifikát EU COVID

Digitální certifikát EU COVID je dokladem o tom, že daná osoba byla proti onemocnění COVID-19 očkována, byla na něj s negativním výsledkem testována nebo se z něj zotavila. Tato osvědčení vydávají příslušné vnitrostátní orgány.

Osvědčení mohou být vydávána v papírové i elektronické podobě. V obou případech obsahují QR kód, který je chrání před paděláním. Bezpečnost řešení je založena na použití veřejných a soukromých šifrovacích klíčů. Existují dva klíče: soukromý, který je používán k digitálnímu podpisu QR kódu, a veřejný, který umožňuje ověření příslušného digitálního podpisu.

Každý vydávající orgán má svůj vlastní soukromý klíč a odpovídající veřejný klíč. Soukromé klíče jsou bezpečně uloženy a veřejné klíče jsou sdíleny v centrální vnitrostátní databázi. Orgán zpřístupní na základě povolení svůj systém na vydávání certifikátů příslušným subjektům ze zdravotnictví (např. nemocnicím nebo testovacím centrům), což jim umožňuje digitálně podepisovat certifikáty.

Aplikace používané k ověření pravosti digitálního certifikátu EU COVID získávají veřejné klíče z vnitrostátních databází. Vnitrostátní databáze si s ostatními zeměmi vyměňují veřejné klíče prostřednictvím brány pro digitální certifikát EU COVID. Brána proto umožňuje vzájemné ověřování certifikátů v různých zemích.

Příloha II – Využívání aplikací pro trasování kontaktů v EU

Přijímání aplikací pro trasování kontaktů nebylo v celé EU jednotné. Pouze ve dvou členských státech byl počet stažených aplikací pro trasování kontaktů vyšší než 50 % celkové populace. Níže uvedený obrázek ukazuje rozdílnou situaci v členských státech, které používaly decentralizované aplikace pro trasování kontaktů.

Stahování aplikace neznamená, že se trasování kontaktů skutečně používá, neboť vyžaduje, aby aplikace byly aktivní a občané dobrovolně oznamovali své pozitivní testy na COVID-19. Kdykoli uživatelé prohlásí, že jsou pozitivní, jsou příslušné klíče nahrány do brány pro trasování kontaktů. Údaje z brány ukazují, že používání trasování kontaktů se v jednotlivých členských státech lišilo. Počet klíčů nahraných do brány ukazuje, že převážná většina z nich pocházela z jedné země.

Glosář

Hraniční kontrola: kontroly a dozor prováděné na hranicích u osob, které překračují nebo mají v úmyslu překročit hranici.

Penetrační testování: metoda pro posuzování bezpečnosti informačního systému spočívající v pokusu o prolomení jeho ochranných opatření s použitím nástrojů a postupů obvykle používaných protivníky.

Schengenský prostor: skupina 26 evropských zemí, které zrušily pasové a imigrační kontroly na svých společných hranicích.

Skenování zranitelnosti: proces kontroly síťových zařízení, počítačových systémů a aplikací s cílem zjistit jakékoli problémy nebo slabá místa.

Správce údajů: ve smyslu obecného nařízení EU o ochraně údajů se jedná o osobu nebo organizaci, která stanovuje, jak a pro jaký účel mají být osobní údaje zpracovány.

Odpovědi Evropské komise

https://www.eca.europa.eu/cs/Pages/DocItem.aspx?did=62947.

Harmonogram

https://www.eca.europa.eu/cs/Pages/DocItem.aspx?did=62947

Auditní tým

Účetní dvůr ve svých zvláštních zprávách informuje o výsledcích auditů politik a programů EU či témat z oblasti správy a řízení zaměřených na konkrétní oblasti rozpočtu. Účetní dvůr vybírá a koncipuje tyto auditní úkoly tak, aby byl jejich dopad co nejvyšší, a zohledňuje přitom rizika pro výkonnost a zajištění souladu s předpisy, objem příslušných příjmů či výdajů, očekávaný vývoj, politické zájmy a zájem veřejnosti.

Tento audit výkonnosti provedl auditní senát III, který odpovídá za audit oblastí vnější činnost, bezpečnost a právo a jemuž předsedá členka EÚD Bettina Jakobsenová. Audit vedl člen EÚD Baudilio Tomé Muguruza a podporu mu poskytovali vedoucí kabinetu Daniel Costa de Magalhães a tajemník kabinetu Ignacio García de Parada, vyšší manažer Alejandro Ballester-Gallardo, vedoucí úkolu Piotr Senator a auditoři João Coelho, Mirko Iaconisi, Ioanna Topaová a Andrej Minarovič. Jazykovou podporu poskytoval Michael Pyper.

Zleva doprava: Daniel Costa De Magalhães, Andrej Minarovič, Ignacio García de Parada Miranda, João Coelho, Ioanna Topaová, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi a Michael Pyper.

Poznámky na konci textu

¹ Čl. 20 odst. 2 písm. a) a čl. 21 odst. 1 Smlouvy o fungování EU.

² Směrnice 2004/38/ES.

³ Čl. 168 odst. 7 Smlouvy o fungování EU.

⁴ Článek 17Smlouvy o Evropské unii (SEU).

⁵ Čl. 4 odst. 2 písm. k), čl. 6 písm. a) a článek 168 SFEU.

⁶ Směrnice 2011/24/EU o uplatňování práv pacientů v přeshraniční zdravotní péči.

⁷ Zvláštní zpráva 13/2022:

⁸ Zvláštní zpráva 19/2022:

⁹ Prohlášení Komise ze dne 15. června 2021.

¹⁰ Obrázek 4 zvláštní zprávy 13/2022.

¹¹ Pokyny týkající se opatření správy hranic v zájmu ochrany zdraví a zajištění dostupnosti zboží a základních služeb, C(2020) 1753 final, Úř. věst. C 86I, 16.3.2020.

¹² Sdělení Komise C(2020) 3250, C(2020) 3251 a C(2020) 3139.

¹³ Doporučení Rady (EU) 2020/1475.

¹⁴ Prováděcí rozhodnutí Komise (EU) 2021/858.

¹⁵ Elektronické zdravotnictví a covid-19, internetové stránky Evropské komise.

¹⁶ Síť pro elektronické zdravotnictví, Guidelines on verifiable vaccination certificates - basic interoperability elements, 12.3.2021.

¹⁷ Nařízení (EU) 2021/953

¹⁸ Návrh nařízení COM(2021) 130.

¹⁹ Postup 2021/0068/COD.

²⁰ Zpráva o činnosti, Development and Trends of the Ordinary legislative Procedure, Evropský parlament.

²¹ Better Regulations Guidelines, SWD(2017) 350, 7. července 2017.

²² ENISA, Taking Care of Health Data.

²³ Nařízení Evropského parlamentu a Rady (EU) 2016/679.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; Mezinárodní organizace pro normalizaci/normy Mezinárodní elektrotechnické komise 27001.

²⁵ Draft Data Protection Risk Assessment (DPRA-DRAFT).

²⁶ Síť pro elektronické zdravotnictví, EU DCC Revocation - B2A Communication between the Backend and the Applications, oddíl 4.6.3.

²⁷ ISACA, Certified Information System Auditor review manual, 2019.

²⁸ Rozhodnutí Komise (EU) 2017/46 o bezpečnosti komunikačních a informačních systémů v Evropské komisi a prováděcí pravidla C(2017) 8841 final.

²⁹ Mezinárodní organizace pro normalizaci/normy Mezinárodní elektrotechnické komise27001, 27002, 27005 a 27035.

³⁰ Mezinárodní organizace pro normalizaci / normy Mezinárodní elektrotechnické komise 27001.

³¹ Zvláštní zpráva 13/2022, body 69–75.

³² Unijní digitální formulář pro trasování cestujících.

³³ Weekly epidemiological update on COVID-19 – 25 May 2022, Světová zdravotnická organizace.

³⁴ Zvláštní zpráva 13/2022:

Kontakt

EVROPSKÝ ÚČETNÍ DVŮR
12, rue Alcide De Gasperi
1615 Lucemburk
LUCEMBURSKO

Tel.: +352 4398-1
Dotazy: eca.europa.eu/cs/Pages/ContactForm.aspx
Internetová stránka: eca.europa.eu
Twitter: @EUAuditors

Mnoho doplňujících informací o Evropské unii je k dispozici na internetu.
Můžete se s nimi seznámit na portálu Europa (https://europa.eu).

Lucemburk: Úřad pro publikace Evropské unie, 2023

PDF	ISBN 978-92-847-9219-1	ISSN 1977-5628	doi:10.2865/216537	QJ-AB-22-027-CS-N
HTML	ISBN 978-92-847-9223-8	ISSN 1977-5628	doi:10.2865/653149	QJ-AB-22-027-CS-Q

AUTORSKÁ PRÁVA

© Evropská unie, 2023

Politiku opakovaného použití dokumentů Evropského účetního dvora (EÚD) upravuje rozhodnutí Evropského účetního dvora č. 6-2019 o politice týkající se veřejně přístupných dat a opakovaném použití dokumentů.

Pokud není uvedeno jinak (například v jednotlivých upozorněních o ochraně autorských práv), je obsah EÚD vlastněný EU předmětem licence Creative Commons Attribution 4.0 International (CC BY 4.0). Je proto pravidlem, že opakované použití je povoleno za podmínky, že je uveden zdroj a případné změny jsou označeny. Osoby opakovaně používající obsah EÚD nesmí zkreslit původní význam nebo sdělení. EÚD nenese za jakékoli důsledky opakovaného použití odpovědnost.

Pokud konkrétní obsah zobrazuje identifikovatelné fyzické osoby, například na obrázcích zaměstnanců EÚD, nebo zahrnuje díla třetích stran, je nutno získat další povolení.

Je-li povolení poskytnuto, toto povolení ruší a nahrazuje výše uvedené obecné povolení a musí jasně uvádět veškerá omezení týkající se použití.

K použití nebo reprodukci obsahu, který není ve vlastnictví EU, může být nezbytné požádat o svolení přímo držitele autorských práv.

Programové vybavení nebo dokumenty, na něž se vztahují práva průmyslového vlastnictví, jako patenty, ochranné známky, zapsané (průmyslové) vzory, loga a názvy, jsou z politiky EÚD pro opakované použití vyloučeny.

Internetové stránky orgánů a institucí Evropské unie využívající doménu europa.eu obsahují odkazy na stránky třetích stran. Protože nad jejich obsahem nemá EÚD žádnou kontrolu, doporučujeme seznámit se s jejich vlastními zásadami ochrany soukromí a politikou v oblasti autorských práv.

Používání loga EÚD

Logo EÚD nesmí být použito bez předchozího souhlasu EÚD.

OBRAŤTE SE NA EU

Osobně
Po celé Evropské unii se nachází stovky středisek Europe Direct. Adresu nejbližšího střediska naleznete online (european-union.europa.eu/contact-eu/meet-us_cs).

Telefonicky nebo písemně
Europe Direct je služba, která odpoví na vaše dotazy o Evropské unii. Můžete se na ni obrátit:

• prostřednictvím bezplatné telefonní linky: 00 800 6 7 8 9 10 11 (někteří operátoři mohou tento hovor účtovat),
• na standardním telefonním čísle: +32 22999696,
• prostřednictvím tohoto formuláře: european-union.europa.eu/contact-eu/write-us_cs.

VYHLEDÁVÁNÍ INFORMACÍ O EU

Online
Informace o Evropské unii ve všech úředních jazycích EU jsou dostupné na internetových stránkách Europa (european-union.europa.eu).

Publikace EU
Publikace EU si můžete prohlédnout nebo objednat na adrese op.europa.eu/cs/publications. Chcete-li obdržet více než jeden výtisk bezplatných publikací, obraťte se na službu Europe Direct nebo na místní dokumentační střediska (european-union.europa.eu/contact-eu/meet-us_cs).

Právo EU a související dokumenty
Právní informace EU včetně všech právních předpisů EU od roku 1951 ve všech úředních jazykových verzích jsou dostupné na stránkách EUR-Lex (eur-lex.europa.eu).

Veřejně přístupná data EU
Portál data.europa.eu poskytuje volný přístup k datovým souborům orgánů, institucí a jiných subjektů EU. Data lze zdarma stáhnout a opakovaně použít pro komerční i nekomerční účely. Portál rovněž poskytuje přístup k velkému množství datových souborů z evropských zemí.