Úřední věstník
Evropské unie
CS
Řada L
|
|
Úřední věstník |
CS Řada L |
|
2025/2243 |
7.11.2025 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2025/2243
ze dne 6. listopadu 2025,
kterým se stanoví podrobné specifikace týkající se funkčních požadavků na platformy eFTI v souladu s nařízením Evropského parlamentu a Rady (EU) 2020/1056
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2020/1056 ze dne 15. července 2020 o elektronických informacích o nákladní dopravě (1), a zejména na čl. 9 odst. 2 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Nařízení (EU) 2020/1056 vyžaduje, aby příslušné orgány v členských státech přijímaly regulační informace zpřístupňované dotčenými hospodářskými subjekty v elektronické podobě v souladu s požadavky stanovenými v uvedeném nařízení, a konkrétně prostřednictvím platforem pro elektronické informace o nákladní dopravě (eFTI), které jsou certifikovány tak, aby splňovaly požadavky stanovené v uvedeném nařízení. |
|
(2) |
Dotčené hospodářské subjekty, jakož i poskytovatelé řešení v oblasti IKT, by měli být schopni pružně znovu využívat řešení IKT, která se v současné době používají v odvětví dopravy a logistiky, například pro řízení interních obchodních procesů a komunikaci s obchodními partnery v dodavatelském řetězci, za účelem vývoje platforem eFTI. Možnost stavět na stávajících řešeních by umožnila rychlejší a nákladově efektivní vývoj platforem eFTI a usnadnila by rychlejší a širší zavádění eFTI dotčenými hospodářskými subjekty bez významných investic do technologií nebo zatížení obchodních procesů. |
|
(3) |
Podle článku 12 nařízení (EU) 2020/1056 by měl být zaveden proces certifikace platforem eFTI, v jehož rámci se bude posuzovat soulad s požadavky stanovenými v čl. 9 odst. 1 uvedeného nařízení. Jakmile subjekt posuzování shody akreditovaný v některém z členských států v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 (2)vydá certifikaci, bude platná ve všech členských státech. Podrobné společné funkční a technické specifikace pro fungování platforem eFTI stanovené v tomto nařízení by proto měly Komisi umožnit, aby v pozdější fázi stanovila podle článku 12 nařízení (EU) 2020/1056 podrobná pravidla nezbytná k zajištění jednotného posuzování shody platforem eFTI s ohledem na jejich certifikaci. |
|
(4) |
Citlivost obchodních údajů zůstává důležitým faktorem ovlivňujícím ochotu hospodářských subjektů sdílet údaje elektronicky. V zájmu posílení důvěry dotčených hospodářských subjektů by požadavky na platformy eFTI měly zajistit, aby údaje uložené hospodářskými subjekty na platformách eFTI byly příslušným orgánům zpřístupněny pouze na základě bezpečného a ověřeného spojení se systémy používanými příslušnými orgány. Údaje zpřístupňované příslušným orgánům by navíc měly být omezeny na požadavky na informace uvedené v žádostech o přístup k údajům eFTI a měly by být poskytovány pouze v případě, že příslušné žádosti předávají příslušné orgány v souladu s funkčními a technickými specifikacemi stanovenými v prováděcím nařízení Komise (EU) 2024/1942 (3). Ze stejného důvodu by dotčené hospodářské subjekty měly dostávat informace, a to i prostřednictvím oznámení v reálném čase, o všech žádostech příslušných orgánů o přístup k údajům, které zpřístupnily na platformě eFTI, včetně příslušných následných sdělení, pokud byla podána. |
|
(5) |
Prováděcí nařízení (EU) 2024/1942 stanoví společné postupy a podrobná pravidla pro přístup příslušných orgánů k informacím zpřístupněným dotčenými hospodářskými subjekty na platformách eFTI a pro jejich zpracování. To zahrnuje specifické funkční a technické požadavky na komunikaci mezi systémy IKT používanými příslušnými orgány a platformami eFTI. Aby byla zajištěna interoperabilita a bezproblémová komunikace mezi systémy používanými příslušnými orgány a platformami eFTI, měly by být společné funkční a technické požadavky na platformy eFTI kompatibilní s požadavky stanovenými pro systémy používané příslušnými orgány. |
|
(6) |
Přístup hospodářských subjektů k platformám eFTI by měl být rovněž zajištěn prostřednictvím bezpečných a transparentních mechanismů řízení přístupu. Přístup k údajům eFTI a jejich zpracování jménem hospodářských subjektů by měli mít pouze oprávnění uživatelé. Oprávnění by měla být založena na právech na zpracování, která jsou jasně identifikována a jsou vydávána pod kontrolou hospodářských subjektů, které mají práva nebo povinnosti ve vztahu k těmto údajům podle platného práva EU nebo vnitrostátního práva nebo zvláštních obchodních dohod. Současně by měla být oprávnění udělována pouze uživatelům, kteří byli spolehlivě identifikováni a ověřeni pomocí prostředků elektronické identifikace v souladu s požadavky stanovenými v nařízení Evropského parlamentu a Rady (EU) č. 910/2014 (4). Takové mechanismy řízení přístupu by měly mezi hospodářskými subjekty vybudovat důvěru ve sdílení jejich údajů eFTI u zdroje, a proto by odstranily potřebu více míst pro ukládání údajů a mimo jiné snížily související náklady a složitost správy a synchronizace údajů. |
|
(7) |
Ustanovení uvedená v čl. 2 odst. 1 nařízení (EU) 2020/1056 umožňují dotčeným hospodářským subjektům ve většině případů opakovaně používat doklady mezi podniky k poskytování požadovaných informací o nákladní dopravě. Podrobné specifikace stanovené v tomto nařízení by se měly řídit stejným duchem a zaměřit se na to, jak by měly být informace o nákladní dopravě elektronicky sdíleny s příslušnými orgány. Neměly by stanovovat požadavky na elektronický formát a používání obchodních dokumentů, aby neovlivňovaly informace o nákladní dopravě nad rámec nařízení (EU) 2020/1056 nebo flexibilitu hospodářských subjektů při přípravě a výměně informací mezi podniky. Je proto vhodné, aby toto nařízení stanovilo specifikace pro složení sady údajů eFTI, které dotčeným hospodářským subjektům umožní prokázat prostřednictvím pouze jednoho sdílení stejných údajů splnění platných unijních a vnitrostátních požadavků na regulační informace podle čl. 2 odst. 1 nařízení (EU) 2020/1056. Sada údajů eFTI by měla být sestavena v souladu se specifikacemi pro společnou sadu údajů eFTI a dílčí sady údajů eFTI stanovenými v příloze nařízení Komise v přenesené pravomoci (EU) 2024/2024 (5). Při poskytování informací pro sadu údajů eFTI by hospodářské subjekty měly mít možnost v co největší míře znovu použít informace dostupné v jejich interních elektronických systémech správy dat, jako jsou systémy plánování podnikových zdrojů nebo systémy řízení dopravy, které používají pro správu obchodních přepravních dokladů, jako jsou nákladní listy nebo objednávky přepravy. |
|
(8) |
Podle článku 4 nařízení (EU) 2020/1056 nejsou dotčené hospodářské subjekty povinny zpřístupňovat údaje příslušným orgánům elektronicky, neboť si i nadále zachovávají právo předkládat regulační informace o nákladní dopravě v papírové podobě. Provozovatelé platforem eFTI by proto měli zajistit, aby dotčené hospodářské subjekty byly informovány o tom, že zpracováním údajů na platformě eFTI souhlasí s tím, že regulační informace o nákladní dopravě zaznamenané a jinak zpracované jako údaje eFTI na platformě eFTI jsou touto platformou zpřístupněny příslušným orgánům jménem dotčeného hospodářského subjektu, kdykoli platforma obdrží žádosti příslušných orgánů o přístup k údajům eFTI předané v souladu s požadavky prováděcího nařízení (EU) 2024/1942. Provozovatelé platformy eFTI by rovněž měli zajistit, aby byli provozovatelé informováni o tom, že zpracováním údajů na platformě eFTI souhlasí s tím, že platforma eFTI zpřístupní příslušné záznamy o zpracování údajů pro účely kontroly v souladu s platnými právními předpisy EU nebo vnitrostátními právními předpisy. |
|
(9) |
Ustanovení čl. 27 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2024/1157 (6) stanoví interoperabilitu s výměnným prostředím eFTI centrálního systému pro elektronické podávání a výměnu informací a dokumentů o přepravě odpadů mezi dotčenými hospodářskými subjekty a příslušnými orgány, označovaného také jako digitální systém pro přepravu odpadů (DIWASS), zřízeného v souladu s uvedeným nařízením. Kromě toho čl. 5 odst. 2 prováděcího nařízení Komise (EU) 2025/1290 (7) stanoví, že uživatelé zastupující dotčené hospodářské subjekty, které působí jako dopravci při přepravě odpadů, se mohou připojit k systému DIWASS prostřednictvím platformy eFTI propojené s tímto systémem prostřednictvím aplikačního programovacího rozhraní. Pro zajištění interoperability mezi platformami eFTI a DIWASS je nezbytné stanovit specifikace pro výměnu informací o odpadech, které spadají do oblasti působnosti nařízení (EU) 2020/1056, podle čl. 2 odst. 1 písm. a) bodu iv) uvedeného nařízení. Tato interoperabilita usnadní dopravcům, kteří provádějí přepravu odpadů, prokázat elektronickými prostředky splnění požadavků na dostupnost regulačních informací během přepravy stanovených v ustanoveních uvedených v čl. 2 odst. 1 nařízení (EU) 2020/1056 a požadavků na poskytování informací o přepravě odpadů stanovených v nařízení (EU) 2024/1157. |
|
(10) |
Údaje, které hospodářské subjekty zaznamenávají na platformách eFTI, budou mít značnou obchodní hodnotu, a to jak pro to, aby dotčené hospodářské subjekty mohly prokázat splnění administrativních požadavků, tak i jako základ pro obchodní transakce, poskytování služeb a sledování a plánování podnikání. Je proto nezbytné, aby provozovatelé platforem eFTI kromě přísných zásad řízení přístupu zavedli opatření, která zajistí nepřetržitou dostupnost, uchování a bezpečnost uvedených údajů, ať už jsou uloženy ve fyzických úložných zařízeních pod kontrolou provozovatele platformy eFTI, nebo v datových cloudech zakoupených v rámci služeb ukládání dat. Za tímto účelem, aniž by byly dotčeny platné unijní nebo vnitrostátní požadavky na kybernetickou bezpečnost, by provozovatelé platforem eFTI měli dodržovat nejnovější mezinárodní osvědčené postupy a normy týkající se ochrany soukromí a bezpečnosti údajů, jako jsou normy ISO 27001, ISO 27017 a ISO 27701. Při zpracování osobních údajů v souvislosti s uplatňováním tohoto prováděcího nařízení se použije nařízení Evropského parlamentu a Rady (EU) 2016/679 (8). |
|
(11) |
Aby provozovatelé platforem eFTI mohli zohlednit neustále se vyvíjející technický vývoj a normy, neměly by podrobné specifikace stanovené v tomto nařízení překračovat nezbytné požadavky na zajištění funkční a minimální technické interoperability s ostatními složkami v rámci výměnného prostředí eFTI, jak je stanoveno v prováděcím nařízení (EU) 2024/1942. Zároveň nelze dosáhnout bezproblémové interoperability mezi těmito různými složkami IKT bez souboru společných a podrobných technických specifikací, které lze snadno aktualizovat a sdílet mezi všemi zúčastněnými stranami. Na podporu provádění tohoto nařízení by proto měly být vypracovány technické pokyny, se zapojením zúčastněných subjektů z veřejného i soukromého sektoru, a zejména pracovní skupiny odborníků jmenovaných členskými státy, která má působit jako síť provozní podpory v souladu s článkem 13 prováděcího nařízení (EU) 2024/1942, a příslušných pracovních skupin nebo podskupin expertní skupiny Fóra pro digitální dopravu a logistiku (9). |
|
(12) |
V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (10) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 8. července 2025, |
|
(13) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem výboru zřízeného čl. 15 odst. 1 nařízení (EU) 2020/1056, |
PŘIJALA TOTO NAŘÍZENÍ:
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Definice
Pro účely tohoto nařízení se rozumí:
|
1) |
„systémem IKT“ organizovaný soubor informačních a komunikačních technologií (IKT), včetně hardwaru, softwaru a sítí, které jsou spojeny a regulovány vzájemným působením nebo vzájemnou závislostí za účelem dosažení souboru specifických funkcí; |
|
2) |
„tributárním systémem IKT“ identifikovatelný systém IKT mimo platformu eFTI, včetně jiné platformy eFTI, jehož prostřednictvím se podnikatelští uživatelé připojují k platformě eFTI za účelem přístupu k údajům eFTI a jejich zpracování; |
|
3) |
„údaji eFTI“ údaje odpovídající regulačním informacím podle definice v čl. 3 odst. 1 nařízení (EU) 2020/1056; |
|
4) |
„provozovatelem platformy eFTI“ fyzická nebo právnická osoba, která je považována za právně odpovědnou za řádné fungování platformy eFTI; |
|
5) |
„bránou eFTI“ součást IKT nebo soubor součásti IKT, které plní funkce stanovené v článku 6 prováděcího nařízení (EU) 2024/1942; |
|
6) |
„podnikatelským uživatelem“ fyzická nebo právnická osoba, která představuje dotčený hospodářský subjekt nebo je oprávněna jej zastupovat v souladu s nařízením (EU) 2020/1056, nebo jiný hospodářský subjekt, který představuje držitele údajů v souladu s odstavcem 23, a která zpracovává údaje na platformě eFTI jménem tohoto dotčeného hospodářského subjektu nebo jiného držitele údajů; |
|
7) |
„přihlašovací relací“ omezený časový úsek, během něhož má podnikatelský uživatel přístup k platformě eFTI; |
|
8) |
„pohybem zásilky“ přeprava souboru zboží jedním dopravním prostředkem s vlastním pohonem, s přepravním zařízením, jako je přípojné vozidlo, paleta nebo kontejner, nebo bez něj, ze stejného místa nakládky nebo převzetí do stejného místa vykládky nebo předání za podmínek jedné přepravní smlouvy; |
|
9) |
„souborem údajů o pohybu zásilky eFTI“ nebo „eFTI CMDS“ jednoznačně identifikovaný soubor údajů eFTI skládající se z údajů eFTI, které společně tvoří regulační informace o nákladní dopravě týkající se konkrétního pohybu zásilky; |
|
10) |
„příslušnými požadavky na regulační informace“ požadavky na regulační informace uvedené v čl. 2 odst. 1 nařízení (EU) 2020/1056, které se vztahují na konkrétní pohyb zásilky; |
|
11) |
„identifikátory dílčích sad údajů eFTI“ identifikátory ve formátu „EUyy“ nebo „XXyy“ dílčích sad údajů eFTI stanovených v oddílech 3 a 4 přílohy nařízení v přenesené pravomoci (EU) 2024/2024; |
|
12) |
„UUID souboru eFTI CMDS“ jedinečné číslo podle čl. 11 odst. 2 písm. c) prováděcího nařízení (EU) 2024/1942, které je automaticky přiděleno platformou eFTI souboru údajů eFTI, který představuje CMDS eFTI; |
|
13) |
„jedinečným identifikačním číslem žádosti“ jedinečné číslo žádosti o přístup k údajům eFTI podané úředníkem příslušného orgánu, které bylo přiděleno žádosti v souladu s čl. 3 odst. 2 písm. c) prováděcího nařízení (EU) 2024/1942; |
|
14) |
„následným sdělením“ komunikace mezi příslušnými orgány a dotčenými hospodářskými subjekty podle definice v čl. 1 bodě 6 prováděcího nařízení (EU) 2024/1942; |
|
15) |
„uživatelským rozhraním člověk-stroj“ webové nebo aplikační grafické uživatelské rozhraní, které umožňuje fyzickým osobám provádět operace zpracování údajů na platformě eFTI; |
|
16) |
„prostředkem pro elektronickou identifikaci“ hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k ověření pro účely on-line služby nebo případně off-line služby; |
|
17) |
„systémem elektronické identifikace“ systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím jiné fyzické či právnické osoby vydávány prostředky pro elektronickou identifikaci; |
|
18) |
„ověřením“ elektronický postup, který umožňuje potvrdit elektronickou identifikaci fyzické či právnické osoby nebo původ a integritu dat v elektronické podobě; |
|
19) |
„zaručeným elektronickým podpisem“ elektronický podpis, který splňuje požadavky stanovené v článku 26 nařízení (EU) č. 910/2014; |
|
20) |
„zaručenou elektronickou pečetí“ elektronická pečeť, která splňuje požadavky stanovené v článku 36 nařízení (EU) č. 910/2014; |
|
21) |
„onboardovaným uživatelem“ podnikatelský uživatel, jehož identifikace, ověření a oprávnění byly provedeny v souladu s požadavky stanovenými v čl. 4 odst. 2 písm. a); |
|
22) |
„neonboardovaným uživatelem“ podnikatelský uživatel, kterému je povolen přístup k platformě eFTI pouze na základě dočasných přístupových práv a práv na zpracování údajů vydaných v souladu s požadavky stanovenými v čl. 5 odst. 1 písm. b); |
|
23) |
„držitelem údajů“ fyzická nebo právnická osoba, která má v souladu s platnými právními předpisy Unie, vnitrostátními právními předpisy nebo soukromými smluvními ujednáními právo nebo povinnost používat a zpřístupňovat údaje, které rovněž představují regulační informace, v souladu s požadavky uvedenými v čl. 2 odst. 1 nařízení 2020/1056; |
|
24) |
„primárním autorizátorem“ onboardovaný podnikatelský uživatel, který je oprávněn měnit informace zaznamenané v profilu onboardovaného uživatele, včetně zřízení nebo odstranění profilu uživatele; |
|
25) |
„dočasným autorizátorem“ onboardovaný podnikatelský uživatel, který je oprávněn udělovat dočasná práva na zpracování údajů neonboardovaným uživatelům; |
|
26) |
„dvoufaktorovým ověřováním“ se rozumí metoda zabezpečení správy identit a přístupu, která pro přístup k platformě eFTI vyžaduje dvě formy identifikace; |
|
27) |
„certifikační značkou“ kódovaný odkaz na platformu eFTI potvrzující platnost jejího certifikačního statusu, který by měl být připojen ke všem informacím zpřístupněným příslušným orgánům prostřednictvím certifikované platformy eFTI v souladu s čl. 12 odst. 3 nařízení (EU) 2020/1056; |
|
28) |
„digitálním systémem pro přepravu odpadů“ (DIWASS) centrální systém uvedený v čl. 27 odst. 3 nařízení (EU) 2024/1157; |
|
29) |
„provozovatelem přepravy odpadů“ provozovatel ve smyslu čl. 2 odst. 2 bodu 13 prováděcího nařízení (EU) 2025/1290; |
|
30) |
„doklady o přepravě odpadů“ doklady uvedené v čl. 9 odst. 2, čl. 16 odst. 1 a čl. 18 odst. 4 nařízení (EU) 2024/1157; |
|
31) |
„údaji o kombinované dopravě“ regulační informace uvedené v článku 3 směrnice Rady 92/106/EHS (11); |
|
32) |
„kvalifikovaným elektronickým časovým razítkem“ elektronické časové razítko, které splňuje požadavky stanovené v článku 42 nařízení (EU) č. 910/2014. |
Článek 2
Systémová architektura platforem eFTI
Systémová architektura platforem eFTI se skládá z jakékoli kombinace součástí nebo systémů IKT, které splňují požadavky stanovené v tomto nařízení.
KAPITOLA II
PŘÍSTUP K PLATFORMÁM eFTI
Článek 3
Přístup příslušných orgánů k platformám eFTI
1. Platformy eFTI umožňují příslušným orgánům přístup k údajům eFTI výhradně prostřednictvím komunikace mezi stroji, a to prostřednictvím zabezpečeného spojení mezi platformou eFTI a bránou eFTI. Platforma eFTI vytvoří takové spojení alespoň s jednou bránou eFTI.
2. Aby byla umožněna komunikace uvedená v odstavci 1, musí platforma eFTI poskytovat tyto funkce:
|
a) |
ověřit žádost o přístup k údajům eFTI nebo následné sdělení přijatou od brány eFTI ověřením bezpečnostního klíče brány eFTI; |
|
b) |
zpracovat žádost o přístup k údajům eFTI, a to identifikací:
|
|
c) |
vést auditní stopu žádosti o přístup k údajům eFTI, a to zaznamenáním alespoň následujících informací:
|
|
d) |
připravit a případně předat bráně eFTI odpověď na žádost o přístup k údajům eFTI:
|
|
e) |
uchovávat auditní stopu odpovědi, která umožňuje získat alespoň následující informace:
|
|
f) |
zpracovat následné sdělení, a to:
|
|
g) |
uchovávat auditní stopu následného sdělení, která umožňuje znovu získat alespoň následující informace:
|
Článek 4
Přístup podnikatelských uživatelů k platformám eFTI
1. Platformy eFTI umožňují podnikatelských uživatelům přístup k údajům eFTI a jejich zpracování prostřednictvím jedné nebo obou následujících způsobů:
|
a) |
uživatelská rozhraní člověk-stroj; |
|
b) |
komunikace mezi stroji prostřednictvím zabezpečených připojení k jiným systémům IKT, které fungují jako tributární systémy IKT. |
2. Pro přístup k údajům eFTI a jejich zpracování prostřednictvím rozhraní člověk-stroj musí platformy eFTI poskytovat funkce, které zajišťují:
|
a) |
pro každého onboardovaného uživatele:
|
|
b) |
v případě onboardovaných uživatelů identifikaci, ověření a oprávnění uživatele prostřednictvím autorizačního mechanismu uvedeného v čl. 5 odst. 1 písm. b). |
3. Systém elektronické identifikace uvedený v odst. 2 písm. a) bodě i) musí splňovat alespoň požadavky stanovené v čl. 8 odst. 2 písm. b) nařízení (EU) č. 910/2014.
Pro uživatele, kteří mají přístup k údajům eFTI, jež odpovídají požadavkům na informace uvedeným v čl. 2 odst. 1 písm. a) bodě iv) nařízení (EU) 2020/1056, a zpracovávají je, musí prostředky elektronické identifikace uvedené v odst. 2 písm. a) bodě i) tohoto článku obsahovat odkaz na identifikační číslo provozovatele přepravy odpadů uvedené v článku 9 prováděcího nařízení (EU) 2025/1290.
4. Pro přístup k údajům eFTI a jejich zpracování prostřednictvím komunikace mezi stroji musí platformy eFTI poskytovat funkce, které zajišťují pro každý tributární systém IKT:
|
a) |
identifikaci a ověření podnikatelského uživatele, pod jehož právní odpovědností tributární systém IKT funguje, a to prostřednictvím registru, v němž jsou zaznamenány a aktualizovány alespoň tyto informace:
|
|
b) |
oprávnění podnikatelského uživatele, pod jehož právní odpovědností je tributární systém IKT provozován, a to prostřednictvím registru oprávnění uvedeného v čl. 5 odst. 1 písm. a). |
5. Provozovatelé platforem eFTI zavedou a provádějí opatření pro vhodný onboarding tributárních systémů IKT, která zahrnují minimálně:
|
a) |
ověřování, zda tributární systém IKT identifikuje a ověřuje uživatelů, kteří mohou vystupovat jako podnikatelští uživatelé platformy eFTI, pomocí prostředků pro elektronickou identifikaci vydaných v rámci systému elektronické identifikace, který splňuje požadavky stanovené v odstavci 3; |
|
b) |
ověřování, zda tributární systém IKT kontroluje přístup uživatelů, kteří mohou vystupovat jako podnikatelští uživatelé platformy eFTI, a to prostřednictvím registru oprávnění uvedeného v čl. 5 odst. 1 písm. a). |
6. Při každém přihlášení platforma eFTI zajistí identifikaci, ověření a oprávnění podnikatelského uživatele, než podnikatelskému uživateli umožní zpracovávat údaje eFTI.
Článek 5
Autorizační mechanismus
1. Platformy eFTI používají jeden nebo oba následující typy autorizačních mechanismů:
|
a) |
ověřování práv uživatele na zpracování prostřednictvím registrů oprávnění, v nichž jsou práva na zpracování onboardovaných uživatelů zaznamenána, aktualizována a zůstávají k dispozici pro účely auditu a které představuje hlavní mechanismus pro udělování oprávnění; |
|
b) |
vydávání a ověřování dočasných práv ke zpracování prostřednictvím registrů oprávnění, v nichž se zaznamenávají dočasné přístupové údaje příležitostných neonboardovaných uživatelů. |
2. Registry oprávnění uvedené v odstavci 1 se zřizují a vedou jako samostatná složka IKT. Tato samostatná složka IKT musí být buď interní součástí platformy eFTI, nebo součástí systému IKT mimo platformu eFTI, se kterým platforma eFTI navazuje zabezpečenou komunikaci, v souladu s čl. 12 odst. 4.
3. Registry oprávnění uvedené v odst. 1 písm. a) vedou pro každého onboardovaného podnikatelského uživatele jednoznačně identifikovaný „profil uživatele“, přičemž zaznamenávají alespoň tyto informace:
|
a) |
jedinečnou identifikaci podnikatelského uživatele vyjádřenou jako kódovaný odkaz; |
|
b) |
práva na zpracování, vyjádřená jako odkazy, přičemž tyto odkazy zahrnují:
|
|
c) |
údaj o tom, zda podnikatelský uživatel může vystupovat jako primární nebo dočasný autorizátor; |
|
d) |
u podnikatelských uživatelů označených za primární autorizátory jedinečná identifikační čísla stávajících profilů onboardovaných uživatelů, jež mohou upravovat; |
|
e) |
u podnikatelských uživatelů označených za dočasné autorizátory dočasná práva na zpracování, která jsou oprávněni vydávat neonboardovaným uživatelům, vyjádřená jako odkazy na operace zpracování uvedené v článku 8; |
|
f) |
údaj o tom, zda si podnikatelský uživatel může vyžádat oznámení týkající se žádostí příslušných orgánů o přístup k údajům eFTI a související následná sdělení, pokud se týkají eFTI CMDS, pro které má podnikatelský uživatel práva na zpracování. |
4. Provozovatel platformy eFTI nebo, pokud je registr oprávnění zřízen jako součást systému IKT mimo platformu eFTI, provozovatel externího systému IKT přijme opatření k zajištění vhodného onboardingu podnikatelských uživatelů, kteří mohou působit jako „primární autorizátor“. Tato opatření zahrnují minimálně:
|
a) |
identifikaci a ověření v souladu s požadavky stanovenými v čl. 4 odst. 2 písm. a); |
|
b) |
ověření přístupových údajů, které potvrzuje, že je podnikatelský uživatel držitelem údajů nebo zákonným zástupcem držitele údajů, nebo že je oprávněn jménem držitele údajů povolit zpracování údajů, v souvislosti se kterými má držitel údajů povinnosti nebo práva podle čl. 1 bodu 23; |
|
c) |
uchovávání záznamu o těchto přístupových údajích pro účely auditu. |
5. Autorizační mechanismus uvedený v odst. 1 písm. b) zahrnuje funkce, které splňují alespoň tyto specifikace:
|
a) |
umožnit onboardovaným uživatelům označeným za dočasné autorizátory vydávat dočasná práva ke zpracování dat neonboardovaným uživatelům, a to tak, že se do vyhrazeného registru zaznamenají dočasné přístupové údaje neonboardovaných uživatelů, obsahující alespoň:
|
|
b) |
umožnit onboardovaným uživatelům označeným za dočasné autorizátory poskytovat dočasný přístup k údajům eFTI neonboardovaným uživatelům, pro které zaznamenali přístupové údaje, odesláním zprávy, s využitím zaznamenaných kontaktních údajů neonboardovaného uživatele, která obsahuje:
|
|
c) |
pokud o přístup k platformě eFTI požádá neonboardovaný uživatel, umožní tomuto uživateli přístup k platformě eFTI na základě dvoufaktorového ověřování a umožní mu provádět operace zpracování na základě jeho práv ke zpracování zaznamenaných v souladu s písmenem a); |
|
d) |
ukončí přihlašovací relaci neonboardovaného uživatele, jakmile nastane jedna z následujících událostí:
|
6. Informace zaznamenané v registrech oprávnění podle odstavců 1 až 5 se uchovávají pro účely auditu minimálně po stejnou dobu, po kterou se v souladu s platným vnitrostátním právem nebo právem Unie podle čl. 9 odst. 1 písm. i) nařízení (EU) 2020/1056 vyžaduje, aby byl k dispozici eFTI CMDS, v němž příslušní uživatelé prováděli operace zpracování.
7. Platformy eFTI vymažou všechny informace, které představují osobní údaje v souladu s nařízením (EU) 2016/679, v přiměřené lhůtě po uplynutí doby uvedené v odstavci 6.
Článek 6
Komunikace s DIWASS
1. Aby mohly dotčené hospodářské subjekty zpřístupnit příslušným orgánům regulační informace uvedené v čl. 2 odst. 1 písm. a) bodě iv) nařízení (EU) 2020/1056, vytvoří platformy eFTI bezpečná spojení s centrálním systémem podle čl. 27 odst. 3 nařízení (EU) 2024/1157 prostřednictvím rozhraní pro programování aplikací uvedeného v čl. 5 odst. 2 prováděcího nařízení (EU) 2025/1290, nebo, pokud je členský stát zpřístupnil, prostřednictvím připojení k místnímu systému provozovanému příslušným orgánem v tomto členském státě v souladu s čl. 27 odst. 4 nařízení (EU) 2024/1157, který se připojuje k tomuto centrálnímu systému v souladu s požadavky prováděcího nařízení (EU) 2025/1290.
2. Pokud platformy eFTI zřídí některé z propojení uvedených v odstavci 1, musí rovněž poskytovat odpovídající dodatečné funkce v souladu s čl. 9 odst. 2 tohoto nařízení.
Článek 7
Transparentnost
1. Platformy eFTI poskytují funkce, které podnikatelským uživatelům umožňují na základě příslušných oprávnění požadovat a přijímat oznámení, a to i ve formě pravidelných zpráv. Tato oznámení a zprávy zahrnují žádosti příslušných orgánů o přístup k údajům eFTI a související následná sdělení. Vztahují se rovněž na operace zpracování prováděné podnikatelskými uživateli, pokud je podnikatelský uživatel, který tato oznámení nebo zprávy požaduje, držitelem údajů nebo má v souvislosti s těmito údaji práva na zpracování přidělená v registru oprávnění uvedeném v čl. 5 odst. 1 písm. a).
2. Pokud se oznámení nebo zprávy uvedené v odstavci 1 týkají žádostí příslušných orgánů o přístup k údajům eFTI a souvisejících následných sdělení, musí tato oznámení obsahovat alespoň tyto informace:
|
a) |
datum a čas přijetí žádosti o přístup k údajům eFTI a následného sdělení, pokud bylo podáno; |
|
b) |
členský stát příslušného orgánu, který podal žádost o přístup k údajům eFTI; |
|
c) |
UUID souboru eFTI CMDS, pro který byla podána žádost o přístup k údajům eFTI; |
|
d) |
v případě podání informace v následném sdělení. |
KAPITOLA III
ZPRACOVÁNÍ ÚDAJŮ NA PLATFORMÁCH eFTI
Článek 8
eFTI CMDS
1. Platformy eFTI řídí zpracování údajů eFTI na základě jednoznačně identifikovaných souborů údajů, z nichž každý tvoří eFTI CMDS.
2. eFTI CMDS se vytváří výběrem všech datových prvků, které tvoří dílčí sady údajů eFTI odpovídající příslušným požadavkům na regulační informace pro konkrétní pohyb zásilky, přičemž všechny datové prvky společné dvěma nebo více dílčím sadám údajů eFTI se zahrnují pouze jednou.
3. Všechny údaje eFTI zpracovávané na platformě eFTI musí splňovat definice a technické charakteristiky, včetně struktury, seznamů kódů a pracovních pravidel stanovených nařízením v přenesené pravomoci (EU) 2024/2024.
Článek 9
Proces zpracování
1. Platformy eFTI poskytují funkce, které podnikatelským uživatelům po ověření jejich práv na zpracování prostřednictvím autorizačního mechanismu uvedeného v článku 5 umožňují provádět s údaji eFTI následující operace zpracování:
|
a) |
vytvoření eFTI CMDS; |
|
b) |
upravení eFTI CMDS; |
|
c) |
čtení údajů eFTI CMDS; |
|
d) |
stažení kopie údajů eFTI CMDS; |
|
e) |
podpis odesílatele; |
|
f) |
podpis dopravce; |
|
g) |
podpis příjemce; |
|
h) |
„razítko“ kombinované dopravy od příslušného orgánu v námořním přístavu, přístavu vnitrozemské plavby nebo železniční stanici; |
|
i) |
archiv eFTI CMDS. |
2. Funkce platformy eFTI uvedené v článku 6 umožňují podnikatelským uživatelům po potvrzení jejich práv na zpracování prostřednictvím autorizačního mechanismu uvedeného v článku 5 provádět s údaji eFTI následující operace zpracování:
|
a) |
stáhnout kopii dokumentů o přepravě odpadů; |
|
b) |
předložit potvrzení o převzetí odpadu dopravcem podle přílohy II části B bodu 3 a části C bodu 3 prováděcího nařízení 2025/1290; |
|
c) |
upravit předložené potvrzení o převzetí odpadu dopravcem podle přílohy II části B bodu 4 a části C bodu 4 prováděcího nařízení 2025/1290; |
3. Operace zpracování uvedené v odstavcích 1 a 2 jsou uvedeny v příloze spolu s činnostmi, které mají platformy eFTI provádět, aby umožnily podnikatelským uživatelům tyto operace provádět.
4. Než platforma umožní podnikatelskému uživateli provést operace zpracování údajů eFTI, informuje uživatele prostřednictvím jasně formulovaných zpráv o tom, že zpracováním údajů v platformě eFTI uživatel souhlasí s tím, že:
|
a) |
údaje, které podnikatelský uživatel zpracovává, mohou být automaticky zpřístupněny příslušným orgánům, zejména tehdy, když platforma eFTI obdrží žádost o přístup k údajům eFTI, od příslušného orgánu, pro konkrétní eFTI CMDS, kterého jsou uvedené údaje součástí; |
|
b) |
se v souladu s ustanoveními odstavce 6 zaznamenává auditní stopa operací zpracování údajů prováděných podnikatelským uživatelem, která může být poskytnuta příslušným orgánům k nahlédnutí v souladu s platným právem Unie nebo vnitrostátním právem. |
5. Platformy eFTI zaznamenávají každou operaci zpracování provedenou podnikatelským uživatelem eFTI CMDS tak, že v souvislosti s každým zpracovávaným datovým prvkem zaznamenají následující informace:
|
a) |
UUID souboru eFTI CMDS; |
|
b) |
v případě onboardovaných uživatelů kódovanou identifikaci spojenou s jejich uživatelským účtem; |
|
c) |
v případě neonboardovaných uživatelů, identifikační údaje poskytnuté uživatelem v souvislosti s dvoufaktorovým ověřováním podle čl. 5 odst. 5 bodu c); |
|
d) |
datum a čas; |
|
e) |
typ provedené operace identifikovaný v souladu s odstavci 1 a 2; pokud operace zpracování zahrnuje změnu nebo vymazání hodnoty datového prvku, musí být zachována i původní hodnota datového prvku. |
6. Platformy eFTI zaznamenávají a uchovávají údaje eFTI CMDS, které jsou snadno dostupné pro přístup podnikatelských uživatelů i příslušných orgánů, v online systému pro ukládání dat, a to nejméně po dobu, kdy má eFTI CMDS status „aktivní“ a případně „neaktivní“, jak jej přidělila platforma eFTI v souladu se specifikacemi stanovenými v příloze tohoto nařízení.
7. Platformy eFTI uchovávají eFTI CMDS, které mají status „připraveno k archivaci“ nebo „archivováno“, a odpovídající protokoly o operacích zpracování pro přístup příslušným orgánům po dobu uvedenou v čl. 9 odst. 1 písm. i) nařízení (EU) 2020/1056.
8. Platformy eFTI vymažou všechny informace, které představují osobní údaje v souladu s nařízením (EU) 2016/679, v přiměřené lhůtě po uplynutí lhůt uvedených v odstavci 8.
Článek 10
Uživatelská rozhraní člověk-stroj
1. Rozhraní člověk-stroj uvedená v čl. 4 odst. 1 písm. a) musí poskytovat tyto webové nebo aplikační funkce:
|
a) |
umožnit podnikatelským uživatelům interakci s platformou eFTI pro účely identifikace ověření a oprávnění platformou eFTI v souladu s články 4 a 5, respektive pro účely zpracování údajů eFTI na platformě eFTI v souladu s články 5 a 9; |
|
b) |
umožnit oprávněným uživatelům stáhnout si jedinečný elektronický identifikační odkaz (UIL) souboru eFTI CMDS a umožnit jim sdělit jej ve strojově čitelném formátu příslušným orgánům; |
|
c) |
umožnit oprávněným uživatelům stáhnout si kopii eFTI CMDS a případně dokumentů o přepravě odpadů ve formátu čitelném pro člověka a vystavit tyto kopie ke kontrole pracovníkům příslušných orgánů, pokud o to tito pracovníci požádají v souladu s čl. 4 odst. 2 nařízení (EU) 2020/1056; |
2. Kopie ve formátu čitelném pro člověka uvedené v odst. 1 písm. d) obsahují strojově čitelný kódovaný odkaz na certifikační značku platformy eFTI a údaj o datu a čase stažení ve formě časového razítka.
3. Rozhraní člověk-stroj platforem eFTI musí obsahovat funkce ochrany přístupu, které zabrání neoprávněnému přístupu k údajům eFTI a funkcím platformy eFTI, pokud zařízení, jehož prostřednictvím podnikatelský uživatel přistupuje k platformě eFTI, není pod jeho kontrolou.
KAPITOLA IV
OPATŘENÍ PRO DOSTUPNOST, BEZPEČNOST A ODOLNOST
Článek 11
Dostupnost
Platforma eFTI zůstane k dispozici pro přístup příslušných orgánů, jak je uvedeno v článku 3, nejméně po dobu, po kterou mají eFTI CMDS zaznamenané na této platformě status „aktivní“ a případně „neaktivní“, jak je přiřazen platformou eFTI v souladu se specifikacemi stanovenými v příloze tohoto nařízení.
Článek 12
Bezpečnost výměny dat
1. Pro komunikaci s bránou eFTI musí platformy eFTI:
|
a) |
udržovat přístupový bod eDelivery, v souladu se specifikacemi pro výměnu zpráv eDelivery, nebo přístupový bod v souladu s rovnocennými specifikacemi pro výměnu zpráv podporovanými bránou eFTI, pokud jsou tyto specifikace pro výměnu zpráv stanoveny členským státem v souladu s čl. 9 odst. 4 prováděcího nařízení (EU) 2024/1942; |
|
b) |
používat bezpečné postupy a protokoly pro přijímání, zaznamenávání, načítání a ověřování bezpečnostních klíčů nebo bezpečnostních certifikátů brány eFTI. |
2. Přístupová místa uvedená v odst. 1 písm. a) používají bezpečnostní certifikáty vydané prostřednictvím certifikačního orgánu členským státem, v němž platforma eFTI obdržela certifikát shody uvedený v čl. 12 odst. 1 nařízení (EU) 2020/1056.
3. Veškerá komunikace mezi platformou eFTI a bránou eFTI probíhá prostřednictvím výměny zpráv, které odpovídají specifikacím stanoveným v čl. 9 odst. 3 a 4 prováděcího nařízení (EU) 2024/1942.
4. Pro komunikaci s tributárními systémy IKT nebo jinými externími systémy IKT, které jsou hostiteli složek provádějících určité funkce platformy eFTI, musí platformy eFTI minimálně:
|
a) |
udržovat přístupové body s platnými bezpečnostními klíči nebo bezpečnostními certifikáty; |
|
b) |
používat bezpečné postupy a protokoly pro přijímání, zaznamenávání, načítání a ověřování bezpečnostních klíčů nebo bezpečnostních certifikátů těchto jiných systémů IKT. |
5. Pro komunikaci s DIWASS musí platformy eFTI:
|
a) |
udržovat přístupové body, které splňují specifikace uvedené v článku 12 prováděcího nařízení (EU) 2025/1290; |
|
b) |
používat bezpečné postupy a protokoly pro přijímání, zaznamenávání, načítání a ověřování bezpečnostního klíče systému DIWASS; |
|
c) |
udržovat aplikační programovací rozhraní, které mu umožňuje přijímat od DIWASS údaje týkající se podpisu příjemce, pokud je příjemce zařízením pro zpracování odpadu podle nařízení (EU) 2024/1157. |
Článek 13
Zabezpečení uložených údajů
Provozovatelé platformy eFTI stanoví a zavedou opatření, která zajistí bezpečnost a ochranu údajů uložených na platformách eFTI, a to zejména:
|
a) |
pokud jsou data eFTI uložena ve fyzických úložných zařízeních spravovaných provozovatelem platformy:
|
|
b) |
pokud jsou data eFTI ukládána prostřednictvím cloudového úložiště, opatření k zajištění toho, aby byl prostor pro cloudové úložiště zakoupen od poskytovatelů služeb, kteří splňují hlavní mezinárodní normy a osvědčené postupy pro bezpečnost cloudu a ochranu osobních údajů; |
|
c) |
opatření k zajištění toho, aby údaje eFTI byly uchovávány v Unii nebo pod jurisdikcí Unie nebo členského státu. |
KAPITOLA V
ZÁVĚREČNÁ USTANOVENÍ
Článek 14
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 6. listopadu 2025.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 249, 31.7.2020, s. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
(2) Nařízení Evropského parlamentu a Rady (ES) č. 765/2008 ze dne 9. července 2008, kterým se stanoví požadavky na akreditaci a kterým se zrušuje nařízení (EHS) č. 339/93 (Úř. věst. L 218, 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(3) Prováděcí nařízení Komise (EU) 2024/1942 ze dne 5. července 2024, kterým se stanoví společné postupy a podrobná pravidla pro přístup k elektronickým informacím o nákladní dopravě a jejich zpracování ze strany příslušných orgánů v souladu s nařízením Evropského parlamentu a Rady (EU) 2020/1056 (Úř. věst. L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
(4) Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES (Úř. věst. L 257, 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
(5) Nařízení Komise v přenesené pravomoci (EU) 2024/2024 ze dne 26. července 2024, kterým se doplňuje nařízení (EU) 2020/1056 stanovením společné sady údajů eFTI a dílčích sad údajů eFTI (Úř. věst. L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/eli/reg_del/2024/2024/oj).
(6) Nařízení Evropského parlamentu a Rady (EU) 2024/1157 ze dne 11. dubna 2024 o přepravě odpadů, o změně nařízení (EU) č. 1257/2013 a (EU) 2020/1056 a o zrušení nařízení (ES) č. 1013/2006 (Úř. věst. L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
(7) Prováděcí nařízení Komise (EU) 2025/1290 ze dne 2. července 2025, kterým se stanoví prováděcí pravidla k nařízení Evropského parlamentu a Rady (EU) 2024/1157, pokud jde o požadavky na interoperabilitu mezi centrálním systémem pro elektronické předkládání a výměnu informací a dokumentů týkajících se přepravy odpadů a jinými systémy nebo softwarem, jakož i další technické a organizační požadavky na praktické provádění tohoto elektronického předkládání a výměny informací a dokumentů (Úř. věst. L, 2025/1290, 14.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1290/oj).
(8) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(9) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3280.
(10) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(11) Směrnice Rady 92/106/EHS ze dne 7. prosince 1992 o zavedení společných pravidel pro určité druhy kombinované přepravy zboží mezi členskými státy (Úř. věst. L 368, 17.12.1992, s. 38, ELI: http://data.europa.eu/eli/dir/1992/106/oj).
PŘÍLOHA
ZPRACOVATELSKÉ OPERACE, KTERÉ MUSÍ PROVÁDĚT PODNIKATELŠTÍ UŽIVATELÉ NA PLATFORMÁCH EFTI
podle článku 9
Následující tabulka popisuje operace zpracování údajů eFTI, které platformy eFTI umožňují podnikatelským uživatelům provádět podle čl. 9 odst. 1 a 2, a automatické činnosti, které musí platformy eFTI provádět, aby zajistily provádění uvedených operací zpracování, pokud:
|
a) |
je ve sloupci s názvem „Operace“ uveden zkrácený název, kterým je operace zpracování označena v čl. 9 odst. 1 nebo 2; |
|
b) |
sloupec s názvem „Činnost podnikatelského uživatele“ popisuje činnosti, které platformy eFTI umožňují podnikatelským uživatelům provádět za účelem provedení odpovídající operace zpracování; |
|
c) |
sloupec s názvem „Činnost platformy eFTI“ popisuje činnosti, které platformy eFTI provádějí minimálně ve spojení s odpovídajícími činnostmi podnikatelských uživatelů, aby zajistily dokončení příslušné operace. Tabulka
|
(1) Nařízení Evropského parlamentu a Rady (ES) č. 1072/2009 ze dne 21. října 2009 o společných pravidlech pro přístup na trh mezinárodní silniční nákladní dopravy (Úř. věst. L 300, 14.11.2009, s. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).
ELI: http://data.europa.eu/eli/reg_impl/2025/2243/oj
ISSN 1977-0626 (electronic edition)