РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2022/483 НА КОМИСИЯТА

от 21 март 2022 година

за изменение на Решение за изпълнение (ЕС) 2021/1073 за определяне на техническите спецификации и правила за прилагането на рамката за доверие за Цифровия COVID сертификат на ЕС, въведена с Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета от 14 юни 2021 г. относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID-19 (Цифров COVID сертификат на ЕС) с цел улесняване на свободното движение по време на пандемията от COVID-19 (1), и по-специално член 9, параграф 1 от него,

като има предвид, че:

(1)

В Регламент (ЕС) 2021/953 се определя Цифровият COVID сертификат на ЕС, който служи като доказателство, че дадено лице е ваксинирано срещу COVID-19, получило е отрицателен резултат от направено изследване или се е възстановило след преболедуване, с цел притежателите на сертификата да упражняват по-лесно правото си на свободно движение по време на пандемията от COVID-19.

(2)

В Регламент (ЕС) 2021/954 на Европейския парламент и на Съвета (2) е предвидено, че държавите членки прилагат правилата, установени в Регламент (ЕС) 2021/953, по отношение на граждани на трети държави, които не са обхванати от посочения регламент, но са в законен престой или пребивават законно на тяхна територия, и които имат право да пътуват до други държави членки в съответствие с правото на Съюза.

(3)

В Препоръка (ЕС) 2022/290 на Съвета за изменение на Препоръка (ЕС) 2020/912 относно временното ограничение на неналожителните пътувания в ЕС и възможното премахване на това ограничение (3) е предвидено, че гражданите на трети държави, които желаят да предприемат неналожителни пътувания от трети държави до Съюза, следва да притежават валидно доказателство за ваксинация или преболедуване, като например Цифров COVID сертификат на ЕС или сертификат за COVID-19, издаден от трета държава и обхванат от акт за изпълнение, приет съгласно член 8, параграф 2 от Регламент (ЕС) 2021/953.

(4)

За да може Цифровият COVID сертификат на ЕС да функционира в целия Съюз, Комисията прие Решение за изпълнение (ЕС) 2021/1073 (4), с което се установиха технически спецификации и правила за попълване, сигурно издаване и проверка на цифровите COVID сертификати на ЕС, гарантиране на защитата на личните данни, определяне на общата структура на уникалния идентификатор на сертификата и издаване на валиден, сигурен и оперативно съвместим баркод.

(5)

Съгласно член 4 от Регламент (ЕС) 2021/953 Комисията и държавите членки трябваше да създадат и поддържат рамка за доверие за Цифровия COVID сертификат на ЕС. Тази рамка за доверие е способна да подпомага двустранния обмен на списъци на отменените сертификати, съдържащи уникалните идентификатори на отменените сертификати.

(6)

На 1 юли 2021 г. беше пуснат в експлоатация порталът за Цифровия COVID сертификат на ЕС („порталът“), който е централната част от рамката за доверие и който дава възможност за сигурен и надежден обмен между държавите членки на публичните ключове, издадени с цел проверка на цифровите COVID сертификати на ЕС.

(7)

Поради успешното им и широкомащабно въвеждане цифровите COVID сертификати на ЕС станаха мишена за измамници, които търсят начини за издаване на сертификати чрез измама. Следователно такива издадени чрез измама сертификати трябва да бъдат отменени. Освен това определени цифрови COVID сертификати на ЕС може да се отменят от държавите членки на национално равнище по медицински причини и по причини, свързани с общественото здраве, например поради партида поставени ваксини, за която впоследствие е установено, че е дефектна.

(8)

Макар че системата на Цифровия COVID сертификат на ЕС е в състояние веднага да открива подправени сертификати, автентичните сертификати, издадени незаконно на базата на фалшива документация, неупълномощен достъп или с измамни намерения, не могат да бъдат открити в други държави членки, освен когато между държавите членки бъдат обменени генерираните на национално равнище списъци на отменените сертификати. Същото се отнася и за сертификатите, които са отменени по медицински причини или по причини, свързани с общественото здраве. Ако приложенията на държавите членки за проверка не откриват сертификатите, отменени от други държави членки, това поражда заплаха за общественото здраве и подкопава доверието на гражданите в системата на Цифровия COVID сертификат на ЕС.

(9)

Както е отбелязано в съображение 19 от Регламент (ЕС) 2021/953, по медицински причини и по причини, свързани с общественото здраве, и в случай на сертификати, издадени или получени чрез измама, държавите членки следва да могат да изготвят и обменят с други държави членки за целите на настоящия регламент списъци на отменените сертификати в ограничени случаи, по-специално с цел отмяна на сертификати, които са били издадени по погрешка, в резултат на измама или след спиране на партида ваксини срещу COVID-19, за която е установено, че е дефектна. Държавите членки не следва да могат да отменят сертификати, издадени от други държави членки. Обменените списъци на отменените сертификати следва да не съдържат лични данни, освен уникалните идентификатори на сертификата. По-специално те не следва да включват причината, поради която сертификатът е отменен.

(10)

В допълнение към общата информация относно възможността за отмяна на сертификати и възможните причини за това, отговорният издаващ орган следва своевременно да информира притежателите на отменени сертификати за отмяната на техните сертификати и причините за това. Понякога и по-специално в случая на издадените на хартия цифрови COVID сертификати на ЕС обаче проследяването и информирането на притежателя за отмяната може да се окаже невъзможно или да налага непропорционално усилие. Държавите членки не следва да събират допълнителни лични данни, които не са необходими за процеса на издаване, само за да могат да информират притежателите на сертификати в случай на отмяна на техните сертификати.

(11)	Следователно е необходимо рамката за доверие за Цифровия COVID сертификат на ЕС да се насърчи чрез подпомагане на двустранния обмен на списъци на отменените сертификати между държавите членки.

(12)

Настоящото решение не обхваща временното спиране на действието на сертификати за национални случаи на използване извън обхвата на Регламента относно Цифровия COVID сертификат на ЕС, например понеже притежателят на сертификат за ваксинация е дал положителен резултат от изследване за SARS-CoV-2. То не накърнява установените процедури за проверка на бизнес правилата относно валидността на сертификатите.

(13)

Макар че от техническа гледна точка са възможни различни архитектури за обмен на списъци на отменените сертификати, обменът им посредством портала е най-подходящ, тъй като с него се ограничава обменът на данни до вече въведената рамка за доверие и се свежда до минимум броят както на възможните слаби звена, така и на обмена между държавите членки в сравнение с алтернативна децентрализирана система.

(14)

Съответно порталът за Цифровия COVID сертификат на ЕС следва да се подсили, за да поддържа сигурния обмен на отменените цифрови COVID сертификати на ЕС за целите на сигурната им проверка чрез портала. В тази връзка следва да се приложат подходящи мерки за сигурност с цел защита на личните данни, обработвани в портала. За да се гарантира високо ниво на защита, държавите членки следва да псевдонимизират данните от сертификата посредством необратим хеш (hash), който се включва в списъците на отменените сертификати. В действителност уникалният идентификатор следва да се счита за псевдонимизирани данни за операциите по обработване, извършвани в рамките на портала.

(15)	Освен това следва да се определят разпоредби относно ролята на държавите членки и на Комисията по отношение на обмена на списъците на отменените сертификати.

(16)

Обработването на личните данни на притежателите на сертификати, което се извършва под отговорността на държавите членки или на други публични организации или официални органи в държавите членки, следва да се извършва в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (5). Обработката на личните данни, за която носи отговорност Комисията, за целите на управлението и гарантирането на сигурността на портала за Цифровия COVID сертификат на ЕС, следва да се извършва в съответствие с Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (6).

(17)

Държавите членки, представлявани от определените национални или официални органи, заедно определят целта и средствата за обработване на лични данни посредством портала за Цифровия COVID сертификат на ЕС и поради това изпълняват ролята на съвместни администратори. В член 26 от Регламент (ЕС) 2016/679 относно защитата на данните се предвижда задължение за съвместните администратори на операции по обработване на лични данни да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по посочения регламент. Там също се предвижда и възможността тези отговорности да са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. Разпоредбата по член 26 следва да бъде включена в приложение III към настоящото решение.

(18)

В Регламент (ЕС) 2021/953 на Комисията е възложена задача да подкрепя този обмен. Най-подходящият начин за изпълнение на този мандат е да се съпоставят подадените списъци на отменените сертификати от името на държавите членки. Следователно на Комисията следва да се възложи роля на обработващ лични данни, за да подпомага този обмен, като улеснява обмена на списъците чрез портала за Цифровия COVID сертификат на ЕС от името на държавите членки.

(19)

Комисията, като доставчик на технически и организационни решения за портала за Цифровия COVID сертификат на ЕС, обработва личните данни в списъците на отменените сертификати в портала от името на държавите членки като съвместни администратори на данни. Следователно тя изпълнява ролята на обработващ данни за тях. По силата на член 28 от Регламент (ЕС) 2016/679 и член 29 от Регламент (ЕС) 2018/1725 обработването от страна на обработващия лични данни се урежда с договор или с правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора и в който се уточнява начинът на обработване. Следователно е необходимо да се определят правилата за обработка от Комисията в качеството ѝ на обработващ лични данни.

(20)

Поддържащата задача на Комисията не включва създаването на централна база данни, както е посочено в съображение 52 от Регламент (ЕС) 2021/953. Тази забрана има за цел да се избегне централно хранилище на всички издадени цифрови COVID сертификати на ЕС и не изключва обмена между държавите членки на списъци на отменени сертификати, което е изрично предвидено в член 4, параграф 2 от Регламент (ЕС) 2021/953.

(21)	При обработването на лични данни в портала за Цифровия COVID сертификат на ЕС Комисията е обвързана от Решение (ЕС, Евратом) 2017/46 на Комисията (7).

(22)

Съгласно член 3, параграф 10 от Регламент (ЕС) 2021/953 Комисията може да приема актове за изпълнение, с които да установява, че сертификати за COVID-19, издадени в трета държава, с която Съюзът и държавите членки са сключили споразумение за свободно движение на хора, което позволява на договарящите се страни да ограничават по недискриминационен начин това свободно движение на основания, свързани с общественото здраве, и което не съдържа механизъм за включване на правни актове на Съюза, са равностойни на сертификатите, издавани в съответствие с посочения регламент. Въз основа на това на 8 юли 2021 г. Комисията прие Решение за изпълнение (ЕС) 2021/1126 (8) за установяване на еквивалентност на сертификатите за COVID-19, издадени от Швейцария.

(23)

Съгласно член 8, параграф 2 от Регламент (ЕС) 2021/953 Комисията може да приеме акт за изпълнение, с който да установи, че сертификати за COVID-19, издадени от трета държава в съответствие със стандарти и технологични системи, които са оперативно съвместими с рамката за доверие за Цифровия COVID сертификат на ЕС и дават възможност да бъде проверена автентичността, валидността и целостта на сертификата, и които сертификати съдържат данните, посочени в приложението към регламента, трябва да се считат за равностойни на цифровите COVID сертификати на ЕС с цел да се улесни упражняването от притежателите на такива сертификати на правото им на свободно движение в Съюза. Както е отбелязано в съображение 28 от Регламент (ЕС) 2021/953, член 8, параграф 2 от посочения регламент се отнася до приемането на сертификатите, издадени от трети държави на граждани на Съюза и членовете на техните семейства. Комисията вече прие няколко такива актове за изпълнение.

(24)

За да се избегнат пропуските при откриването на отменени сертификати, обхванати от такива актове за изпълнение, следва да е възможно трети държави, чиито сертификати за COVID-19 са счетени за равностойни съгласно член 3, параграф 10 и член 8, параграф 2 от Регламент (ЕС) 2021/953, да подават съответните списъци на отменени сертификати в портала за Цифровия COVID сертификат на ЕС.

(25)

Някои граждани на трети държави, които притежават отменени сертификати за COVID-19, издадени от трета държава, чиито сертификати за COVID-19 са счетени за равностойни съгласно Регламент (ЕС) 2021/953, могат да попаднат извън обхвата на посочения регламент или на Регламент (ЕС) 2021/954 в момента, в който съответната трета държава генерира списък на отменени сертификати, включващ техните сертификати. Дали обаче всички граждани на трети държави, които притежават отменени сертификати, попадат в обхвата на който и да е от двата регламента, не може да бъде известно към момента, в който съответната трета държава генерира списък на отменени сертификати. Следователно не е възможно да се цели изключването на лица, които не попадат в обхвата на нито един от двата регламента, когато се генерират списъците на отменени сертификати на тези държави и опитът за това би довел до невъзможност за държавите членки да откриват отменените сертификати, притежавани от граждани на трети държави, които пътуват до Съюза за първи път. Въпреки това дори отменените сертификати на тези граждани на трети държави ще бъдат проверявани от държавите членки, когато техните притежатели пътуват до Съюза и впоследствие, когато пътуват в рамките на Съюза. Третите държави, чиито сертификати са счетени за равностойни съгласно Регламент (ЕС) 2021/953, не участват в управлението на портала и следователно не се определят като съвместни администратори.

(26)

Освен това системата на Цифровия COVID сертификат на ЕС се доказа като единствената система за сертификати за COVID-19, която се използва в широк мащаб на международно равнище. В резултат на това Цифровият COVID сертификат на ЕС придобива все по-голямо значение в световен мащаб и допринася за справяне с пандемията на международно равнище чрез улесняване на безопасното международно пътуване и възстановяването в глобален мащаб. В процеса на приемане на допълнителни актове за изпълнение съгласно член 8, параграф 2 от Регламент (ЕС) 2021/953 възникнаха нови нужди във връзка с попълването на Цифровия COVID сертификат на ЕС. Съгласно правилата, определени в Решение за изпълнение (ЕС) 2021/1073, фамилното име е задължително поле в техническото съдържание на сертификата. Необходимо е това изискване да се измени, за да се насърчи приобщаването и оперативната съвместимост с други системи, като се има предвид, че в някои трети държави има лица без фамилни имена. В случаите, в които името на притежателя на сертификата не може да се раздели на две части, името следва да се постави в същото поле (фамилно или собствено име) на Цифровия COVID сертификат на ЕС, както е в документа за пътуване или в документа за самоличност на притежателя. Тази промяна също така би спомогнала да се приведе по-добре техническото съдържание на сертификатите в съответствие с валидните понастоящем спецификации относно машинночетимите документи за пътуване, публикувани от Международната организация за гражданско въздухоплаване.

(27)	Поради това Решение за изпълнение (ЕС) 2021/1073 следва да бъде съответно изменено.

(28)	Беше проведена консултация с Европейския надзорен орган по защита на данните в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725, който даде становище на 11 март 2022 г.

(29)	С цел да се осигури на държавите членки и на Комисията достатъчно време, за да въведат промените, необходими за обмена на списъците на отменените сертификати чрез портала за Цифровия COVID сертификат на ЕС, настоящото решение следва да започне да се прилага четири седмици след влизането му в сила.

(30)	Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 14 от Регламент (ЕС) 2021/953,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

Решение за изпълнение (ЕС) 2021/1073 се изменя, както следва:

вмъкват се следните членове 5а, 5б и 5в:

„Член 5а

Обмен на списъци на отменени сертификати

1. Рамката за доверие за Цифровия COVID сертификат на ЕС позволява обмена на списъци на отменени сертификати чрез централния портал за Цифровия COVID сертификат на ЕС („порталът“) в съответствие с техническите спецификации в приложение I.

2. Когато държавите членки отменят цифрови COVID сертификати на ЕС, те може да подадат списъци на отменените сертификати в портала.

3. Ако държавите членки подадат списъци на отменените сертификати, издаващите органи водят списък на отменените сертификати.

4. Когато през портала се обменят лични данни, обработването се ограничава до целта за подпомагане на обмена на информация относно отменените сертификати. Такива лични данни се използват само с цел проверка на статута на отмяна на цифровите COVID сертификати на ЕС, издадени в обхвата на Регламент (ЕС) 2021/953.

5. Подадената в портала информация включва следните данни в съответствие с техническите спецификации в приложение I:

а)	псевдономизирания уникален идентификатор на отменените сертификати,

б)	срока на валидност на подадения списък на отменените сертификати;

6. Когато издаващ орган отменя цифрови COVID сертификати на ЕС, които е издал съгласно Регламент (ЕС) 2021/953 или Регламент (ЕС) 2021/954, и има намерение да обмени съответната информация чрез портала, той предава информацията по параграф 5 под формата на списъци на отменените сертификати към портала в сигурен формат в съответствие с техническите спецификации в приложение I.

7. Доколкото е възможно, в момента на отмяна издаващите органи предоставят решение за информиране на притежателите на отменени сертификати относно статута на отмяна на техните сертификати и причината за отмяната.

8. Порталът събира получените списъци на отменените сертификати. Той предоставя инструменти за разпространение на списъците сред държавите членки. Порталът автоматично изтрива списъците в съответствие със сроковете на валидност, посочени за всеки подаден списък от подаващия орган.

9. Определените национални или официални органи на държавите членки, които обработват лични данни в портала, са съвместни администратори на обработваните данни. Съответните отговорности на съвместните администратори се разпределят съгласно предвиденото в приложение VI.

10. Комисията изпълнява функциите на обработващ личните данни, обработвани в рамките на портала. В своето качество на обработващ данните от името на държавите членки Комисията гарантира сигурността на предаването и съхранението на лични данни в рамките на портала и спазва задълженията на обработващия данни, изложени в приложение VII.

11. Ефективността на техническите и организационните мерки с оглед на сигурността на обработването на личните данни в портала редовно се проверява и оценява от Комисията и от съвместните администратори.

Член 5б

Подаване на списъци на отменени сертификати от трети държави

Трети държави, издаващи сертификати за COVID-19, по отношение на които Комисията е приела акт за изпълнение съгласно член 3, параграф 10 или член 8, параграф 2 от Регламент (ЕС) 2021/953, може да подават списъци на отменени сертификати за COVID-19, обхванати от такъв акт за изпълнение, които ще се обработват от Комисията от името на съвместните администратори в портала, посочен в член 5а, в съответствие с техническите спецификации, определени в приложение I.

Член 5в

Управление на обработката на личните данни в портала за Цифровия COVID сертификат на ЕС

1. Процесът на вземане на решения на съвместните администратори на данни се управлява от работна група, създадена от Комитета, посочен в член 14 от Регламент (ЕС) 2021/953.

2. Определените национални или официални органи на държавите членки, които обработват лични данни в портала като съвместни администратори, определят представители в тази група.“

2)	приложение I се изменя в съответствие с приложение I към настоящото решение;

3)	приложение V се изменя в съответствие с приложение II към настоящото решение;

4)	текстът в приложение III към настоящото решение се добавя като приложение VI;

5)	Текстът в приложение IV към настоящото решение се добавя като приложение VII.

Член 2

Настоящото решение влиза в сила на третия ден след деня на публикуването му в Официален вестник на Европейския съюз.

То се прилага четири седмици след влизането му в сила.

Съставено в Брюксел на 21 март 2022 година.

За Комисията

Председател

Ursula VON DER LEYEN

(1) ОВ L 211, 15.6.2021 г., стр. 1.

(2) Регламент (ЕС) 2021/954 на Европейския парламент и на Съвета от 14 юни 2021 г. относно рамка за издаването, проверката и приемането на оперативно съвместими сертификати за ваксинация срещу, направено изследване за и преболедуване на COVID-19 (Цифров COVID сертификат на ЕС) за граждани на трети държави, които са в законен престой или пребивават законно на територията на държавите членки, по време на пандемията от COVID-19 (ОВ L 211, 15.6.2021 г., стр. 24).

(3) Препоръка (ЕС) 2022/290 на Съвета от 22 февруари 2022 г. за изменение на Препоръка (ЕС) 2020/912 на Съвета относно временното ограничение на неналожителните пътувания в ЕС и възможното премахване на това ограничение (ОВ L 43, 24.2.2022 г., стр. 79).

(4) Решение за изпълнение (ЕС) 2021/1073 на Комисията от 28 юни 2021 г. за определяне на техническите спецификации и правила за прилагането на рамката за доверие за Цифровия COVID сертификат на ЕС, въведена с Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета (ОВ L 230, 30.6.2021 г., стр. 32).

(5) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(6) Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).

(7) Комисията публикува допълнителна информация за стандартите за сигурност, които се прилагат за всички информационни системи на Европейската комисия, на следната страница в интернет: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

(8) Решение за изпълнение (ЕС) 2021/1126 на Комисията от 8 юли 2021 г. за установяване на еквивалентност на сертификатите за COVID-19, издадени от Швейцария, със сертификатите, издадени в съответствие с Регламент (ЕС) 2021/953 на Европейския парламент и на Съвета (ОВ L 243, 9.7.2021 г., стр. 49).

ПРИЛОЖЕНИЕ I

В приложение I към Решение за изпълнение (ЕС) 2021/1073 се добавя следният раздел 9:

„9. РЕШЕНИЕ ЗА ОТМЯНА

9.1. Разпоредба относно списъка на отменените DCC (DRL)

Порталът осигурява крайни точки и функция за съхранение и управляване на списъците на отменени сертификати:

9.2. Модел на доверие

Всички връзки се установяват по стандартния модел на доверие на DCCG чрез сертификатите NB TLS и NB UP (вж. „управление на сертификати“). Цялата информация се комплектова и качва посредством CMS съобщения, за да се гарантира целостта ѝ.

9.3. Структура на партидата

9.3.1. Партида

Всеки списък на отменените сертификати съдържа едно или множество вписвания и е комплектован в партиди, които съдържат набор от хешове (hashes) и техните метаданни. Партидата е непроменима и определя срок на валидност, който показва кога може да бъде изтрита. Срокът на валидност на всички елементи от партидата трябва да бъде еднакъв — което означава, че партидите трябва да се групират по срок на валидност и по подписал DSC. Всяка партида съдържа максимум 1 000 вписвания. Ако списъкът на отменените сертификати съдържа повече от 1 000 вписвания, се създават множество партиди. Всяко вписване може да присъства най-много в една партида. Партидата се комплектова в CMS структура и се подписва от NB up сертификата на качващата държава.

9.3.2. Индекс на партида

Когато се създава партида, порталът определя за нея уникален ID и тя се добавя автоматично към индекса. Индексът на партидите се подрежда по дата на изменение във възходящ хронологичен ред.

9.3.3. Поведение на портала

Порталът обработва партидите с отменени сертификати, без да внася промени: той не може нито да актуализира, нито да премахва, нито да добавя информация към партидите. Партидите се препращат към всички упълномощени държави (вж. глава 9.6).

Порталът активно следи сроковете на валидност на партидите и премахва тези с изтекъл срок. След като партидата бъде изтрита, порталът връща „HTTP 410 Gone“ в отговор на URL на изтритата партида. Поради това партидата се появява в индекса на партидите като „deleted“ („изтрита“).

9.4. Видове хеш (hash)

Списъкът на отменените сертификати съдържа хешове (hashes), които могат да представляват различни видове/характеристики на отменен сертификат. Тези видове или характеристики се посочват при доставянето на списъците на отменени сертификати. Настоящите видове са:

Вид	Характеристика	Изчисление на хеша (hash)
SIGNATURE	DCC Signature	SHA256 of DCC Signature
UCI	UCI (Unique Certificate Identifier)	SHA256 of UCI
COUNTRYCODEUCI	Issuing Country Code + UCI	SHA256 of Issuing CountryCode + UCI

В партидите се включват само първите 128 бита от хешовете (hashes), кодирани като base64 низове (strings) и те се използват за идентифициране на отменения DCC (1).

9.4.1. Вид хеш (hash): SHA256(DCC подпис)

В този случай хешът (hash) се изчислява според bytes на COSE_SIGN1 подписа от CWT. За RSA подписи като входни данни ще се използва целият подпис. Във формулата за подписаните с EC-DSA сертификати като входящ параметър се използва стойността r:

SHA256(r)

[изисква се за всички нови реализации]

9.4.2. Вид хеш (hash): SHA256(UCI)

В този случай хешът (hash) се изчислява според UCI низа, кодиран в UTF-8 и конвертиран в байтов масив (byte array).

[остаряло (2), но се поддържа за обратна съвместимост]

9.4.3. Вид хеш (hash): SHA256(CountryCode на издаваща държава+UCI)

В този случай CountryCode, кодиран като UTF-8 низ, свързан с UCI, кодиран с UTF-8 низ. След това се конвертира в байтов масив (byte array) и се използва като входни данни за хеширащата функция.

[остаряло2, но се поддържа за обратна съвместимост]

9.5. Структура на API

9.5.1. API, обезпечаващ вписване за отмяна

9.5.1.1. Цел

API предоставя вписванията в списъка на отменените сертификати под формата на партиди с индекс на партидата.

9.5.1.2. Крайни точки

9.5.1.2.1. Крайна точка на изтегляне на списъка с партиди

Крайните точки са проектирани по прост начин, като връщат списък с партиди с малка обвивка, която съдържа метаданни. Партидите се подреждат по дата във възходящ (хронологичен) ред:

/revocation-list

Verb: GET

Content-Type: application/json

Response: JSON Array

{

‘more’:true|false,

‘batches’:

[{

‘batchId’: ‘{uuid}’,

‘country’: ‘XY’,

‘date’: „2021-11-01T00:00:00Z“

‘deleted’: true | false

}, ..

]

}

Забележка: Резултатът по подразбиране е ограничен до 1 000. Ако флагът ‘more’ показва true, отговорът сочи, че са налични за изтегляне повече партиди. За да изтегли повече елементи, клиентът трябва да настрои заглавната част (header) If-Modified-Since на дата, която е не по-ранна от последно полученото вписване.

Отговорът съдържа JSON масив със следната структура:

Поле	Определение
more	Булев флаг, който показва, че има повече партиди.
batches	Масив със съществуващите партиди.
batchId	https://en.wikipedia.org/wiki/Universally_unique_identifier
country	Държавен код по ISO 3166
date	ISO 8601 дата по UTC. Дата, на която е добавена или изтрита партидата.
deleted	boolean. True, ако е изтрита. Когато е поставен флаг „изтрита“, вписването вече може да се премахне от резултатите на запитванията след 7 дни.

9.5.1.2.1.1. Кодове на отговор

Код	Описание
200	Всичко е наред.
204	Няма съдържание, ако липсва съвпадение на заглавна част (Header) „If-Modified-Since“.

Заглавна част на запитване

Заглавна част	Задължително	Описание
If-Modified-Since	Да	Тази заглавна част (header) съдържа последната изтеглена дата, така че да бъдат получени само най-новите резултати. При първоначалното запитване заглавната част трябва да показва ‘2021-06-01T00:00:00Z’

9.5.1.2.2. Крайна точка на изтегляне на партиди

Партидите съдържат списък с идентификатори на сертификати:

/revocation-list/{batchId}

Verb: GET

Accepts: application/cms

Response:CMS with Content

{

‘country’: ‘XY’,

‘expires’: ‘2022-11-01T00:00:00Z’,

‘kid’:‘23S+33f=’,

‘hashType’:’SIGNATURE’,

‘entries’:[{

‘hash’:’e2e2e2e2e2e2e2e2’

}, ..]

}

Отговорът съдържа CMS, включително подпис, който трябва да отговаря на NB UP сертификата на държавата. Всички елементи в JSON масива са със следната структура:

Поле	Задължително	Вид	Определение
expires	Да	String	Дата, на която елементът може да бъде премахнат. ISO8601 Date/Time UTC
country	Да	String	Държавен код по ISO 3166
hashType	Да	String	Вид хеш (hash) на предоставените вписвания (вж. Видове хеш (hash))
entries	Да	JSON Object Array	Вж. таблица вписвания
kid	Да	String	Кодиран с base64 KID на DSC, използван за подписване на DCC. Ако KID не е известен, може да се използва низът `UNKNOWN_KID` (без `).
Забележки:

—	Партидите се групират по срок на валидност и DSC — срокът на валидност на всички елементи изтича едновременно и те са подписани с един и същ ключ.

—	Срокът на валидност е дата/час по UTC, тъй като EU-DCC е глобална система и трябва да определим часа еднозначно.

—	Срокът на валидност на трайно отменен DCC се определя като датата на валидност на съответния DSC, използван за подписване на DCC, или часа на валидност на отменения DCC (като в този случай използваната дата във формат NumericDate/Unix time се третира като принадлежаща към времева зона UTC).

—	Националният сървър (National Backend) (NB) премахва вписванията от своя списък на отменените сертификати, когато бъде достигната датата на валидност.

—	NB: може да премахва вписвания от своя списък на отменени сертификати, в случай че бъде отменен kid, използван за подписване на DCC.

9.5.1.2.2.1. Вписвания

Поле	Задължително	Вид	Определение
hash	Да	String	Първите 128 bits от хеш SHA256, кодирани като низ base64

Забележка: Понастоящем обектът на вписванията съдържат само хеш (hash), но за съвместимост в промените в бъдеще беше избран обект, вместо json масив.

9.5.1.2.2.2. Кодове на отговор

Код	Описание
200	Всичко е наред.
410	Партидата е премахната. Партидата може да бъде изтрита от националния сървър.

9.5.1.2.2.3. Заглавни части на отговор

Заглавна част	Описание
ETag	Идентификатор на партида.

9.5.1.2.3. Крайна точка на качване на партиди

Качването се извършва през същата крайна точка чрез заявка POST:

/revocation-list

Verb: POST

Accepts: application/cms

Request: CMS with Content

ContentType: application/cms

Content:

{

‘country’: ‘XY’,

‘expires’: ’2022-11-01T00:00:00Z’,

‘kid’:’23S+33f=’,

‘hashType’:’SIGNATURE’,

‘entries’:[{

‘hash’:’e2e2e2e2e2e2e2e2’

}, ..]

}

Партидата се подписва чрез NB UP сертификата. Порталът проверява дали подписът е поставен от NB UP за дадената държава. Ако проверката на подписа бъде неуспешна, качването също е неуспешно.

ЗАБЕЛЕЖКА: Всяка партида е непроменима и не може да бъде променена след качване. Тя може обаче да бъде изтрита. ID на всяка изтрита партида се съхранява, а качването на нова партида със същия ID се отхвърля.

9.5.1.2.4. Крайна точка на изтриване на партиди

Партида може да бъде изтрита през същата крайна точка чрез заявка DELETE:

/revocation-list

Verb: DELETE

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

{

‘batchId’: ‘...’

}

или, от съображения за съвместимост, в следващата крайна точка чрез заявка POST:

/revocation-list/delete

Verb: POST

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

{

‘batchId’: ‘...’

}

9.6. Защита на API/ОРЗД

В този раздел са посочени мерките, чрез които прилагането се привежда в съответствие с разпоредбите на Регламент (ЕС) 2021/953 по отношение на обработката на лични данни.

9.6.1. Съществуваща автентификация

В момента порталът използва сертификат NB TLS, за да извършва автентификация на държавите, които се свързват с портала. Тази автентификация може да се използва за установяване на идентичността на държавата, свързана с портала. След това тази идентичност може да се използва за прилагане на контрол на достъпа.

9.6.2. Контрол на достъпа

За да може да обработва законно личните данни, порталът прилага механизъм за контрол на достъпа.

Порталът прилага Списък за контрол на достъпа, съчетан със сигурност в съответствие с ролята. В тази схема се поддържат две таблици — в едната е описано кои роли какви операции могат да прилагат и към какви ресурси, а в другата — какви роли на кои потребители са определени.

За прилагане на проверките, изисквани съгласно настоящия документ, се изискват три роли, а именно:

RevocationListReader

RevocationUploader

RevocationDeleter

Следните крайни точки (endpoints) проверяват дали потребителят има ролята RevocationListReader; ако това е така, се предоставя достъп, а в противен случай се връща HTTP 403 Forbidden:

GET /revocation-list/

GET /revocation-list/{batchId}

Следните крайни точки (endpoints) проверяват дали потребителят има ролята RevocationUploader; ако това е така, се предоставя достъп, а в противен случай се връща HTTP 403 Forbidden:

POST /revocation-list

Следните крайни точки (endpoints) проверяват дали потребителят има ролята RevocationDeleter; ако това е така, се предоставя достъп, а в противен случай се връща HTTP 403 Forbidden:

DELETE /revocation-list

POST /revocation-list/delete

Порталът предоставя също надежден метод, чрез който администраторите могат да управляват ролите, свързани с потребителите по такъв начин, че да се намали шансът за човешки грешки, като същевременно не се утежнява работата на функционалните администратори.“

(1) Моля, вж. също 9.5.1.2 за подробни описания на приложно-програмния интерфейс (API)

(2) Остаряло означава, че тази функция не се взема предвид за нови реализации, но се поддържа за съществуващи реализации за ясно определен срок.

ПРИЛОЖЕНИЕ II

Раздел 3 от приложение V към Решение за изпълнение (ЕС) 2021/1073 се заменя със следното:

„3. Общи структури и общи изисквания

Не се издава Цифров COVID сертификат на ЕС, ако поради липсваща информация не всички полета с данни могат да бъдат правилно попълнени в съответствие с настоящата спецификация. Това не следва да се разбира като засягащо задължението на държавите членки да издават цифрови COVID сертификати на ЕС.

Информацията във всички полета може да се предоставя посредством пълния набор от символи UNICODE 13.0, кодирани с използване на UTF-8, освен при изрично ограничение до определени набори от стойности или до по-малки набори от знаци.

Общата структура е, както следва:

„JSON“:{

„ver“:<информация за версията>,

„nam“:{

<информация за името на лицето>

„dob“:<дата на раждане>,

„v“ или „t“ или „r“:[

{<информация за доза ваксина, изследване или преболедуване, едно вписване>}

]

}

Подробна информация за отделни групи и полета се предоставя в следващите раздели.

Когато съгласно правилата дадено поле трябва да се пропусне, това означава, че то ще бъде празно и че не се разрешава попълването на името или стойността на полето.

3.1. Версия

Предоставя се информация за версията. Контролът на версиите се извършва по модела на семантичното управление на версиите (Semantic Versioning) (semver: https://semver.org). В експлоатация трябва да бъде една от официално пуснатите версии (настоящата или някоя от по-старите официално публикувани версии). За повече подробности вж. раздел Местоположение на схемата JSON.

Идентификатор на полето

Наименование на поле

Указания

ver

Версия на схемата

Трябва да съответства на идентификатора на версията на схемата, използвана за изготвянето на EUDCC.

Пример:

„ver“:„1.3.0“

3.2. Име и дата на раждане на лицето

Името на лицето е официалното пълно име на лицето, което съответства на името, посочено в документите за пътуване. Идентификаторът на структурата е nam. Попълва се само 1 (едно) име на лице.

Идентификатор на полето	Наименование на поле	Указания
nam/fn	Фамилно(и) име(на)	Фамилно(и) име(на) на притежателя. Ако притежателят няма фамилни имена, а има собствено име, полето се пропуска. Във всички други случаи се попълва само 1 (едно) поле, което не може да се оставя празно, като всички фамилни имена са включени в него. В случай на няколко фамилни имена те се отделят с интервал. Комбинираните имена, включващи тирета или подобни знаци, трябва обаче да останат същите. Примери: „fn“:„Musterfrau-Gößinger“ „fn“:„Musterfrau-Gößinger Müller“
nam/fnt	Стандартизирано(и) фамилно(и) име(на)	Фамилно(и) име(на) на притежателя, транслитерирано(и) по правилата, използвани в машинночетимите документи за пътуване на притежателя (например правилата, определени в документ 9303 на ИКАО, част 3). Ако притежателят няма фамилни имена, а има собствено име, полето се пропуска. Във всички други случаи се попълва само 1 (едно) поле, което не може да се оставя празно, единствено със знаците A-Z и <. Максимална дължина: 80 знака (съгласно спецификацията на ИКАО 9303). Примери: „fnt“:„MUSTERFRAU<GOESSINGER“ „fnt“:„MUSTERFRAU<GOESSINGER<MUELLER“
nam/gn	Собствено(и) име(на)	Собствено(и) име(на), тоест собствено(и) име(на) на притежателя. Ако притежателят няма собствени имена, а има фамилно име, полето се пропуска. Във всички други случаи се попълва само 1 (едно) поле, което не може да се оставя празно, като всички собствени имена са включени в него. В случай на няколко собствени имена те се отделят с интервал. Пример: „gn“:„Isolde Erika“
nam/gnt	Стандартизирано(и) лично(и) име(на)	Лично(и) име(на) на притежателя, транслитерирано(и) по правилата, използвани в машинночетимите документи за пътуване на притежателя (например правилата, определени в документ 9303 на ИКАО, част 3). Ако притежателят няма собствени имена, а има фамилно име полето се пропуска. Във всички други случаи се попълва само 1 (едно) поле, което не може да се оставя празно, единствено със знаците A-Z и <. Максимална дължина: 80 знака. Пример: „gnt“:„ISOLDE<ERIKA“
dob	Дата на раждане	Дата на раждане на притежателя на DCC. Пълна или частична дата без час, ограничена до интервала от 1900-01-01 до 2099-12-31. Ако е известна пълната или частичната дата на раждане, се попълва само 1 (едно) поле, което не може да се оставя празно. Ако датата на раждане не е известна дори отчасти, в полето се поставя празен низ "". Това следва да съответства на информацията, предоставена в документите за пътуване. Ако е налична информация за датата на раждане, се използва един от следните формати по ISO 8601. Други варианти не се поддържат. YYYY-MM-DD YYYY-MM YYYY (Приложението за проверка може да покаже липсващи части от датата на раждане посредством общоприетите знаци „ХХ“ като използваните в машинночетимите документи за пътуване, напр. 1990-XX-XX.) Примери: „dob“:“1979-04-14“ „dob“:“1901-08“ „dob“:“1939“ „dob“:““

3.3. Групи за специфична информация за вида сертификат

Схемата JSON поддържа три групи вписвания, включващи информация за вида сертификат. Всеки EUDCC съдържа точно 1 (една) група. Не се допуска полето за група да остава непопълнено.

Идентификационен код на групата	Наименование на групата	Вписвания
v	Група полета „ваксинация“	Ако има такава, трябва да съдържа само 1 (един) запис, описващ само 1 доза ваксина (една доза).
t	Група полета „тест“	Ако има такава, трябва да съдържа само 1 (един) запис, описващ само 1 (един) резултат от тест.
r	Група полета „преболедуване“	Ако има такава, трябва да съдържа само 1 (един) запис, описващ само 1 (една) декларация за преболедуване.“

ПРИЛОЖЕНИЕ III

„ПРИЛОЖЕНИЕ VI

ОТГОВОРНОСТИ НА ДЪРЖАВИТЕ ЧЛЕНКИ КАТО СЪВМЕСТНИ АДМИНИСТРАТОРИ НА ПОРТАЛА ЗА ЦИФРОВИЯ COVID СЕРТИФИКАТ НА ЕС ЗА ОБМЕН НА СПИСЪЦИТЕ НА ОТМЕНЕНИТЕ DCC НА ЕС

РАЗДЕЛ 1

Подраздел 1

Разпределение на отговорностите

Съвместните администратори обработват лични данни посредством портала на рамката за доверие в съответствие с техническите спецификации в приложение I.

Издаващите органи на държавите членки остават единственият администратор за събирането, използването, оповестяването и всяко друго обработване на информацията относно отменените сертификати извън портала, включително за процедурата, която води до отмяна на сертификат.

Всеки администратор има отговорността за обработка на личните данни в портала на рамката за доверие в съответствие с членове 5, 24 и 26 от Общия регламент относно защитата на данните.

Всеки администратор създава звено за контакт с функционална пощенска кутия, която ще служи за връзка както между самите съвместни администратори, така и между съвместните администратори и обработващия данните.

На работната група, създадена от посочения в член 14 от Регламент (ЕС) 2021/953 Комитет се възлага задачата да решава всякакви въпроси, произтичащи от списъците на отменените сертификати и от съвместното администриране на свързаното обработване на лични данни, както и да улеснява координацията на указанията, предавани на Комисията в качеството ѝ на обработващ данните. Процесът на вземане на решение на съвместните администратори се ръководи от тази работна група и от процедурния правилник, приет от нея. Като основно правило неучастието на някой от съвместните администратори в заседание на тази работна група, което е било обявено най-малко седем (7) дни преди да бъде свикано в писмен вид, води до мълчаливо съгласие с резултатите от заседанието на тази работна група. Всеки от съвместните администратори може да свика заседание на тази работна група.

Указанията за обработващия данните се изпращат от някоя от точките за контакт на съвместните администратори при съгласуване с останалите съвместни администратори в съответствие с процеса за вземане на решения на работната група, посочен в (5) по-горе. Съвместният администратор, който дава указанието, следва да го предостави на обработващия лични данни в писмен вид и да уведоми всички останали съвместни администратори за това. Ако разглежданият въпрос е достатъчно неотложен, така че да не позволява провеждането на заседание на работната група, както е посочено в (5) по-горе, все пак може да бъде предоставено указание, но то може да бъде отменено от работната група. Това указание следва да бъде дадено в писмен вид и всички останали съвместни администратори следва да бъдат информирани за това към момента на даване на указанието.

Работната група, създадена съгласно (5) по-горе, не накърнява по никакъв начин индивидуалните компетентности на съвместните администратори да информират своя компетентен надзорен орган в съответствие с член 33 и 24 от Общия регламент относно защитата на данните. За такова уведомление не се изисква съгласието на никой от другите съвместни администратори.

В обхвата на портала на рамката за доверие достъп до обменените лични данни имат единствено определените национални или официални органи.

Всеки издаващ орган поддържа регистър на дейностите по обработване, за които отговаря. В този регистър може да бъде посочено съвместното администриране.

Подраздел 2

Отговорности и роли във връзка с информирането на субектите на данни и разглеждането на подадени от тях искания

Всеки администратор в ролята си на издаващ орган предоставя на физическите лица, чийто(ито) сертификат(и) е отменил („субектите на данни“), информация относно въпросната отмяна и обработването на личните им данни в портала за Цифровия COVID сертификат на ЕС за целите на подпомагането на обмена на списъци на отменени сертификати в съответствие с член 14 от Общия регламент относно защитата на данните, освен когато това се окаже невъзможно или би налагало непропорционално усилие.

Всеки администратор изпълнява ролята на звено за контакт за физическите лица, чийто сертификат е отменил, и разглежда искания, подадени от субекти на данни или техни представители при упражняването на правата им в съответствие с Общия регламент относно защитата на данните. Ако съвместен администратор получи искане от субект на данни, свързано със сертификат, издаден от друг съвместен администратор, той уведомява субекта на данни за самоличността и данните за контакт на този отговорен съвместен администратор. При поискване от друг съвместен администратор съвместните aдминистратори взаимно се подпомагат при разглеждането на искания на субекти на данни и отговарят един на друг без ненужно забавяне, но при всички случаи не по-късно от 1 месец от получаването на искане за помощ. Ако дадено искане е свързано с данните, подадени от трета държава, администраторът, който получава искането, го разглежда и уведомява субекта на данни за самоличността и данните за контакт на издаващия орган в третата държава.

Всеки администратор довежда до знанието на субектите на данни съдържанието на настоящото приложение, включително разпоредбите по точки 1 и 2.

РАЗДЕЛ 2

Управление на инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни

Съвместните администратори взаимно се подпомагат при идентифицирането и реагирането при всякакви инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни, свързани с обработването на данни в рамките на портала за Цифровия COVID сертификат на ЕС.

По-специално, съвместните администратори взаимно се уведомяват за:

а)	всички потенциални или действителни рискове за наличността, поверителността и/или целостта на личните данни, които се обработват в рамките на портала на рамката за доверие;

б)

всяко нарушение на сигурността на личните данни, вероятните последици от нарушението на сигурността на личните данни и оценката на риска за правата и свободите на физическите лица, както и за всички мерки, предприети за отстраняване на нарушението на сигурността на личните данни и намаляване на риска за правата и свободите на физическите лица;

в)	всяко нарушение на техническите и/или организационните гаранции на операцията по обработване в рамките на портала на рамката за доверие.

В съответствие с членове 33 и 34 от Общия регламент относно защитата на данните или след уведомление от Комисията съвместните администратори съобщават на Комисията, на компетентните надзорни органи, а при наличие на такова изискване — и на субектите на данни, за всяко нарушение на сигурността на лични данни, свързано с операцията по обработване в рамките на портала на рамката за доверие.

Всеки издаващ орган прилага подходящи технически и организационни мерки, предназначени за:

а)	гарантиране и защита на наличността, целостта и поверителността на съвместно обработваните лични данни;

б)	защита срещу неразрешено или незаконно обработване, загуба, използване, разкриване или придобиване на лични данни, с които разполага, или за достъп до такива данни;

в)	гарантиране, че достъпът до личните данни не се разкрива, нито се разрешава на лице, което не е получател или обработващ на тези данни.

РАЗДЕЛ 3

Оценка на въздействието по отношение на защитата на данните

Ако с оглед на изпълнението на задълженията си, определени в членове 35 и 36 от Регламент (ЕС) 2016/679, даден администратор се нуждае от информация от друг администратор, той изпраща специално искане до функционалната пощенска кутия, посочена в раздел 1, подраздел 1, точка 4. Последният полага всички усилия да предостави информацията.

“

ПРИЛОЖЕНИЕ IV

„ПРИЛОЖЕНИЕ VII

ОТГОВОРНОСТИ НА КОМИСИЯТА КАТО СЪВМЕСТЕН АДМИНИСТРАТОР НА ПОРТАЛА ЗА ЦИФРОВИЯ COVID СЕРТИФИКАТ НА ЕС ЗА ПОДПОМАГАНЕ ОБМЕНА НА СПИСЪЦИТЕ НА ОТМЕНЕНИТЕ DCC НА ЕС

Комисията:

1)	Създава и гарантира сигурна и надеждна инфраструктура на комуникация от името на държавите членки, която поддържа обмена на списъци на отменени сертификати, подадени в портала за Цифровия COVID сертификат.

За да изпълни задълженията си на администратор на данни на портала на рамката за доверие за държавите членки, Комисията може да ангажира трети страни като подизпълнители; Комисията информира съвместните администратори за всички планирани промени във връзка с добавянето или замяната на други подизпълнители, като по този начин дава възможност на администраторите да възразят съвместно срещу такива промени. Комисията следи за това за тези подизпълнители да важат същите задължения за защита на личните данни като посочените в настоящото решение.

Обработва личните данни единствено въз основа на документирани инструкции от администраторите, доколкото не се изисква друго съгласно правото на Съюза или на дадена държава членка; в този случай Комисията информира съвместните администратори за това правно изискване преди извършване на дейността по обработване, освен когато приложимото законодателство забранява предоставянето на такава информация по важни съображения, свързани с обществения интерес.

Обработката от Комисията включва:

а)	установяване на автентичността на националните сървъри въз основа на сертификатите на националните сървъри;

б)	приемане на данните по член 5а, параграф 3 от решението, качвани от националните сървъри, чрез осигуряване на приложно-програмен интерфейс, позволяващ на националните сървъри да качват съответните данни;

в)	съхранение на данните в портала за Цифровия COVID сертификат на ЕС;

г)	предоставяне на данните за изтегляне от националните сървъри;

д)	изтриване на данните при изтичане на срока им на валидност или по искане на администратора, който ги е подал;

е)	след края на предоставянето на услугата — изтриване на всички останали данни, освен когато правото на Съюза или на съответната държава членка изисква съхраняването на личните данни.

Предприема всички най-съвременни мерки за осигуряване на организационната, физическата и логическата сигурност с оглед на поддържането на портала за Цифровия COVID сертификат на ЕС. За тази цел Комисията:

а)	определя отговорен субект за управлението на сигурността на равнището на портала за Цифровия COVID сертификат на ЕС, предава на съвместните администратори информацията за връзка с него и осигурява готовността му да реагира на заплахи за сигурността;

б)	поема отговорността за сигурността на портала за Цифровия COVID сертификат на ЕС, включително редовно провежда тестове на мерките за сигурност и ги оценява;

в)	гарантира, че всички физически лица, на които е предоставен достъп до портала за Цифровия COVID сертификат на ЕС са обвързани с договорно, професионално или законоустановено задължение за поверителност.

Предприема всички необходими мерки за сигурност, така че да не може да се осуети безпрепятственото функциониране на националните сървъри. За тази цел Комисията въвежда специални процедури отнасящи се до свързването на сървърите с портала за Цифровия COVID сертификат на ЕС. Това включва:

а)	процедура за оценка на риска, чрез която да се набележат и преценят потенциалните заплахи за системата;

б)

процедура за одит и контрол с цел:

i.	проверка на съответствието между въведените мерки за сигурност и приложимата политика за сигурност;

ii.	редовен контрол на целостта на системните файлове, на параметрите за сигурност и на дадените разрешения за достъп;

iii.	мониторинг за откриване на нарушения на сигурността и непозволен достъп;

iv.	въвеждане на промени за смекчаване на съществуващи слабости на сигурността

определяне на условията, съгласно които да разрешава, включително по искане на администраторите, и да допринася към извършването на независими одити, включително инспекции, и прегледи на мерките за сигурност, при спазване на условията, свързани с Протокол № 7 към ДФЕС за привилегиите и имунитетите на Европейския съюз;

в)	промяна на процедурата за контрол с цел документиране и измерване на въздействието на дадена промяна преди нейното въвеждане и текущо информиране на съвместните администратори за всички промени, които могат да засегнат комуникацията с техните инфраструктури и/или сигурността на тези инфраструктури;

г)	определяне на процедура за техническа поддръжка и ремонт с цел уточняване на правилата и условията, които да се спазват при необходимост от извършване на техническа поддръжка и/или ремонт на оборудване;

д)

определяне на процедура за инцидентите, свързани със сигурността, с цел да се установи схема за сигнализиране и предаване на сигнала по компетентност, незабавно уведомяване на засегнатите администратори, незабавно уведомяване на администраторите, за да могат те да уведомят националните надзорни органи по защита на данните за всяко нарушение на сигурността на личните данни, както и дефиниране на дисциплинарна процедура за разглеждане на нарушения на сигурността.

Предприема най-съвременни мерки за осигуряване на физическата и/или логическата сигурност на съоръженията, в които се намира оборудването на портала за Цифровия COVID сертификат на ЕС, както и за проверка на достъпа до логичните данни и сигурността на достъпа. За тази цел Комисията:

а)	обезпечава физическата сигурност с цел установяване на отличителни периметри на сигурност и предоставяне на възможност за откриване на нарушения;

б)	контролира достъпа до съоръженията и поддържа регистър на посетителите за целите на проследяването;

в)	осигурява придружаването на външни хора, получили достъп до помещенията, от служители, които имат необходимото разрешение;

г)	гарантира, че добавянето, замяната или премахването на оборудване се извършва само с предварително разрешение на определените отговорни органи;

д)	контролира достъпа от националните сървъри до портала на рамката за доверие;

е)	осигурява идентифициране и удостоверяване на автентичността на физическите лица, които имат достъп до портала за Цифровия COVID сертификат на ЕС;

ж)	преразглежда правата за разрешаване на достъп до портала за Цифровия COVID сертификат на ЕС в случай на нарушение на сигурността, което засяга тази инфраструктура;

з)	пази целостта на информацията, предадена чрез портала за Цифровия COVID сертификат на ЕС;

и)	въвежда мерки за техническата и организационната сигурност с цел предотвратяване на непозволен достъп до лични данни;

й)	прилага, когато е необходимо, мерки за блокиране на неразрешен достъп до портала за Цифровия COVID сертификат на ЕС от домейна на издаващите органи (т.е.: блокиране на местоположение/IP адрес).

7)	Предприема стъпки за защита на своя домейн, включително прекъсване на връзките, при значително отклонение от принципите и концепциите за качество или сигурност.

8)	Поддържа план за управление на риска в своята област на отговорност.

9)	Следи — в реално време — работата на всички компоненти на услугите на портала на рамката за доверие, изготвя редовно статистическа информация и води регистри.

10)

Предоставя подкрепа за всички услуги на портала на рамката за доверие на английски език 24 часа в денонощието, 7 дни седмично, по телефон, по електронна поща или чрез уеб портал и приема обаждания от оправомощени субекти: координаторите на портала за Цифровия COVID сертификат на ЕС и съответните им бюра за техническо обслужване, администраторите на проекти и определените от Комисията лица.

11)

Чрез подходящи технически и организационни мерки доколкото е възможно в съответствие с член 12 от Регламент (ЕС) 2018/1725, помага на съвместните администратори да изпълняват задължението си да отговарят на искания във връзка с упражняване на правата на субектите на данни, предвидени в глава III от Общия регламент относно защитата на данните.

12)	Оказва подкрепа на съвместните администратори като предоставя информация относно портала за Цифровия COVID сертификат на ЕС, за да изпълни задълженията по членове 32, 33, 34, 35 и 36 от Общия регламент относно защитата на данните.

13)	Гарантира, че обработваните в рамките на портала за Цифровия COVID сертификат на ЕС данни са неразбираеми за лице, което няма разрешение за достъп до тях.

14)	Предприема всички подходящи мерки за предотвратяване на непозволен достъп на операторите на портала за Цифровия COVID сертификат на ЕС до предаваните данни.

15)	Предприема мерки за по-висока степен на оперативна съвместимост и за по-добра комуникация между определените администратори на портала за Цифровия COVID сертификат на ЕС.

16)	Поддържа регистър на дейностите по обработване, извършвани от името на съвместните администратори в съответствие с член 31, параграф 2 от Регламент (ЕС) 2018/1725.

“