Orodja, ki omogočajo lažje potovanje po EU med pandemijo COVID-19 Ustrezne pobude z različnimi učinki: od uspešnih orodij do omejene uporabe

Povzetek

I Po odkritju prvih primerov COVID-19 v EU so države članice marca 2020 začele uvajati prepovedi potovanj in druge omejitve prostega gibanja državljanov. Komisija je za olajšanje potovanja in pomoč pri sledenju primerom okužbe s COVID-19 razvila štiri orodja:

• evropsko službo združevalnega prehoda – prehod za zagotavljanje vseevropske interoperabilnosti nacionalnih aplikacij za sledenje stikom,
• digitalni obrazec EU za lokalizacijo potnika – orodje, ki nadomešča papirnate obrazce, ki se uporabljajo za zbiranje informacij o sledenju stikom med potovanjem,
• digitalno COVID potrdilo EU – potrdilo o cepljenju proti COVID-19, preboleli bolezni ali negativnem testu,
• platformo za izmenjavo obrazcev za lokalizacijo potnikov – rešitev za nacionalne organe v različnih državah članicah, ki je namenjena izmenjavi podatkov o sledenju stikom.

II Cilj revizije Evropskega računskega sodišča (v nadaljnjem besedilu: Sodišče) je bil oceniti, ali je Komisija razvila uspešna orodja za lažje potovanje po EU med pandemijo COVID-19. Namen Sodišča je bil tako opredeliti primere dobre prakse in področja za izboljšave v zvezi s tem, kako Komisija razvija orodja informacijske tehnologije (IT) za olajšanje prostega gibanja med zdravstveno krizo. Ta revizija dopolnjuje Posebno poročilo 13/2022, v katerem je Sodišče ocenjevalo, ali je Komisija sprejela uspešne ukrepe za zaščito pravice ljudi do prostega gibanja med pandemijo COVID-19.

III Sodišče na splošno ugotavlja, da je Komisija kljub omejeni pristojnosti na področju politike javnega zdravja hitro ukrepala in predlagala ustrezne tehnološke rešitve za lažje potovanje po EU med pandemijo COVID-19. Vendar so države članice ta orodja uporabljale zelo različno, zato je bil njihov učinek na olajšanje potovanja neenakomeren.

IV Komisija je hitro mobilizirala 71 milijonov EUR za razvoj orodij, tako da je kombinirala več virov financiranja in uporabila obstoječe okvirne pogodbe namesto postopkov za oddajo javnega naročila. Prehod za sledenje stikom je bil na voljo kmalu po začetku pandemije in uvedbi digitalnih COVID potrdil EU, ko so se po vsej celini okrepila prizadevanja za cepljenje. Tehnično in zakonodajno delo v zvezi s temi orodji je bilo hitro. Vendar je več držav članic že pripravilo lastne digitalne obrazce za lokalizacijo potnikov, še preden je bila na voljo ustrezna rešitev EU.

V Komisija je pri zasnovi orodij upoštevala zahteve glede varstva podatkov in dobre prakse pri varnosti IT. Vendar Komisija nima pristojnosti za preverjanje, ali so države, ki uporabljajo digitalno COVID potrdilo EU, izpolnjevale zahteve glede varnosti IT.

VI Digitalno COVID potrdilo EU je bilo uspešno pri olajšanju potovanj ter izboljšanju izmenjave informacij in usklajevanja v zvezi z omejitvami potovanj. Države članice in veliko držav nečlanic EU so obsežno uporabljale sistem digitalnega COVID potrdila EU, pri čemer je bilo do marca 2022 v državah EU in Evropskega gospodarskega prostora (EGP) izdanih več kot 1,7 milijarde potrdil. Poleg tega so države članice v enem mesecu po začetku veljavnosti uredbe o digitalnih COVID potrdilih EU svoje omejitve potovanj precej uskladile. Vendar je Sodišče ugotovilo, da so bile ureditve medsebojnega obveščanja držav o incidentih, pri katerih je bil potreben nujen odziv (npr. lažna potrdila), zamudne zaradi težav pri opredelitvi ustreznih partnerjev v drugih državah.

VII Druga orodja, ki jih je Sodišče preučilo, niso imela predvidenega učinka, ker so se le malo uporabljala. Digitalni obrazec EU za lokalizacijo potnika so uporabljale le štiri države članice, druge države pa so še naprej uporabljale nacionalne rešitve. V splošnem je uporaba platforme za izmenjavo obrazcev in prehoda za sledenje stikom ostala omejena.

VIII Na podlagi teh zaključkov Sodišče priporoča Komisiji, naj:

• analizira in obravnava razloge za majhno uporabo digitalnih obrazcev EU za lokalizacijo potnikov,
• olajša komunikacijo o incidentih, povezanih z digitalnim COVID potrdilom EU,
• pripravi ustrezna orodja EU za prihodnje krize.

Uvod

01 Prosto gibanje oseb pomeni pravico državljanov EU in njihovih družinskih članov do prostega gibanja in prebivanja na ozemlju držav članic. Je ena od štirih temeljnih svoboščin EU (skupaj s prostim pretokom blaga, storitev in kapitala) ter je že od samega začetka osrednji del evropskega projekta¹. Veljavni pogoji in omejitve so določeni v direktivi o prostem gibanju².

02 Varovanje javnega zdravja je v pristojnosti držav članic³. Evropska komisija ima zato v zdravstveni politiki omejeno vlogo, pri čemer se osredotoča predvsem na usklajevanje⁴. Podpira in dopolnjuje lahko ukrepe držav članic, ki imajo pomembne pristojnosti pri določanju svojih zdravstvenih politik⁵.

03 Po odkritju prvih primerov COVID-19 so države članice marca 2020 začele uvajati mejne kontrole in omejitve prostega gibanja državljanov, da bi omejile širjenje pandemije. Za spremljanje, ali so bile te omejitve skladne z zakonodajo EU o prostem gibanju, pa je bila odgovorna Komisija. Da bi omejila vpliv ukrepov v zvezi s COVID-19 na prosto gibanje, je sprejela različne pobude, katerih cilj je bil podpreti usklajevanje med državami članicami.

04 Komisija je razvila tudi naslednja orodja za lažje potovanje in pomoč pri sledenju primerom okužbe s COVID-19 (za podrobnejši opis orodij glej Prilogo I):

• evropsko storitev združevalnega prehoda – prehod za sledenje stikom,
• digitalni obrazec za lokalizacijo potnika,
• digitalno COVID potrdilo EU,
• platformo za izmenjavo obrazcev za lokalizacijo potnikov.

05 Aplikacije za sledenje stikom, ki uporabnike anonimno obveščajo, da so morda bili v stiku z okuženo osebo, so bile eno od prvih orodij, ki so bila na voljo. Komisija je razvila povezavo med aplikacijami za sledenje stikom v različnih državah članicah in tako razširila njihove koristi na lažje potovanje po EU.

06 Za lažje sledenje stikom med potovanji so bili potniki med pandemijo pozvani, naj posredujejo kontaktne podatke in podrobnosti o lokaciji prek obrazcev za lokalizacijo potnikov, ki so bili poslani ustreznim nacionalnim organom. V primeru pozitivnega rezultata testa so organi na podlagi teh obrazcev vzpostavili stik s potniki, ki so sedeli v bližini zadevne osebe, in jih opozorili, naj opravijo test na COVID-19 in sprejmejo previdnostne ukrepe. Komisija je pripravila digitalni obrazec EU za lokalizacijo potnika, da bi poenostavila uporabo nacionalnih obrazcev v času čezmejnih zdravstvenih kriz, kot je kriza zaradi COVID-19. Tretji zdravstveni program EU (2014–2020) je vključeval skupni ukrep z imenom EU Healthy Gateways, v okviru katerega so se že pred izbruhom pandemije COVID-19 začeli pripravljati papirnati obrazci za pomorski in kopenski promet z uporabo mednarodnih predlog. Skupni ukrep EU Healthy Gateways je bil pozneje uporabljen za podporo digitalizaciji obrazcev za lokalizacijo potnikov.

07 Komisija je razvila tudi digitalno COVID potrdilo EU, ki je bilo preverljivo in vzajemno priznano dokazilo, da je bil imetnik cepljen proti COVID-19, je nedavno prejel negativen rezultat testa nanj ali ga je prebolel. Države članice morajo to potrdilo sprejeti, če se med pandemijo COVID-19 odločijo, da bodo od potnikov zahtevale, da predložijo dokazilo o cepljenju, negativnem rezultatu testa ali preboleli bolezni.

08 Zadnje orodje, ki ga je razvila Komisija, je bila platforma, prek katere so si lahko države članice izmenjevale obrazce za lokalizacijo potnikov. Ekipe za sledenje stikom so si lahko prek platforme med seboj neposredno izmenjevale obrazce po elektronski poti, s čimer se je skrajšal čas, potreben za obveščanje ogroženih potnikov.

09 Pri razvoju orodij je sodelovalo več služb Komisije. Generalni direktorat za zdravje in varnost hrane ter Generalni direktorat za komunikacijska omrežja, vsebine in tehnologijo sta bila skupaj lastnika sistema prehoda za sledenje stikom. Ta generalna direktorata sta skupaj z Generalnim direktoratom za pravosodje in potrošnike ter Generalnim direktoratom za migracije in notranje zadeve vodila tudi pripravo digitalnih COVID potrdil EU. Poleg tega je Generalni direktorat za informatiko zagotovil potrebno infrastrukturo IT.

10 Države članice so bile v razvoj teh orodij vključene predvsem prek mreže e-zdravje (glej okvir 1). Svoj prispevek so zagotovile tudi agencije EU, kot je Evropski center za preprečevanje in obvladovanje bolezni ali Evropska agencija za zdravila. Razvoj orodij za lokalizacijo potnikov so usklajevale države članice (kot skupni ukrep, financiran v okviru tretjega zdravstvenega programa EU), Agencija Evropske unije za varnost v letalstvu ter Generalni direktorat za mobilnost in promet.

11 Namen orodij EU je bil edinstven, saj v času njihovega razvoja ni bilo drugih obstoječih sistemov, s katerimi bi jih bilo mogoče primerjali. Da bi bila zgoraj opisana orodja EU pri olajšanju potovanja med pandemijo COVID-19 čim uspešnejša, je bilo pomembno, da jih sprejmejo vse države članice, saj bi tako dosledno uporabljale zdravstvene podatke za upravljanje potovanja v EU in uskladile omejitve potovanj.

12 Komisija je poleg tega, da je zagotovila 71 milijonov EUR za podporo razvoju orodij IT, državam članicam dala na voljo tudi 100 milijonov EUR, da bi jim pomagala nositi finančno breme testiranja na COVID-19. Ker se je povečal obseg testiranja in cepljenja, se je povečalo tudi število izdanih digitalnih COVID potrdil EU. Pri čezmejnih potovanjih v EU se lahko uporabijo nekatera ali vsa od navedenih orodij, kot je prikazano na sliki 1.

Obseg revizije in revizijski pristop

13 Ta revizija dopolnjuje predhodno posebno poročilo⁷, v katerem je Sodišče ocenilo, ali je Komisija sprejela uspešne ukrepe za zaščito pravice do prostega gibanja oseb med pandemijo COVID-19. V prvem poročilu je obravnavalo, kako je Komisija preverjala kontrole na notranjih schengenskih mejah, z njimi povezane omejitve potovanj in prizadevanja za usklajevanje na ravni EU.

14 Cilj te druge revizije je bil oceniti, ali je Komisija razvila uspešna orodja za lažje potovanje po EU med krizo zaradi COVID-19. Sodišče je s to revizijo želelo opredeliti primere dobre prakse in področja za izboljšave v zvezi s tem, kako Komisija razvija orodja IT za olajšanje prostega gibanja med zdravstvenimi krizami. Da bi lahko odgovorilo na glavno revizijsko vprašanje, je obravnavalo naslednji podvprašanji.

• Ali je Komisija ustrezno razvila orodja EU za olajšanje potovanja?
• Ali so države članice obsežno uporabljale orodja EU ter ali sta bila s tem dosežena boljše usklajevanje in izmenjava informacij o njihovih omejitvah potovanj?

15 Ta revizija zajema obdobje med oktobrom 2020 in junijem 2022 ter je osredotočena na štiri orodja EU, navedena v odstavku 04, vključno z ustreznim financiranjem EU. V njej ni obravnavano financiranje EU za cepljenje proti COVID-19, ki ga je Sodišče že ocenilo v posebnem poročilu o javnem naročanju cepiv proti COVID-19 v EU⁸.

16 Sodišče je revizijo izvedlo z dokumentacijskimi pregledi, pisnimi vprašalniki in razgovori z ustreznimi deležniki. Pregledalo in analiziralo je:

• relevantno zakonodajo EU, da bi opredelilo ključne regulativne zahteve in odgovornosti različnih akterjev,
• interne dokumente Komisije v zvezi s tehničnim razvojem in pravnim sprejetjem digitalnega COVID potrdila EU, evropske storitve združevalnega prehoda, digitalnega obrazca za lokalizacijo potnika in platforme za izmenjavo obrazcev za lokalizacijo potnikov,
• objave Komisije v zvezi s potovanji v kontekstu pandemije COVID-19, kot so smernice, sporočila, predlogi za priporočila ali predlogi za zakonodajne akte,
• tehnične specifikacije orodij, ocene varnosti in tveganja, poročila o penetracijskih testiranjih in varnostne načrte IT, na podlagi katerih so lahko strokovnjaki Sodišča za IT preverili, ali orodja izpolnjujejo varnostne zahteve.

17 Da bi Sodišče pridobilo dokaze, potrdilo dejstva in podkrepilo podatke, zbrane iz drugih virov, je opravilo revizijske razgovore z:

• generalnimi direktorati Komisije za pravosodje in potrošnike, mobilnost in promet, zdravje in varnost hrane ter komunikacijska omrežja, vsebine in tehnologijo,
• Evropskim centrom za preprečevanje in obvladovanje bolezni, ki je med drugim pristojen za zemljevide o razširjenosti COVID-19 in z njim povezane smernice,
• zdravstvenimi organi v državah članicah in državah nečlanicah EU,
• predstavniki letalskih družb, potovalnega sektorja in združenj potrošnikov.

18 Sodišče je izvedlo tudi anketo, da bi zbralo povratne informacije o uporabi takih orodij v vsaki državi članici. Od 27 delegatov držav članic, ki sestavljajo enotni mehanizem Sveta za politično odzivanje na krize, jih je na anketo Sodišča odgovorilo 13, kar ustreza 48-odstotni stopnji odziva. Sodišče je s to anketo podprlo svojo analizo in potrdilo svoja opažanja.

Opažanja

Komisija je razvila ustrezne tehnološke rešitve, vendar jih države članice niso vedno uporabljale

19 V tem razdelku je Sodišče preučilo, ali je Komisija ustrezno razvila orodja za lažje potovanje med pandemijo COVID-19 in zlasti ali:

1. je sredstva EU po začetku pandemije mobilizirala hitro;
2. je orodja zagotovila pravočasno;
3. je upoštevala potrebe in pripravljenost držav članic za uporabo orodij;
4. je upoštevala vprašanja varnosti IT in zasebnosti v zvezi z občutljivimi zdravstvenimi podatki.

20 Sodišče je preučilo, ali je Komisija vire financiranja in ponudnike storitev izbrala tako, da je lahko orodja začela razvijati takoj po začetku pandemije. Preučilo je tudi proces posvetovanja, da bi ocenilo, ali so bila orodja usklajena s prioritetami držav članic. Nazadnje je ocenilo, ali se je v zvezi z orodji upoštevala najboljša praksa pri varstvu osebnih podatkov in varnosti IT.

Komisija je hitro mobilizirala sredstva EU za orodja

21 Komisija je mobilizirala sredstva EU iz različnih virov, kot sta instrument za nujno pomoč v Uniji in program Digitalna Evropa. EU je za razvoj orodij dodelila 71 milijonov EUR. Na sliki 2 je prikazan pregled sredstev EU za posamezna orodja.

22 Financiranje EU za digitalna COVID potrdila EU je skupaj znašalo 50 milijonov EUR (43 milijonov EUR iz instrumenta za nujno pomoč in dodatnih 7 milijonov EUR iz programa Digitalna Evropa). Po podatkih iz marca 2022 je bilo 77 % tega proračuna dodeljenih razvoju in prilagajanju nacionalnih rešitev ter njihovem povezovanju s prehodom za digitalno COVID potrdilo EU: 21,9 milijona EUR je bilo namenjenih zasebnemu izvajalcu, 16,7 milijona EUR pa je bilo izplačanih državam članicam v obliki nepovratnih sredstev.

23 Financiranje EU za prehod za sledenje stikom je skupaj znašalo približno 16,8 milijona EUR (od tega 13 milijonov EUR iz instrumenta za nujno pomoč). Komisija je to financiranje utemeljila s potrebo po olajšanju izmenjave podatkov med državami, na podlagi katere bi bilo mogoče z nacionalnimi aplikacijami obveščati uporabnike, ki so bili izpostavljeni uporabniku, ki uporablja drugo nacionalno aplikacijo in je imel pozitiven rezultat testa na COVID-19.

24 V primeru platforme za izmenjavo obrazcev za lokalizacijo potnikov in digitalnega obrazca EU za lokalizacijo potnika je bilo potrebnih veliko manj sredstev EU: platformi za izmenjavo je bilo dodeljenih približno 2,9 milijona EUR (večinoma iz instrumenta za nujno pomoč v Uniji), digitalnim obrazcem pa 1,3 milijona EUR (s financiranjem iz zdravstvenih programov EU). Sredstva, dodeljena platformi za izmenjavo, so bila uporabljena za financiranje pilotnega projekta za preizkušanje izvedljivosti platforme in za njeno razširitev, da bi zajela več držav članic in načinov prevoza. Sredstva za digitalno različico obrazcev za lokalizacijo potnikov so bila porabljena za razvoj, gostovanje v oblaku in prenos orodja v okolje IT Evropske komisije.

25 Poleg tega je EU po uvedbi digitalnih COVID potrdil EU dala na voljo 100 milijonov EUR za podporo testiranju na COVID-19 v državah članicah⁹. To financiranje je temeljilo na političnem dogovoru med Evropskim parlamentom in Svetom z dne 20. maja 2021 o uredbi o digitalnih COVID potrdilih EU. Države članice so uporabile veliko večino (90 %) teh dodeljenih sredstev, s katerimi so lahko na podlagi testiranja izdala dodatna potrdila za olajšanje potovanja.

26 Sodišče je ugotovilo, da je Komisija ta sredstva mobilizirala hitro in da je sprejela pragmatičen pristop k razvoju orodij, ki je odražal potrebo po njihovi hitri uvedbi. Čas za razvoj orodij je bil omejen, od različnih izvajalcev pa se ni zahtevalo, da predložijo ponudbe. Komisija je namesto konkurenčnih razpisov za nabavo licenc in razvoj prehoda za sledenje stikom, digitalnih COVID potrdil EU in platforme za izmenjavo obrazcev za lokalizacijo potnikov uporabila okvirne pogodbe, ki jih je s ponudnikom storitev IT podpisala že 30. oktobra 2019 in 24. februarja 2020. Okvirne pogodbe vključujejo splošne pogoje poslovnega odnosa in so osnova za podpis posebnih pogodb za posamezne dobave. Za digitalne obrazce EU za lokalizacijo potnikov so bila prva sredstva mobilizirana julija 2020 v okviru skupnega ukrepa EU Healthy Gateways s prerazporeditvijo sredstev iz dejavnosti, ki jih zaradi pandemije ni bile mogoče izvajati.

27 V primeru digitalnih COVID potrdil EU je Komisija dobavitelja izbrala na podlagi okvirne pogodbe, dodeljene v postopku s pogajanji, ki se je začel leta 2019 brez predhodne objave. Po navedbah Komisije je imel izbrani dobavitelj izkušnje z razvojem prehoda za sledenje stikom in je bil edini s potrebnim strokovnim znanjem o programski opremi, ki se uporablja za digitalna COVID potrdila EU.

Komisija je prehod za sledenje stikom in sistem digitalnih COVID potrdil EU razvila pravočasno, v primeru obrazcev za lokalizacijo potnikov pa so bile nacionalne rešitve na voljo prej kot rešitve na ravni EU

28 Ko je Svetovna zdravstvena organizacija marca 2020 izbruh COVID-19 razglasila za pandemijo, so države članice začele uvajati omejitve prostega gibanja¹⁰, Komisija pa je začela objavljati smernice za lažje usklajevanje med njimi¹¹. Prehod za sledenje stikom je začel delovati sedem mesecev po razglasitvi pandemije, 15 mesecev kasneje pa sta začela delovati tudi digitalno COVID potrdilo EU in obrazec za lokalizacijo potnikov. Na sliki 3 je prikazana časovnica zasnove in uvedbe orodij. Ob upoštevanju pravnih in tehničnih zahtev v zvezi s temi orodji, ki so opisana v nadaljevanju, Sodišče meni, da so bili prehod za sledenje stikom in digitalna COVID potrdila EU razviti pravočasno, orodja v zvezi z obrazci za lokalizacijo potnikov pa ne.

29 Prvo orodje, ki je bilo razvito, je bil prehod za sledenje stikom, tj. vseevropski sistem za zagotavljanje interoperabilnosti med nacionalnimi aplikacijami za sledenje stikom. Komisija je 13. maja 2020 objavila sklop smernic in priporočil za pomoč pri postopni odpravi omejitev potovanj¹², ki so jih uvedle države članice. V smernicah je spodbujala uporabo s tem povezane tehnologije. Prehod je začel delovati oktobra 2020, kar je pet mesecev po tem, ko je Komisija objavila smernice.

30 Konec aprila 2020, tj. le en mesec po uvedbi prvih omejitev, je bilo Komisiji v okviru skupnega ukrepa EU Healthy Gateways predlagano, da digitalizira obrazce za lokalizacijo potnikov. Vendar so razprave med Komisijo in državami članicami trajale več mesecev in predlog je bil sprejet avgusta 2020. Svet je oktobra 2020 priporočil¹³ pripravo skupnega digitalnega obrazca EU za lokalizacijo potnika. Do takrat je bilo več držav članic že v napredni fazi razvoja lastnih nacionalnih rešitev (glej tabelo 1).

31 Po priporočilu Sveta je Komisija novembra 2020 začela pripravljati platformo za izmenjavo obrazcev za lokalizacijo potnikov. Vendar je bil izvedbeni sklep¹⁴ Komisije o izmenjavi obrazcev sprejet šele 27. maja 2021. Države članice so lahko digitalne obrazce na platformi začele dejansko izmenjevati šele julija 2021.

32 Digitalno COVID potrdilo EU je bilo četrto orodje, ki ga je razvila Komisija. Njegova priprava se je začela pozneje kot pri drugih orodjih, saj je bila tesno povezana s procesom cepljenja v EU. Razprave o potrdilu o cepljenju proti COVID-19 med Komisijo in državami članicami so potekale od novembra 2020 v okviru mreže e-zdravje¹⁵ (glej okvir 1), pri čemer je Estonija predstavila prvi pilotni projekt digitalno preverljivega potrdila o cepljenju.

33 Evropska agencija za zdravila je 21. decembra 2020 priporočila prvo cepivo za odobritev in nekaj dni pozneje so se po vsej EU začela prva cepljenja. Čez en mesec, tj. 28. januarja 2021, so države EU sprejele osnovne smernice za interoperabilno dokazilo o cepljenju za medicinske namene¹⁶, edinstveno oznako potrdila in načela okvira zaupanja.

34 V političnem dogovoru med Evropskim parlamentom in Svetom z dne 20. maja 2021 o uredbi o digitalnih COVID potrdilih EU je bil kot rok za izvedbo sheme določen konec junija. Komisija je morala zato vzporedno z zakonodajnim delom v zvezi z uredbo pripravljati tudi tehnično izvedbo potrdila¹⁷. Pri zasnovi tehnične zgradbe je upoštevala predhodne izkušnje s prehodom za sledenje stikom, zaradi česar je lahko orodje razvila hitreje. Zakonodajni predlog¹⁸ je dokončala 17. marca 2021. Sedem držav je digitalna COVID potrdila EU začelo uporabljati 1. junija 2021, tj. en mesec pred začetkom veljavnosti uredbe, ki je državljanom in prebivalcem EU omogočila izdajanje, preverjanje in priznavanje potrdil po vsej EU. Do 1. julija so bile s prehodom za digitalna COVID potrdila EU povezane vse države članice EU/EGP (razen Irske, ki se je pridružila 14. julija 2021, potem ko je bil maja 2021 izveden kibernetski napad na njeno nacionalno zdravstveno službo).

35 Evropski parlament in Svet sta uredbo sprejela 14. junija 2021, kar je manj kot tri mesece po začetnem predlogu¹⁹. To je bilo zelo hitro, glede na to, da zakonodajni postopek za zakonodajne akte EU, sprejete v prvi obravnavi, v povprečju traja malo manj kot 18 mesecev²⁰. To je pomenilo, da so lahko bila digitalna COVID potrdila EU uvedena ravno, ko se je začelo obdobje poletnih počitnic in ko so se po vsej celini okrepila prizadevanja za cepljenje: 10. julija 2021 je EU prejela dovolj cepiv za cepljenje 71 % svojega odraslega prebivalstva.

Pri razvoju nekaterih orodij Komisija ni uspela odpraviti zadržkov nekaterih držav članic

36 Ker je bilo treba orodja uvesti hitro in olajšati potovanja med pandemijo COVID-19, jih je Komisija začela razvijati, ne da bi pred tem izvedla ocene učinka. Na podlagi takih ocen se ugotavlja, kakšni bodo verjetni učinki javne politike in ali obstaja potreba po ukrepanju EU. V skladu s smernicami EU za boljše pravno urejanje²¹ bi morala Komisija v običajnih okoliščinah izvesti oceno učinka politike pred vsako novo uredbo. Vendar se v njih tudi priznava, da v izrednih okoliščinah, kot so nujni primeri, v katerih je potreben hiter odziv, morda ni mogoče ali primerno izvesti vseh korakov, določenih v smernicah.

37 Komisija sicer ni izvedla ocene učinka, je pa se v okviru delovnih skupin posvetovala z državami članicami o prehodu za sledenje stikom in izdajanju digitalnih potrdil. Tehnična podskupina v okviru mreže e-zdravje je že decembra 2020 analizirala možnosti za podporo digitalnim potrdilom o cepljenju in olajšanje izmenjave teh informacij med državami članicami. Komisija tako podrobnih posvetovanj pred nadaljevanjem razvoja drugih orodij ni izvedla. V anketi Sodišča je bilo potrjeno, da vse države članice niso bile zainteresirane za uporabo vseh orodij EU, ki jih je Sodišče preučilo.

38 Glede na anketo Sodišča skoraj polovica od 11 držav članic, ki so navedle, da niso uporabile orodij obrazca za lokalizacijo potnika, tega ni želela narediti zaradi varstva podatkov in drugih pravnih pomislekov. Tri države članice so pojasnile, da so že pripravile svoje nacionalne obrazce za lokalizacijo potnikov, ki so bili prilagojeni njihovim individualnim potrebam, in se jim prehod na rešitve EU ni zdel koristen.

39 Poleg tega so bila v posvetovanjih v okviru skupnega ukrepa EU Healthy Gateways, ki so potekala oktobra 2021 in marca 2022, mnenja držav članic o uporabnosti orodij obrazca za lokalizacijo potnika deljena. Pet držav članic EU je uporabljalo vsaj eno od orodij, deset pa jih je izrazilo zanimanje za njihovo uporabo. Vendar pa je 12 držav članic izjavilo, da orodij verjetno ne bodo uporabile, vključno z dvema (Dansko in Švedsko), ki sta izjavili, da ju uporaba orodij ne zanima.

40 Prehodu za sledenje stikom se vse države članice niso pridružile septembra 2020, ko je bila rešitev vzpostavljena. Pridruževale so se postopoma, kar je bilo odvisno od tega, ali so to želele narediti in ali so bile njihove aplikacije pripravljene. Do sredine novembra 2020 je svoje aplikacije povezalo šest držav članic. Druge so postopoma sledile do julija 2021 in do takrat je bilo povezanih 19 držav članic.

Komisija je obravnavala pomisleke glede varstva podatkov in uporabila dobre prakse pri varnosti IT

41 Pomembni tveganji, ki ju je treba obravnavati pri razvoju orodij za upravljanje zdravstvenih podatkov²², sta:

1. varstvo podatkov: zdravstveni podatki so zelo občutljivi in so v splošni uredbi EU o varstvu podatkov priznani kot posebna kategorija podatkov²³. Zato morajo orodja, ki se uporabljajo za upravljanje takih podatkov, vključevati posebne zaščitne ukrepe in nadzor za zaščito informacij, ki se shranjujejo in pošiljajo. Sodišče je preučilo ocene učinka v zvezi z varstvom podatkov za orodja in to, ali je bila z vzpostavljeni procesi obdelava osebnih podatkov čim manjša;
2. varnost IT: z digitalizacijo zdravstvenih storitev in dostopom do elektronske zdravstvene dokumentacije se povečuje tveganje za kibernetske incidente, saj zagotavljata potencialne nove točke dostopa za storilce kaznivih dejanj v kibernetskem prostoru. Zato je Sodišče ocenilo, ali so bila orodja razvita in ali so delovala v skladu z dobrimi varnostnimi praksami²⁴.

42 Z vidika varstva podatkov so sodelujoče države članice „skupne upravljavke podatkov“ (v smislu splošne uredbe o varstvu podatkov) za vseevropske aplikacije, kot so prehod za sledenje stikom in nekatere posebne značilnosti digitalnih COVID potrdil EU. Skupaj so odgovorne za odločanje o tem, kako in za katere namene se osebni podatki obdelujejo, ter za vzpostavitev ustreznega nadzora. Vsaka od njih mora pripraviti ocene učinka v zvezi z varstvom podatkov, da lahko prepoznajo in ublažijo tveganja, ki izhajajo iz uporabe takih aplikacij za obdelavo osebnih podatkov. Komisija, ki v njihovem imenu deluje kot „obdelovalka podatkov“, je državam članicam pomagala pri pripravi ocen učinka v zvezi z varstvom podatkov za orodja EU, zajeta v tem poročilu, z zagotavljanjem podporne dokumentacije in predlog²⁵. Uporaba teh predlog je bila prostovoljna in Komisija ni bila odgovorna za spremljanje, ali so jih države članice uporabile ali ne.

43 Pri digitalnih COVID potrdilih EU in prehodu za sledenje stikom je bila uporabljena tehnična zgradba, s katero je bil obseg zbiranja osebnih podatkov prek centralnih prehodov EU čim manjši. V primeru digitalnih COVID potrdil EU so osebni podatki državljanov EU ostali v nacionalnih sistemih, ki so v pristojnosti njihovih držav članic. Centralni prehod je prejel le kriptografske podatke (in pozneje sezname preklicanih potrdil), ki so jih nacionalni organi potrebovali za preverjanje veljavnosti potrdil. Pri prehodu za sledenje stikom so se obdelovali samo psevdonimizirani osebni podatki v obliki naključnih identifikacijskih oznak, tj. „ključev“, ki so jih ustvarile aplikacije za sledenje stikom. S tem pristopom so se znatno zmanjšala tveganja za varstvo podatkov.

44 V uredbi o digitalnih COVID potrdilih EU ni bil predpisan standardni postopek za preklic potrdil, če bi se na primer ugotovilo, da so lažna. Sodelujoče države so lahko same izvajale tehnične rešitve po lastni izbiri. Komisija ni bila odgovorna za ocenjevanje zanesljivosti teh rešitev z vidika varstva podatkov.

45 Da bi lahko države članice identificirale potrdilo, ki je bilo preklicano v drugi državi, so si morale dvostransko izmenjati informacije v obliki seznamov preklicanih potrdil. Med revizijo Sodišča je bil izražen pomislek, da je bila taka dvostranska izmenjava, ki je vključevala različne akterje in rešitve za preklic, neučinkovita, zlasti ker se je število novih potrdil povečevalo.

46 Da bi Komisija odpravila te pomisleke, je 30. marca 2022, tj. osem mesecev po uvedbi digitalnih COVID potrdil EU, objavila tehnične specifikacije in pravila za vzpostavitev učinkovitejšega mehanizma za izmenjavo seznamov preklicanih potrdil prek centralnega prehoda. V specifikacijah so bile priporočene tudi tri tehnologije za distribucijo seznamov preklicanih potrdil iz nacionalnih podatkovnih zbirk v aplikacije, ki se uporabljajo za preverjanje potrdil. Če se te predlagane rešitve pravilno uporabljajo, se lahko šteje, da se varuje zasebnost, čeprav so bili pri eni od njih (Bloomovi filtri) pomisleki glede zasebnosti veliko bolje upoštevani kot pri drugih dveh²⁶. Vendar je bila uporaba teh rešitev prostovoljna in Komisija ni bila pristojna spremljati, ali jih države članice uporabljajo.

47 Tveganja za varnost IT je mogoče obravnavati in ublažiti s strukturiranim varnostnim okvirom IT²⁷. Ta običajno obsega več elementov, kot so ureditve upravljanja ter varnostne politike, zahteve in standardi. Vključuje tudi dobre prakse, kot sta dejavno iskanje slabosti (pregledi ranljivosti) in dejavno preizkušanje obrambe (penetracijska testiranja).

48 Komisija ima svoj varnostni okvir IT²⁸, ki se uporablja za vse informacijske sisteme, ki gostujejo v njenih podatkovnih središčih, vključno s prehodi za sledenje stikom in prehodi za digitalna COVID potrdila EU. Za okvir veljajo mednarodni standardi²⁹, zato mora Komisija izvesti oceno tveganja za vsak sistem IT, obravnavati ustrezna tveganja z varnostnim načrtom IT ter uporabljati sklop formalnih varnostnih politik in standardov.

49 Komisija je sprejela razumne ukrepe za zagotovitev varnosti IT v zvezi s prehodom za sledenje stikom. Ko je sistem začel delovati (oktobra 2020), je specializirano podjetje izvedlo varnostno oceno zasnove in izvorne kode prehoda, pri čemer ni ugotovilo nobenih pomembnih slabosti. Izvedene so bile tri etične hekerske vaje, da bi pridobili dodatna zagotovila o varnosti prehoda.

50 Komisija je opredelila tudi minimalne varnostne zahteve za nacionalne aplikacije za sledenje stikom, ki se povezujejo s platformo za izmenjavo v okviru prehoda za sledenje stikom. Sodišče je z analizo te varnostne arhitekture in anketnih odgovorov držav članic ugotovilo, da je bil tehnični postopek povezovanja nacionalnih sistemov s prehodom EU (vstopanje) strukturiran in da so bili vidiki varnosti IT v njem obravnavani.

51 V zvezi z digitalnimi COVID potrdili EU je Generalni direktorat za informatiko izvedel ocene ranljivosti prehoda, neodvisni izvajalec pa je izvedel dodatne penetracijske teste. S testi je bilo potrjeno, da je centralni prehod zasnovan tako, da zagotavlja visoko stopnjo varnosti. Večina ugotovljenih težav se je nanašala na infrastrukturo in ne na izvorno kodo. Ugotovljene ranljivosti so se spremljale. Svetovalci, ki so izvajali penetracijska testiranja v zvezi s prehodom, so priporočili izvedbo celovite revizije več komponent, vključno s tistimi, ki se lahko uporabljajo na nacionalni ravni, kot so storitve izdajanja potrdil ali mobilne aplikacije. Ta dodatna revizija je bila zaključena aprila 2022 in v njej niso bili izraženi dvomi glede varnostne arhitekture orodja.

52 Države članice in države nečlanice EU, ki sodelujejo v shemi digitalnih COVID potrdil EU, so potrdila ustvarile v svojih nacionalnih sistemih. Če bi bili nacionalni sistemi ogroženi in bi nepooblaščene osebe pridobile dostop, bi zlonamerni uporabniki lahko izdali veljavna, vendar lažna potrdila. Splošno razširjeno kroženje teh potrdil bi lahko vplivalo na svobodo gibanja, saj bi spodkopalo zaupanje v digitalna COVID potrdila EU, s tem pa bi se povečalo tveganje, da bi države članice ponovno uvedle dodatne omejitve. Zato je bilo pomembno zagotoviti, da nacionalni sistemi vključujejo ustrezne varnostne kontrole.

53 Pri varnostnih kontrolah v sistemih sodelujočih držav je Komisija uporabila tudi vprašalnike za samoocenjevanje, ki so jih izpolnile države, vendar ni imela pooblastil za preverjanje njihove dejanske skladnosti (na primer s pregledovanjem poročil o pregledih ranljivosti, revizijskih poročil, akcijskih načrtov ali mednarodnih certifikatov). Zaradi tega je bilo zagotovilo glede varnostnega stanja nacionalnih sistemov omejeno.

54 V razgovorih s Sodiščem je bilo potrjeno, da se je en incident v zvezi z varnostjo IT zgodil v državi nečlanici EU. Nacionalna rešitev te države je bila ranljiva, saj so lahko nepooblaščeni uporabniki dostopali do aplikacije in ustvarjali nezakonita potrdila na nacionalni ravni, dokler incident ni bil odkrit in ranljivost odpravljena. Glede na poročilo te države o incidentu je bilo pri tem ustvarjenih le nekaj potrdil.

55 Nobena tehnična rešitev ne more odpraviti vseh tveganj in na primer niti z najsodobnejšimi varnostnimi kontrolami ni mogoče preprečiti, da pooblaščeni uslužbenci z zakonitim dostopom do nacionalnih sistemov ne bi zlorabili svojih pooblastil in ustvarili lažnih potrdil.

56 Pri poročanju o incidentih, kot so lažna potrdila, in njihovi obravnavi je zato potrebna hitra izmenjava informacij med pristojnimi organi. Države članice in države nečlanice EU, s katerimi se je Sodišče posvetovalo, so navedle, da je poročanje o takih zadevah trajalo dolgo, ker je bilo težko opredeliti ustrezne partnerje v drugih državah.

57 Za digitalne obrazce EU za lokalizacijo potnikov in platformo za izmenjavo so se uporabljale naslednje priporočene prakse³⁰ pri varnosti IT: dvofaktorska avtentikacija, varni komunikacijski protokoli, požarni zidovi spletnih aplikacij in varnostne kontrole fizičnega dostopa. Izvajalec je izvedel tudi oceno tveganja IT in vzpostavil strukturiran postopek za države, ki so vstopile v sistem.

58 Vendar je bilo prvo penetracijsko testiranje tega sistema izvedeno šele marca 2022, tj. eno leto po tem, ko se je vanj povezala prva država. Po testiranju je zunanji ponudnik storitev pripravil izvedbeni načrt za obravnavo ugotovitev. To pomeni, da je sistem eno leto deloval z neodkritimi ranljivostmi.

Učinek orodij EU na olajšanje potovanja med pandemijo COVID-19 je bil neenakomeren

59 V tem oddelku je Sodišče preučilo, ali so orodja EU olajšala potovanje po EU v prvih letih pandemije COVID-19. Zlasti je preučilo, ali:

1. so države članice orodja obsežno uporabljale, saj je to potrebno za njihovo uspešnost, in
2. sta bila z orodji izboljšana usklajevanje in izmenjava informacij med državami članicami v zvezi z omejitvami potovanj, ki so jih uvedle, s čimer bi bili obravnavani vprašanji, za kateri je bilo prej ugotovljeno, da ovirata potovanje v EU³¹.

60 Sodišče je zbralo in analiziralo podatke o uporabi orodij v državah članicah. Primerjalo je tudi omejitve potovanj, ki so jih uvedle države članice pred uvedbo digitalnega COVID potrdila EU in po njej.

Orodja obrazca EU za lokalizacijo potnika in prehod za sledenje stikom niso imeli predvidenega učinka zaradi njihove majhne uporabe v državah članicah

61 Da bi orodja EU dosegla predvideni učinek, bi jih bilo treba obsežno uporabljati. V tabeli 2 je povzeta uporaba orodij v posameznih državah članicah. Iz nje je razvidno, da je bilo digitalno COVID potrdilo EU edino orodje, ki se je uporabljalo v vseh državah članicah.

62 Države članice digitalnih obrazcev EU za lokalizacijo potnikov in platforme za izmenjavo niso uporabljale v zadostnem obsegu, da bi ti imeli pomemben učinek pri zajezitvi širjenja COVID-19 in omogočanju varnega potovanja.

63 Digitalni obrazec EU za lokalizacijo potnika³² so uporabljale le štiri države članice, 17 drugih držav članic pa je še naprej uporabljalo nacionalne rešitve. Od skoraj 27 milijonov obrazcev, izdanih do februarja 2022, jih je bilo 91,6 % (24,7 milijona) italijanskih.

64 Podobno je bila zelo majhna tudi uporaba platforme za izmenjavo. Čeprav bi se teoretično lahko orodje uporabljalo za izmenjavo informacij s katere koli nacionalne platforme, so ga večinoma sprejele tiste države, ki so uporabljale tudi obrazce EU. Splošna uporaba platforme je ostala neznatna, saj so bili leta 2021 izmenjani le trije obrazci, v prvih dveh mesecih leta 2022 pa je bilo izmenjanih 253 obrazcev. Vsi razen enega od teh 256 obrazcev so bili iz Španije.

65 Aplikacije za sledenje stikom so se v državah članicah uporabljale zelo različno. Nekatere države članice sploh niso sprejele nobene take aplikacije. V tistih, ki so jih, pa so jih prebivalci dejansko malo uporabljali. Skupno število prenosov vseh aplikacij za sledenje stikom, ki so jih izvedli državljani EU, je bilo 74 milijonov (stanje oktobra 2021). Vendar ni statističnih podatkov na ravni EU o tem, koliko ljudi jih je dejansko uporabljalo.

66 Skupno število potrjenih primerov COVID-19 je bilo do 22. maja 2022 več kot 522 milijonov³³, do tega datuma pa je bilo naloženih 55 milijonov ključev. Podatki iz prehoda za sledenje stikom kažejo na neenakomerno uporabo orodij za sledenje stikom med državami članicami, pri čemer so 83 % ključev naložili samo uporabniki iz Nemčije (glej Prilogo II).

67 Na splošno so bila orodja, ki jih je preučilo Sodišče, razvita za reševanje nastajajočih potreb, zaradi česar je bilo težje dosledno ustvarjati sinergije med njimi. Čeprav sta na primer digitalni obrazec EU za lokalizacijo potnika in platforma za izmenjavo takih obrazcev neločljivo povezana, sta bila razvita ločeno (prvi je bil razvit v okviru skupnega ukrepa EU Healthy Gateways, drugega pa je razvila Agencija Evropske unije za varnost v letalstvu). Podobno so bile na ravni EU smernice o združevanju digitalnega COVID potrdila EU in obrazca za lokalizacijo potnika na voljo po začetku njune uporabe in se še vedno ne izvajajo.

68 Ker so bila orodja zasnovana za kratkoročno delovanje, niso vzpostavljeni prožni postopki za njihovo dolgoročnejšo uporabo ali hitro ponovno aktiviranje, če bodo potrebna v prihodnosti. Na primer, sedanja pravna podlaga za digitalno COVID potrdilo EU preneha veljati junija 2023, Evropski parlament in Svet pa bi ju morala obnoviti na podlagi predloga Komisije. Komisija je med revizijo Sodišča poudarila, da bi bilo tako pravno kot tehnično izredno težko ponovno vzpostaviti izdajanje potrdil v kratkem času.

Države članice so obsežno uporabljale digitalna COVID potrdila EU, ki so olajšala potovanje

69 Prehod EU za digitalna COVID potrdila je začel delovati 1. junija 2021, ko se je z njim povezalo sedem držav članic. V mesecu in pol je bilo nato povezanih vseh 27 držav članic EU. Rešitev, ki jo je predlagala Komisija, je vzbudila veliko zanimanja tudi zunaj EU. Po podatkih iz julija 2022 je okvir EU za digitalna COVID potrdila EU sprejelo 45 držav in ozemelj zunaj EU.

70 Države članice so do 13. oktobra 2021 izdale 585 milijonov potrdil. Pet mesecev pozneje je bilo izdanih 1,7 milijarde potrdil, od tega večina (1,1 milijarde) na podlagi cepljenja. Ta številka je višja od števila prebivalcev EU, saj lahko ima ena oseba več potrdil (nekdo lahko na primer pridobi dve potrdili o testiranju, preden se cepi). Po vsakem odmerku cepiva, preboleli bolezni ali testiranju je bilo ustvarjeno eno digitalno COVID potrdilo EU. Razen za olajšanje potovanja so se digitalna COVID potrdila EU v državah članicah uporabljala tudi za nadzor dostopa do javnih prostorov, kot so restavracije ali gledališča. Na sliki 4 je prikazana razčlenitev teh 1,7 milijarde potrdil po državah članicah.

71 Namen orodij, zajetih v tem poročilu, je bil olajšati varno potovanje. Številne države članice so se zaradi pandemije odločile za uvedbo različnih omejitev potovanj. Sodišče je v posebnem poročilu o prostem gibanju v EU med pandemijo COVID-19³⁴ ugotovilo, da je bilo v državah članicah junija 2021 še vedno vzpostavljenih veliko neusklajenih omejitev potovanj, vključno s testiranjem PCR, zahtevami glede karantene in prepovedjo vstopa.

72 Dokler niso začela veljati digitalna COVID potrdila EU, so omejitve vstopa za potnike temeljile na tveganju za zdravje na geografskem območju, s katerega so potovali. To se je spremenilo julija 2021 z uvedbo uredbe o digitalnih COVID potrdilih EU, ko so omejitve kmalu postopno začele veljati za posameznike in ne za geografska območja, pri čemer so temeljile predvsem na posedovanju veljavnega potrdila.

73 Poleg tega premika v naravi omejitev potovanj je bil z uredbo o digitalnih COVID potrdilih EU uveden tudi nov formalni mehanizem za izboljšanje izmenjave informacij o takih omejitvah. Odkar je uredba začela veljati, morajo države članice obvestiti Komisijo in druge države članice, če nameravajo uvesti nove omejitve. V takih obvestilih morajo biti navedeni razlogi za dodatne omejitve ter njihov obseg in trajanje. Do marca 2022 je informacije v skladu s to določbo predložilo 13 držav članic.

74 Julija 2021 se je v okviru posvetovanja Komisije o omejitvah potovanj izkazalo, da so vse države članice (razen Grčije, Madžarske in Italije, ki so odgovorile šele pozneje) odpravile svoje omejitve za imetnike digitalnih COVID potrdil EU. Na sliki 5 so prikazane razlike v omejitvah potovanj pred uvedbo sistema izdajanja potrdil in takoj po njej (junij in julij 2021). Dvanajst od 13 držav, ki so sodelovale v anketi Sodišča, se je strinjalo, da so digitalna COVID potrdila EU pomagala pri usklajevanju omejitev potovanj med državami članicami.

Zaključki in priporočila

75 Sodišče ugotavlja, da je Komisija kljub omejeni pristojnosti na področju politike javnega zdravja hitro ukrepala in predlagala ustrezne tehnološke rešitve za lažje potovanje po EU med pandemijo COVID-19. Vendar je učinek nekaterih od teh orodij odvisen od pripravljenosti držav članic, da jih uporabljajo. Digitalno COVID potrdilo EU je pridobilo močno podporo in je bilo uspešno pri olajšanju potovanja, učinek drugih orodij pa je bil zaradi njihove majhne uporabe skromen.

76 Komisija je hitro mobilizirala 71 milijonov EUR za razvoj orodij, tako da je kombinirala več virov financiranja in uporabila obstoječe okvirne pogodbe namesto postopkov za oddajo javnega naročila. Namen orodij je bil edinstven, saj ni drugih obstoječih sistemov, s katerimi bi jih bilo mogoče primerjati (odstavki 21–27).

77 Komisija je pravočasno vzpostavila prehod za sledenje stikom in digitalno COVID potrdilo EU. Prehod za sledenje stikom, zasnovan za zagotavljanje interoperabilnosti med aplikacijami za sledenje stikom, je začel delovati oktobra 2020, kar je sedem mesecev po tem, ko je Svetovna zdravstvena organizacija izbruh COVID-19 razglasila za pandemijo. Tehnični razvoj izdajanja digitalnih COVID potrdil EU je temeljil na predhodnih izkušnjah s prehodom za sledenje stikom in bil zaključen, preden so države članice končale izvajanje svojih načrtov cepljenja. Tudi zakonodajni postopek za sprejetje digitalnih COVID potrdil EU je bil veliko hitrejši kot običajno (odstavki 28–35).

78 Komisija ni uspela odpraviti zadržkov nekaterih držav članic glede uporabe rešitev EU za obrazce za lokalizacijo potnikov, ki so bile uvedene potem, ko je več držav članic že razvilo lastna orodja. Zato je rešitve EU uporabljalo le pet držav članic (odstavki 36–40).

Priporočilo 1 – Obravnavati razloge za majhno uporabo digitalnih obrazcev EU za lokalizacijo potnikov

Komisija naj obravnava razloge za majhno uporabo digitalnega obrazca EU za lokalizacijo potnika in platforme za izmenjavo ter spodbuja večjo uporabo teh orodij v državah članicah v prihodnjih fazah pandemije COVID-19.

Ciljni rok za izvedbo: december 2023.

79 Na splošno je Komisija pri zasnovi orodij upoštevala zahteve glede varstva podatkov in dobre prakse pri varnosti IT. Uporaba osebnih podatkov v okviru orodij EU je minimalna (odstavka 42 in 43). Ocene varnostnih tveganj in penetracijski testi so bili na splošno izvedeni sistematično – edina izjema so bili nekateri zapozneli varnostni testi za digitalni obrazec EU za lokalizacijo potnika, kar je pomenilo, da je orodje eno leto delovalo z neodkritimi ranljivostmi (odstavki 47–51, 57 in 58).

80 V zvezi z digitalnimi COVID potrdili EU so si morale sodelujoče države po različnih komunikacijskih kanalih dvostransko izmenjevati sezname lažnih potrdil. Zaradi tega pristopa je blokiranje lažnih potrdil manj učinkovito. Komisija je do marca 2022 predlagala izvedljive rešitve za obravnavo tega vprašanja, vendar je njihova uporaba prostovoljna (odstavki 44–46). Poleg tega so ureditve medsebojnega obveščanja držav o incidentih, pri katerih je potreben nujen odziv (npr. lažna potrdila), zamudne (odstavka 55 in 56).

Priporočilo 2 – Olajšati komunikacijo o incidentih, povezanih z digitalnim COVID potrdilom EU

Komisija naj omogoči neposredno komunikacijo med uradnimi kontaktnimi osebami vsake države, ki sodeluje v shemi digitalnega COVID potrdila EU, da se olajša komunikacija v nujnih primerih, povezanih s potrdili.

Ciljni rok za izvedbo: junij 2023.

81 Ker so bile kode, uporabljene v digitalnih COVID potrdilih EU, ustvarjene z nacionalnimi sistemi sodelujočih držav, je bilo pomembno, da ti sistemi vključujejo ustrezne varnostne kontrole. Komisija je izhajala iz samoocen varnosti IT, ki so jih izvedle sodelujoče države, saj nima pooblastil za preverjanje njihove dejanske skladnosti z varnostnimi zahtevami. Zaradi tega ni zanesljivega zagotovila glede varnostnega stanja nacionalnih sistemov (odstavki 52–54).

82 Obrazci EU za lokalizacijo potnikov in prehod za sledenje stikom niso imeli predvidenega učinka, ker je bila njihova uporaba omejena. Digitalni obrazec EU za lokalizacijo potnika so uporabljale le štiri države članice, druge države pa so še naprej uporabljale nacionalne rešitve. Splošna uporaba platforme za izmenjavo obrazcev za lokalizacijo potnikov je ostala neznatna, saj so bili leta 2021 izmenjani le trije obrazci, v prvih dveh mesecih leta 2022 pa je bilo izmenjanih 253 obrazcev. Uporaba prehoda za sledenje stikom je bila skromna zaradi majhnega sprejemanja aplikacij za sledenje stikom v državah članicah, pri čemer je veliko večino prometa ustvarila le ena država (odstavki 61–67).

83 Orodja, ki jih je preučilo Sodišče, so bila razvita za obravnavo nastajajočih potreb in delujejo neodvisno drugo od drugega. Zaradi tega in zaradi različnih nacionalnih rešitev obrazcev za lokalizacijo potnikov je bilo težje zagotoviti enakomerno sprejemanje orodij EU. Poleg tega so bila orodja zasnovana za kratkoročno delovanje kot odziv na zdravstveno krizo. Specifični postopki za njihovo dolgoročnejšo uporabo ali njihovo hitro ponovno aktiviranje, če bodo potrebna v prihodnosti, niso vzpostavljeni. Sedanja pravna podlaga za digitalno COVID potrdilo EU preneha veljati junija 2023 in bi jo bilo treba obnoviti po standardnem zakonodajnem postopku EU (odstavek 68).

84 Sodišče je ugotovilo, da so bila digitalna COVID potrdila EU uspešna pri olajšanju potovanja med pandemijo COVID-19. Države članice in več držav nečlanic EU so obsežno uporabljale potrdila, pri čemer je bilo do marca 2022 v državah EU/EGP izdanih več kot 1,7 milijarde digitalnih COVID potrdil EU. Poleg tega je ugotovilo, da so države članice v enem mesecu po začetku veljavnosti uredbe o digitalnih COVID potrdilih EU svoje omejitve potovanj precej uskladile. Natančneje, vse države članice so odpravile omejitve potovanj za državljane EU, ki imajo digitalno COVID potrdilo EU na podlagi tega, da so bili popolnoma cepljeni proti COVID-19, so nedavno prejeli negativen rezultat testa na COVID-19 ali so preboleli COVID-19.

85 Poleg tega sta se z uvedbo digitalnih COVID potrdil EU izboljšala izmenjava informacij in usklajevanje v zvezi z omejitvami potovanj, saj morajo države članice v skladu z veljavno uredbo poročati o uvedbi omejitev potovanj in jih utemeljiti (odstavki 69–74).

Priporočilo 3 – Pripraviti ustrezna orodja EU za prihodnje krize

Komisija naj:

1. med orodji EU, ustvarjenimi med pandemijo COVID-19, opredeli tista, ki so bila najbolj koristna za državljane in države članice, ter pripravi postopke za njihovo hitro ponovno aktiviranje v primeru prihodnjih izrednih razmer;
2. s sinergijami ali poenostavitvami državljanom EU olajša dostop do orodij EU, ki se uporabljajo za lažje sledenje čezmejnim stikom med krizami,
3. skupaj z državami članicami analizira potrebo po dodatnih orodjih za reševanje morebitnih prihodnjih kriz.

Ciljni rok za izvedbo: september 2023 za priporočili (a) in (c) ter september 2024 za priporočilo (b).

To poročilo je sprejel senat III, ki ga vodi članica Evropskega računskega sodišča Bettina Jakobsen, v Luxembourgu na zasedanju 22. novembra 2022.

Priloge

Priloga I – Opis orodij EU za olajšanje varnega potovanja med pandemijo COVID-19

Evropska storitev združevalnega prehoda

Evropska storitev združevalnega prehoda je sistem, ki omogoča interoperabilnost med nacionalnimi aplikacijami za sledenje stikom. Nacionalne aplikacije za sledenje stikom so bile razvite za obveščanje državljanov o morebitnem tveganem stiku in kot pomoč pri prekinitvi verig prenosa COVID-19.

Aplikacija za sledenje stikom stalno beleži stike z bližnjimi uporabniki aplikacij za sledenje stikom. Vsakih 15 minut ustvari ključ (identifikacijsko oznako) za svojega uporabnika, s čimer varuje njegovo zasebnost. Aplikacija uporablja tehnologijo Bluetooth za zaznavanje drugih pametnih telefonov v bližini in za izmenjavo ključev. Pri vsakem srečanju z drugim uporabnikom pride do izmenjave ključev med uporabnikoma, ki se shranita na telefonih obeh uporabnikov.

Kadar ima uporabnik pozitiven rezultat testa na COVID-19, to prijavi v aplikaciji, ki pošlje vse uporabnikove ključe, ustvarjene v zadnjih 14 dneh, na nacionalni zaledni strežnik njegove države. S strežnika se ključi okuženega uporabnika pošljejo aplikacijam vseh uporabnikov, v katerih se primerjajo s ključi, shranjenimi na telefonu. Če obstaja ujemanje, to pomeni, da je bil uporabnik v bližini okužene osebe, in zato prejme opozorilo.

Večina držav članic je sprejela ta decentraliziran pristop, pri katerem se kombinacija ključev okuženih oseb pošlje aplikacijam uporabnikov, primerjava pa se izvede na telefonih uporabnikov. Nekaj držav članic je izbralo bolj centraliziran pristop, pri katerem se primerjava ključev in iskanje ujemanja z napravami uporabnikov izvedeta v centralnih nacionalnih strežnikih.

Nacionalne platforme za sledenje stikom, ki uporabljajo decentraliziran pristop in združljive tehnološke elemente, lahko anonimizirane ključe okuženih oseb med seboj izmenjujejo prek prehoda EU za sledenje stikom. Prehod za sledenje stikom tako potniku omogoča, da uporablja svojo nacionalno aplikacijo za sledenje stikom med potovanji v drugih državah, ki so povezane s prehodom EU.

Digitalni obrazec za lokalizacijo potnika

Javnozdravstveni organi uporabljajo obrazce za lokalizacijo potnikov za lažje sledenje stikom, kadar so potniki med potovanjem z letalom, vlakom, ladjo ali avtobusom izpostavljeni nalezljivi bolezni. Svetovna zdravstvena organizacija in Mednarodna organizacija civilnega letalstva sta te obrazce začeli pripravljati že med preteklimi izbruhi različnih bolezni (predvsem ebole).

Tradicionalno so države, ki so zahtevale izpolnjevanje obrazcev za lokalizacijo potnikov, pogosto uporabljale papirnate obrazce. Vendar imajo papirnati obrazci velike omejitve – lahko so težko berljivi, podatke, ki so na njih navedeni, pa je treba ročno vnesti v računalniške sisteme za avtomatizirano obdelavo. Zaradi teh omejitev so se številne države odločile za razvoj elektronskih različic. Digitalni obrazec EU za lokalizacijo potnika je spletna aplikacija, ki je bila razvita za poenostavitev uporabe obrazcev za lokalizacijo potnikov med čezmejnimi grožnjami za zdravje, kot je COVID-19.

Potnik v spletnem obrazcu navede podrobnosti o svojem potovanju in prejme edinstveno hitroodzivno kodo (kodo QR). To kodo lahko skenirajo pristojni organi v namembnih državah, da preverijo, ali so potniki posredovali zahtevane podatke. Namen digitalne oblike obrazca je olajšati in pospešiti zbiranje podatkov in izmenjavo podatkov med deležniki, da bi bilo sledenje stikom učinkovitejše in uspešnejše.

Izmenjava obrazcev za lokalizacijo potnikov

Kadar ima potnik pozitiven rezultat testa na COVID-19, je morda treba podatke iz obrazca za lokalizacijo potnika, ki jih je zbrala ena država, varno posredovati drugim zadevnim državam, in sicer izključno za namen sledenja stikom oseb s COVID-19. Zaradi omejitev obstoječega evropskega sistema za izmenjavo zdravstvenih informacij (sistem zgodnjega obveščanja in odzivanja) se je Komisija odločila, da razvije namensko platformo za izmenjavo podatkov iz obrazca za lokalizacijo potnika med različnimi nacionalnimi sistemi.

Platforma za izmenjavo obrazcev za lokalizacijo potnikov omogoča varen šifriran prenos podatkov med pristojnimi nacionalnimi organi, na njej pa se ne shranjujejo nobeni podatki. Organi držav članic se lahko z njo povežejo prek sistema digitalnih obrazcev za lokalizacijo potnikov na ravni EU ali prek ustreznih nacionalnih sistemov.

Digitalno COVID potrdilo EU

Digitalno COVID potrdilo EU je dokazilo, da je bila oseba cepljena proti COVID-19, je prejela negativen rezultat testa nanj ali ga je prebolela. Potrdila izdajo pristojni nacionalni organi v papirni in elektronski obliki. V obeh primerih vsebujejo kodo QR, ki jih ščiti pred ponarejanjem. Varnost rešitve temelji na uporabi javnih in zasebnih kriptografskih ključev. Obstajata dva ključa: zasebni, ki se uporablja za digitalno podpisovanje kode QR, in javni, ki omogoča preverjanje digitalnega podpisa.

Vsak organ izdajatelj ima svoj zasebni ključ in ustrezen javni ključ. Zasebni ključi so varno shranjeni, javni ključi pa so v skupni rabi v centralni nacionalni podatkovni zbirki. Organ da svoj sistem izdajanja na voljo ustreznim akterjem v zdravstvu (npr. bolnišnicam in centrom za testiranje) po izdaji dovoljenja, ti pa lahko z njim digitalno podpisujejo potrdila.

Aplikacije, ki se uporabljajo za preverjanje verodostojnosti digitalnih COVID potrdil EU, pridobijo javne ključe iz nacionalnih podatkovnih zbirk. Nacionalne podatkovne zbirke si javne ključe z drugimi državami izmenjujejo prek prehoda za digitalna COVID potrdila EU. Prehod tako omogoča medsebojno preverjanje potrdil v različnih državah.

Priloga II – Uporaba aplikacij za sledenje stikom v EU

Sprejemanje aplikacij za sledenje stikom ni bilo enotno po vsej EU. Število prenosov aplikacij za sledenje stikom je bilo le v dveh državah članicah višje od 50 % števila prebivalcev. Na sliki so prikazane različne situacije v državah članicah, ki so uporabljale decentralizirane aplikacije za sledenje stikom.

Prenos aplikacije ne pomeni nujno, da se sledenje stikom tudi dejansko uporablja, saj morajo biti aplikacije aktivne in državljani morajo prostovoljno prijaviti svoj pozitivni rezultat testa na COVID-19. Kadar koli uporabniki prijavijo svoj pozitivni rezultat testa, se ustrezni ključi naložijo v prehod za sledenje stikom. Podatki iz prehoda kažejo, da se je sledenje stikom po državah članicah različno uporabljalo. Iz števila ključev, ki so bili naloženi v prehod, je razvidno, da jih je velika večina izhajala iz ene države.

Glosar

Mejne kontrole: kontrole in nadzor oseb, ki prečkajo ali nameravajo prečkati mejo, na meji.

Penetracijsko testiranje: metoda ocenjevanja varnosti sistema IT, pri kateri se poskušajo zaobiti varnostni zaščitni ukrepi z orodji in tehnikami, ki jih običajno uporabljajo napadalci.

Pregled ranljivosti: proces pregledovanja omrežnih naprav, računalniških sistemov in aplikacij, da bi se odkrile težave in šibke točke.

Schengensko območje: skupina 26 evropskih držav, ki so na skupnih mejah opustile kontrole potnih listov in priseljevanja.

Upravljavec podatkov: oseba ali organizacija (v smislu splošne uredbe EU o varstvu podatkov), ki določa, kako in za katere namene bi bilo treba obdelovati osebne podatke.

Odgovori Evropske komisije

https://www.eca.europa.eu/sl/Pages/DocItem.aspx?did=62947.

Časovnica

https://www.eca.europa.eu/sl/Pages/DocItem.aspx?did=62947.

Revizijska ekipa

V posebnih poročilih Sodišča so predstavljeni rezultati njegovih revizij politik in programov EU ali tem v zvezi z upravljanjem na posameznih področjih proračuna. Sodišče izbira in načrtuje revizijske naloge tako, da je njihov učinek kar največji, in pri tem upošteva tveganje za smotrnost ali skladnost, višino ustreznih prihodkov ali porabe, prihodnji razvoj ter politični in javni interes.

To revizijo smotrnosti je opravil revizijski senat III – zunanji ukrepi, varnost in pravica –, ki mu predseduje članica Sodišča Bettina Jakobsen. Revizijo je vodil član Evropskega računskega sodišča Baudilio Tomé Muguruza, pri njej pa so sodelovali vodja njegovega kabineta Daniel Costa De Magalhães, ataše v njegovem kabinetu Ignacio García de Parada Miranda, vodilni upravni uslužbenec Alejandro Ballester Gallardo, vodja naloge Piotr Senator ter revizorji João Coelho, Mirko Iaconisi, Ioanna Topa in Andrej Minarovic. Jezikovno podporo je zagotovil Michael Pyper.

Od leve proti desni: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi in Michael Pyper.

Končne opombe

¹ Člen 20(2)(a) in člen 21(1) Pogodbe o delovanju EU.

² Direktiva 2004/38/ES.

³ Člen 168(7)Pogodbe o delovanju EU.

⁴ Člen 17Pogodbe o Evropski uniji (PEU).

⁵ Člen 4(2)(k), člen 6(a) in člen 168 Pogodbe o delovanju EU.

⁶ Direktiva 2011/24/EU o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu.

⁷ Posebno poročilo 13/2022.

⁸ Posebno poročilo 19/2022.

⁹ Izjava Komisije z dne 15. junija 2021.

¹⁰ Slika 4Posebnega poročila 13/2022.

¹¹ Smernice glede ukrepov za upravljanje meja za zaščito zdravja in zagotovitev razpoložljivosti blaga in bistvenih storitev, C(2020) 1753 final, UL C 86I, 16. marec 2020.

¹² Sporočila Komisije C(2020) 3250, C(2020) 3251 in C(2020) 3139.

¹³ Priporočilo Sveta (EU) 2020/1475.

¹⁴ Izvedbeni sklep Komisije (EU) 2021/858.

¹⁵ e-zdravje in COVID-19, spletno mesto Evropske komisije.

¹⁶ Mreža e-zdravje, Guidelines on verifiable vaccination certificates – basic interoperability elements, 12. marec 2021.

¹⁷ Uredba (EU) 2021/953.

¹⁸ Predlog uredbe, COM(2021) 130.

¹⁹ Postopek 2021/0068/COD.

²⁰ Poročilo o dejavnostih z naslovom Development and Trends of the Ordinary legislative Procedure, Evropski parlament.

²¹ Better Regulations Guidelines, SWD(2017) 350, 7. julij 2017.

²² ENISA, Taking Care of Health Data.

²³ Uredba (EU) 2016/679 Evropskega parlamenta in Sveta.

²⁴ ISACA, Certified Information System Auditor review manual, 2019; standard Mednarodne organizacije za standardizacijo / Mednarodne elektrotehniške komisije 27001.

²⁵ Osnutek ocene tveganja za varstvo podatkov (DPRA-DRAFT).

²⁶ Mreža e-zdravje, EU DCC Revocation – B2A Communication between the Backend and the Applications, oddelek 4.6.3.

²⁷ ISACA, Certified Information System Auditor review manual, 2019.

²⁸ Sklep Komisije (EU, Euratom) 2017/46 o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji ter izvedbena pravila, C(2017) 8841 final.

²⁹ Standardi Mednarodne organizacije za standardizacijo / Mednarodne elektrotehniške komisije 27001, 27002, 27005 in 27035.

³⁰ Standard Mednarodne organizacije za standardizacijo / Mednarodne elektrotehniške komisije 27001.

³¹ Posebno poročilo 13/2022, odstavki 69–75.

³² Digitalni obrazec EU za lokalizacijo potnika.

³³ Weekly epidemiological update on COVID-19 – 25 May 2022, Svetovna zdravstvena organizacija.

³⁴ Posebno poročilo 13/2022.

Stik

EVROPSKO RAČUNSKO SODIŠČE
12, rue Alcide De Gasperi
L-1615 Luxembourg
LUKSEMBURG

Tel. +352 4398-1
Vprašanja: eca.europa.eu/sl/Pages/ContactForm.aspx
Spletišče: eca.europa.eu
Twitter: @EUAuditors

Veliko dodatnih informacij o Evropski uniji je na voljo na internetu.
Dostop je mogoč na strežniku Europa (https://europa.eu).

Luxembourg: Urad za publikacije Evropske unije, 2023

PDF	ISBN 978-92-847-9236-8	ISSN 1977-5784	doi:10.2865/603118	QJ-AB-22-027-SL-N
HTML	ISBN 978-92-847-9206-1	ISSN 1977-5784	doi:10.2865/668541	QJ-AB-22-027-SL-Q

AVTORSKE PRAVICE

© Evropska unija, 2023

Politika Evropskega računskega sodišča (Sodišča) glede ponovne uporabe je določena v njegovem sklepu o politiki odprtih podatkov in ponovni uporabi dokumentov ECA Decision No 6-2019.

Če ni drugače navedeno (npr. v posameznih obvestilih o avtorskih pravicah), so vsebine Sodišča, ki so v lasti EU, pod licenco Creative Commons Attribution 4.0 International (CC BY 4.0). Praviloma je zato ponovna uporaba dovoljena, če se ustrezno navede vir in označijo morebitne spremembe. Kdor ponovno uporabi vsebine Sodišča, ne sme potvoriti prvotnega pomena ali sporočila. Sodišče ni odgovorno za morebitne posledice ponovne uporabe.

Če so na gradivu prikazane določljive fizične osebe, npr. na fotografijah uslužbencev Sodišča, ali če gradivo vsebuje dela tretjih oseb, je treba pridobiti dodatne pravice.

Kadar je pridobljeno tako dovoljenje, se z njim razveljavi in nadomesti zgoraj omenjeno splošno dovoljenje, zato morajo biti v njem jasno navedene morebitne omejitve glede uporabe.

Za uporabo in prikazovanje vsebin, katerih lastnica ni EU, je morda treba pridobiti dovoljenje neposredno od imetnikov avtorskih pravic.

Programska oprema ali dokumenti, za katere veljajo pravice industrijske lastnine, kot so patenti, blagovne znamke, registrirani modeli, logotipi in imena, niso vključeni v politiko Sodišča glede ponovne uporabe.

Na spletiščih institucij Evropske unije znotraj domene europa.eu so povezave do spletišč tretjih oseb. Ker Sodišče na ta spletišča ne more vplivati, vas poziva, da preberete njihove dokumente o politiki glede varstva osebnih podatkov in avtorskih pravic.

Uporaba logotipa Sodišča

Logotip Sodišča se ne sme uporabljati brez predhodnega soglasja Sodišča.

STIK Z EU

Osebno
Po vsej Evropski uniji je na stotine centrov Europe Direct. Naslov najbližjega lahko najdete na spletu (european-union.europa.eu/contact-eu/meet-us_sl).

Po telefonu ali pisno
Europe Direct je služba, ki odgovarja na vaša vprašanja o Evropski uniji. Nanjo se lahko obrnete:

• s klicem na brezplačno telefonsko številko: 00 800 6 7 8 9 10 11 (nekateri ponudniki lahko klic zaračunajo),
• s klicem na navadno telefonsko številko: +32 22999696,
• z uporabo obrazca: european-union.europa.eu/contact-eu/write-us_sl.

ISKANJE INFORMACIJ O EU

Na spletu
Informacije o Evropski uniji v vseh uradnih jezikih EU so na voljo na spletišču Europa (european-union.europa.eu).

Publikacije EU
Publikacije EU si lahko ogledate ali naročite na op.europa.eu/sl/publications. Za več izvodov brezplačnih publikacij se obrnite na Europe Direct ali najbližji dokumentacijski center (european-union.europa.eu/contact-eu/meet-us_sl).

Zakonodaja EU in drugi dokumenti
Do pravnih informacij EU, vključno z vso zakonodajo EU od leta 1951 v vseh uradnih jezikovnih različicah, lahko dostopate na spletišču EUR-Lex (eur-lex.europa.eu).

Odprti podatki EU
Na portalu data.europa.eu lahko dostopate do odprtih zbirk podatkov institucij, organov in agencij EU. Zbirke podatkov lahko brezplačno prenesete ter jih ponovno uporabite za komercialne in nekomercialne namene. Na portalu so dostopne tudi številne zbirke podatkov iz evropskih držav.